工具类:
端口扫描工具:Nmap
发布包扫描:C-spider
前端扫描:AWVS/Sescan、appScan、npm audit
敏感信息:Seninfo、
权限抓包工具:Burpsuite(接口横向、纵向越权、密码暴力破解等)
数据库权限:业务账号权限设置过大为root权限
服务器加固:sudo提权、linux文件访问权限、密码硬编码、证书的加密算法及密钥长度符合业界要求
代码二进制扫描(cve漏洞)
正则工具:
fuzz测试
Sqlmap
Wireshark
Metasploit
中间件加固:DCS(Redis、Kafka、etcd)
数据流图:各微服务的上下游,安全边界,内外部接口隔离,认证鉴权实现的方式等
代码审计:Java安全编码规范、Python安全编码规范、GO安全编码规范、Scala安全编码规范
CSRF攻击:
xss注入:
红线:
TOPN:
加密和解密:
口令安全:
云原生安全:
接口安全:
访问控制:
Kali linux:
图片隐写:
CTF:
认证考试:CISSP/CISP-PTS/CISA
未完。。。。。。。。。
