对于安全的思考，是什么导致了安全问题？

分层思想导致安全问题（优劣），由于分层思想，每一层的人只关注自己这一层面的问题，而安全，却不是从一个层面考虑的，是从整个整体考虑的。

开发者只追求功能，导致对安全的思考不重视，从而产生漏洞。

人会犯错，这一点，是问题产生的根本。

补充：可以由一个漏洞拿下一个机器，再由一个机器拿下一片机器，以此类推，可见一个小问题，就可以引发各种大问题！

渗透测试国际标准

渗透测试的几个阶段：

情报收集：邮箱地址、联系人、公司动态等等（被动收集，不接触目标）主动收集，包括扫描之类的

补充：如果，A与B有业务来往，那么攻击者就可以控制B，由B再控制A，这里可见收集信息的重要性

威胁建模：把收集的信息进行分析，判断从哪渗透更容易

漏洞分析：从收集的信息来看目标服务器版本，是否有公开的漏洞，或者自己编写攻击代码（需要代码能力）

渗透攻击：会遇到意想不到的问题。

后渗透攻击：由一个拿下的服务器，去拿更多的服务器等等，增加危害

渗透测试报告：渗透的细节，补漏洞。。记住最好加密，防止笔记本丢失被人利用。

扫描器不是一切，完全无法发现业务逻辑漏洞！

真正的渗透高手，完全可以不用扫描器而渗透成功！

FHS标准目录结构：指的就是linux中什么文件放etc，什么文件放home这种文件归类方法。

Kali支持ARM树莓派这样的单板电脑，手机，官网下个镜像装在sd卡上就可以了

kali的网络服务默认是关闭的，即使是新装的网络服务，默认也是关闭的，自动运行的脚本，也不会自动运行。只有手动设置才能自动运行。比如：Apache服务。

逻辑梳理：

安全问题产生原因——>渗透测试流程——>kali简单介绍

课程评价：

从一个宏观的角度讲解了安全，讲解了渗透的层次。给初学者一个总体的框架概念，这比其他直接就讲的课程要好很多。最让我感动的是关于道德底线的遵守，别做坏事，遵纪守法。