想学习Web安全,如何入门?
开始前的思考
- 我真的喜欢搞安全吗?
- 我想通过安全赚钱钱?
- 我不知道做什么就是随便?
- 一辈子做安全吗?
这些不想清楚会对你以后的发展很不利,与其盲目的学习web安全,不如先做一个长远的计划。否则在我看来都是浪费时间。
【Web安全学习路线&资料】
首先你得了解Web
Web分为好几层,一图胜千言:
事实是这样的:如果你不了解这些研究对象是不可能搞好安全研究的。
这样看来,Web有八层(如果把浏览器也算进去,就九层!每层都有几十种主流组件!!!)这该怎么办?
一法通则万法通,这是横向的层,纵向就是数据流!搞定好数据流:从横向的层,从上到下→从下到上,认真看看这些数据在每个层是怎么个处理的。
\
零基础web安全学习计划
2.1 HTTP协议请求 (TIME: 一周)
对以下下知识点做了解学习http协议请求 http状态码 post / get 区别
可以使用Chrome浏览器中F12查看“Network”标签中的HTTP请求响应,来了解HTTP协议请求.
2.2.危险的HTTP头参数 (TIME: 一周)
HTTP请求时需对一些必要的参数做一些了解,这些参数也会造成很严重的安全安全问题如下:
user_agent
X-Forwarded-For
Referer
clien_ip
Cookie 2.3 专业术语 (TIME: 一天)
了解如下专业术语的意思
- webshell
- 菜刀
- 0day
- SQL注入
- 上传漏洞
- XSS
- CSRF
- 一句话木马
2.4 专业黑客工具使用 (TIME: 10天)
熟悉如何渗透测试安全工具,掌握这些工具能大大提高你在工作的中的效率。
sqlmap Burpsuite nmap w3af nessus Appscan AWVS
2.5 脚本语言+代码审计入门 (TIME: 10天)
推荐php不用学的太灵通,我们又不是搞开发,了解基本语法和一些危险函数即可如:open exec 等函数会造成什么漏洞,了解了php中的危险函数会造成那些漏洞可举一反三套用到别的脚本当中 asp aspx java这些语言的危险函数可能只是写法不一样功能是相同的,了解这些后就可以来做一些web漏洞的代码审计了.
php入门学习 php代码审计
2.6 Sql注射 (TIME: 3天)
零基础就先用最有效的办法注入推荐注入工具 sqlmap如何使用?
如果你不想只停留在使用工具的层面,那么你需要学习一下数据库,mysql sqlserver 随便先学一个前期学会 selsct 就行,php尝试自己写一个查询数据库的脚本来了解手工sql注入的原理,这样进步会很快,如果想深入可以把各种数据库注入都温习一边。关于需要掌握的技术点:
1. 数字型注入 2.字符型注入 3.搜索注入 4.盲注(sleep注入) 5.sqlmap使用 6.宽字节注入 mysql入门 Sqlmap sleep原理 盲注sleep函数执行sql注入攻击
【Web安全学习路线&资料】
2.7 CSRF 跨站点请求 (TIME: 3天)
为什么会造成csrf,GET型与POST型CSRF 的区别, 如何防御使用 token防止 csrf?
2.8 XSS (TIME: 7天)
要研究xss首先了解同源策略 ,Javascript 也要好好学习一下 ,以及html实体 html实体的10 或16进制还有javascript 的8进制和16进制编码,
xss 进制编码 同源策略
2.9 文件上传漏洞 (TIME: 7天)
了解下开源编辑器上传都有那些漏洞,如何绕过系统检测上传一句话木马
上传绕过
2.10 php-远程/本地 文件包含 (TIME: 10天)
去学习下include() include_once() require() require_once() fopen() readfile()这些php函数是如何产生文件包含漏洞, 本地包含与远程包含的区别。
以及利用文件包含时的一些技巧如:截断 /伪url/超长字符截断 等 等等等等。因为篇幅原因,我就不一一展示了如果你对黑客知识感兴趣。
网络安全学习资源免费分享,保证100%免费!!!(黑客入门教程)
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里
想学习Web安全,如何入门? 一.开始前的思考 1.我真的喜欢搞安全吗? 2.我想通过安全赚钱钱? 3.我不知道做什么就是随便? 4.一辈子做安全吗 这些不想清楚会对你以后的发展很不利,与其盲目的学习 ... web开发 学习 by Rick West 由里克·韦斯特(Rick West) 是否想学习Web开发但不知道从哪里开始? (Want to learn web development but don ... 首先无论你要学习任何技能,必须有一个清晰的版图,什么是清晰的版图呢?首先了解你学的技术将来要从事什么工作,这个工作的条件是哪些? 然后你要有一个非常清晰的学习大纲,切记学习任何东西都要系统,不可胡乱的 ... 前端作为互联网时代直接触达用户的窗口,大到我们每天浏览到的网站,小到一次点击按钮的页面,前端无处不在.并且在产品的众多开发环节之中,最能让用户直观感受到的就是前端开发.因而前端行业的广阔发展前景也吸引 ... 什么是web前端? 大家越来越肯定前端的作用,如今也高端web前端开发人员依旧紧缺.而web前端技术说白了就是Java.CSS.HTML等"传统"技术与Adobe AIR.Goog ... Web前端是一个入行门槛较低的开发技术,但更是近几年热门的职业,web前端不仅薪资高发展前景好,是很多年轻人向往的一个职业,想学习web前端,那么你得找到好的学习方法,以下就给大家分享一份适合新手小白 ... 先说观点,我强烈建议每个人都要自学,不要参加培训班. 我干web前端工程师这个职位已经有6年多的时间,之前在蚂蚁金服做过2年,后来离开是因为加班实在熬不住才走的,像这些已经上市的互联网公司几乎没有不加 ... 放在最前面希望不会影响你的观看,文章很不错哦! 自己整理了一份2018最全面前端学习资料,从最基础的HTML+CSS+JS [炫酷特效,游戏,插件封装,设计模式]到移动端HTML5的项目实战的学习资料 ... Web前端开发是由网页制作演变而来的,主要由HTML.CSS.JavaScript三大要素组成.专业的Web前端开发入门知识也一定会包含这些内容,今天我就给大家简单介绍一下. HTML 超文本标记语言 ...想学习Web安全,如何入门?相关推荐
最新文章
热门文章