适合web安全小白，

thinkphp5各版本通用poc

适合于2021参加hw的人。

此操作指导旨在通过一套标准化的可重复使用的快速测试方法，提供一套经过整合和简化的测试用例，供Web安全测试人员快速发现漏洞。

1）网站目录扫描 网站后台目录扫描工具,调用外部核心扫描网站后台目录，无视服务器自定义404、403错误！ 支持ASP,ASPX.PHP,JSP等程序类型的网站. 2) 服务端口扫描 一个端口就是一个潜在的通信通道，也就是一个**通道。对目标计算机进行端口扫描，能得到许多有用的信息。进行扫描的方法很多，可以是 手工进行扫描，也可以用端口扫描软件进行，还有就是本站的在线扫描。 通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞，或者是系统所开放的服务。 3）SQL注入 如果要对一个网站进行SQL注入攻击，首先就需要找到存在SQL注入漏洞的地方，也就是寻找所谓的注入点。可能的SQL注入点一般存在于登录页面、 查找页面或添加页面等用户可以查找或修改数据的地方。 4）旁注 旁注是网络上比较流行的一种**方法，在字面上解释就是－"从旁注入"，利用同一主机上面不同网站的漏洞得到webshell，从而利用主机上 的程序或者是服务所暴露的用户所在的物理路径进行** 辅助及其他功能： 渗透笔记、邮件伪造、社工库查询、远程桌面、网页抓包、网络连接、SHELL破解、二级域名爆破.各类脚本程序等功能... 注意：本工具 具有一定的攻击性，所以相关杀毒软件可能会对此误报；本软件集成工具不存在病毒后门行为，请在使用之前暂时关闭或卸载该反病毒软件.

千锋网络安全渗透测试Web架构安全分析章节配套的一个网站源码（cms.zip），用于安全渗透学习，名称为：文章管理系统。使用前需要先配置数据库，导入mysql文件。 这个网站仅用于千锋网络安全学习使用，内容来源网络，如有侵权建议联系上传者。

Web逻辑漏洞挖掘 身份认证安全、业务一致性安全、业务数据篡改、密码找回等各种漏洞案例。

【千锋Linux】Web安全渗透全套教程（40集）

2018年最新一期cracer web安全渗透测试工程师培训

WEB安全渗透课程ppt，cisp-pte教材，包含16个章节，涵盖日常常用漏洞解析