最近发现了一个不错的靶场，里面各种渗透测试的虚拟机，大家可以下载进行尝试学习。还有就是一个漏洞利用存档，可以找到很多我们可以利用的学习的东西。

靶场:

https://www.vulnhub.com

漏洞利用存档:

https://www.exploit-db.com

对于web应用的渗透测试，一般分为三个阶段：信息收集、漏洞发现以及漏洞利用。下面我们就分别谈谈每个阶段需要做的事情。

信息收集

在信息收集阶段，我们需要尽量多的收集关于目标web应用的各种信息，比如：脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面，用到的框架等

kali作为一个渗透测试者最受欢迎的操作系统，集成了非常多的安全工具，让渗透测试人员更方便的做一些渗透测试工作，本文来自国外某位大神的github，在这里给大家做一个分享，具体内容如下：