好的工具和資源可以讓你事半功倍！！！
以下是一些在 Web 常用的工具和練習網站：

工具

• Burp Suite
  • 用途：Web 安全測試。
  • 特點：提供了代理服務、擷取包、分析等多種功能。
• Wireshark
  • 用途：網絡封包分析。
  • 特點：可以實時或事後分析網絡封包。
• Nmap
  • 用途：網絡掃描和服務檢測。
  • 特點：多平台支持，強大的指令選項。
• ZAP
  • 用途：Web 應用安全掃描。
  • 特點：用戶友好，適合初學者。
• Metasploit
  • 用途：滲透測試和漏洞發現。
  • 特點：強大的 exploit 數據庫。
• John the Ripper
  • 用途：密碼破解。
  • 特點：支持多種密碼算法。
• SQLmap
  • 用途：自動檢測和利用 SQL 注入漏洞。
  • 特點：支持多種數據庫系統。
• ngrok
  • 用途：將本地服務暴露到公網。
  • 特點：無需部署到外部服務器，方便用於測試。

練習網站

• portswigger Academy
  • 就是 burp suite 那間公司
  • 有海量全面優質的 Lab 和對應的課程
• XSS game
  • 一個很經典的 XSS 練習網站
• DVWA
  • 實際是一台靶機, 要自己架起來打, 也可以練一下自己架環境的能力
  • 有多種 web 常見漏洞, 也有難度可以選擇