Web 侦察与拦截代理
学习 Web 侦察与 HTTP 拦截技术,掌握从一个 URL 出发,绘制出其背后应用程序完整蓝图的能力。现代 Web 目标往往包含隐藏目录、未公开的参数、虚拟主机以及在主界面上不可见的 API。本课程将教你如何发现这些攻击面,检查原始 HTTP 行为,并从命令行更精准地与 Web 应用程序进行交互。
为什么这很重要
许多重大的 Web 安全发现往往始于侦察,而非直接利用。如果你无法识别隐藏的端点、异常参数或 API 行为,你将完全错失攻击面。因此,严谨的 Web 侦察是安全测试和防御验证的核心技能。
本课程专注于 Web 应用程序的实际通信方式。你将学习如何通过模糊测试(Fuzzing)发现隐藏内容、检查并修改请求、与 API 交互,并在深入利用之前,构建出目标 Web 环境结构的清晰视图。
你将学到什么
- 使用 Web 模糊测试工具发现隐藏的目录、文件、参数和虚拟主机。
- 使用命令行工作流检查并修改原始 HTTP 请求和响应。
- 使用多种 HTTP 方法和结构化 JSON 输出与 API 进行交互。
- 识别仅通过浏览器无法看到的 Web 攻击面。
- 构建目标应用程序暴露的基础设施的完整映射。
课程路线图
- 目录与文件模糊测试:使用
ffuf和gobuster识别隐藏路径和文件。 - 扩展 Web 模糊测试(参数与虚拟主机):将发现范围扩展到未公开的参数和隐藏的虚拟主机。
- HTTP 拦截基础:使用
curl等工具手动构建、修改和分析 HTTP 流量。 - API 交互与分析:探索 REST 风格的 API、身份验证流程以及基于 JSON 的响应。
- Web 基础设施映射挑战:应用侦察和拦截技能,揭示隐藏的 Web 攻击面并提取敏感令牌。
适合人群
- 进入 Web 安全学习阶段的学员。
- 希望加强枚举能力的渗透测试人员。
- 需要验证其 Web 应用程序和 API 对外暴露情况的防御者。
学习成果
完成本课程后,你将能够枚举隐藏的 Web 资产,更精确地分析 HTTP 行为,并为测试身份验证、授权和注入漏洞打下更坚实的基础。
