注意:
中华人民共和国网络安全法
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、 窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、 干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的 程序、工具:明知他人从事危害网络安全的活动的,不得为其提供技术 支持、广告推广、支付结算等帮助。
一、Python 基础认知
- 定义:解释型、面向对象、动态数据类型高级语言,简洁易读、效率高
- 版本 :Python 2 已停止维护,优先使用 Python 3
- 核心优势:代码简洁、第三方库丰富,适合安全场景快速开发
二、Python 基础语法
1. 基础要素
- 注释:
#单行;''' '''/""" """多行 - 变量:存储数据,赋值用
= - 输入输出:
input()输入、print()输出
2. 六大标准数据类型
- 数字(Number)、字符串(String)
- 列表(List):有序可修改,
[]标识 - 元组(Tuple):有序不可修改,
()标识 - 集合(Set)、字典(Dict):键值对存储
3. 流程控制
- 条件:
if-elif-else,严格缩进 - 循环:
while、for,配合break/continue - 异常处理:
try-except,捕获错误保证程序运行
4. 函数与模块
- 函数:
def 函数名(参数):定义,可复用 - 模块:
.py文件,分内置、自定义、第三方 - 包管理:
pip安装 / 卸载第三方库,支持国内镜像加速
5. 类与对象
- 类:模板,
class定义 - 对象:类的实例
- 魔术方法:
__init__(初始化)、__del__(销毁)等
三、Python 安全核心库
- requests:发送 HTTP 请求,爬虫 / API 交互基础
- lxml:解析 HTML/XML,配合 XPath 提取数据
- json:处理 JSON 格式数据,解析接口返回
- scapy:网络数据包操作
四、爬虫开发实战
1. 核心步骤
- 导入
requests+lxml.etree - 发送
get请求获取网页 - XPath 定位提取内容
- 循环 / 解析输出结果
2. XPath 示例
- 电影标题:
//div[@class="item"]//span[@class="title"][1]/text() - 电影评分:
//div[@class="item"]//span[@class="rating_num"]/text()
3. 反爬伪装
- 请求头:
User-Agent、Referer、Cookie - 动态 URL:用
{}占位符 +format()批量生成
五、渗透测试实战
- 信息泄露 :修改
id等参数,遍历获取他人数据 - 批量爬取 API:循环请求→解析 JSON→提取敏感字段(用户名 / 手机号 / 邮箱)
- 稳健性 :加
try-except跳过异常请求
六、安全工具使用
- dirsearch :目录扫描,找隐藏文件 / 备份
- 命令:
python dirsearch.py -u 目标网址
- 命令:
- sqlmap:SQL 注入检测利用
- Burp Suite:抓包改包,漏洞探测核心工具