《Web前端黑客技術揭秘》《白帽子講Web安全》好難，怎麼讀？

01-11

我看了一下這兩本書，都不是基礎的，字裡行間透露出的都是專業術語，感覺要暈啊，求教該學什麼打基礎，才能讀懂

用搜索引擎搜索每一個看不懂的術語。

面對web安全領域有大量的不熟悉的技術與概念時(其他領域也適用)推薦使用費曼技巧(The Feynman Technique)

費曼技巧來源於當他曾糾結於某篇艱深的研究論文時。他的辦法是，仔細審閱這篇論文的輔助材料(supporting material,互聯網時代下搜索引擎是個好選擇)，直到他掌握了相關的知識基礎、足以理解其中的艱深想法為止。這是一個分治的思想,將一個大問題分解成多個可理解易學習的小問題分而治之。

最好在使用費曼技巧時結合自我反饋和自我闡述。當學會了一個新概念新知識時要及時給予自我正反饋,提高自己的學習熱情和信心。同時在掌握知識的過程中可以試圖使用自己的語言來闡述所學的知識。可以試想一個虛擬的學生,然後你用自己的語言來想方設法教會這名學生,若過程中發現自己的邏輯不清和記憶模糊要及時補上相關知識,直到自己能很有條理的闡述出自己所學的知識。這時就已經對所學的知識有了較好的掌握。

提供一個參考:Mastering Linear Algebra in 10 Days: Astounding Experiments in Ultra-Learning

(10天內掌握線性代數,終極學習方法試驗,網路上有此文的翻譯,百度一下就好)

最後還是強調一點:用好搜索引擎,走遍天下都不怕

看目錄就可以知道需要了解Html Css JavaScript SQL資料庫注入跨站 HTTP協議認識Cookies 還有httponly標誌和https協議secure標誌為什麼會發生這些？看到第一章鬆散的html世界這個標題豁然開朗啊~ 還有對XSS三種類型的認識操作界面劫持內網滲透和最新的html5等

更多XSS學習可以在烏雲的一個白帽子了解學習送上鏈接：白帽子信息_心傷的瘦子用騰訊做實例並且是按時間順序由淺入深過程詳細並且是一個系列超贊啊~

@tombkeeper 說的很對。

我以前入行時，拿到這類書，真的就是「啃」。遇佛殺佛……

感覺會暈其實是因為你對整個web體系架構不熟悉，看啥都感覺很陌生，建議你還是先從這方面入手，最簡單的就是自己嘗試搭個網站，在建站過程中主動去了解前端和後段的知識，期間你肯定會google很多東西，等你心裡對web和瀏覽器整個體系有個底了，就可以嘗試看餘弦和大風的兩本書了。因為這兩本書更注重的是技巧而非基礎的那些東西。

反覆的看，每看一遍都有新的收穫

這兩本書都特別的贊，不過在我看來還是有的部分可以深入的說，不過癮的感覺啊

不會的就去谷歌，不過最基本的前端知識你要懂，不然真的就是天書。。

就好像你拿一本英英牛津字典去查單詞，或許你查一個單詞發現我連解釋裡面的詞都看不懂，你是不是會繼續去查解釋裡面的單詞，然後在這個詞的解釋里又有不懂的辭彙，周而復始。然後越挖越深，越深入就越好理解之前的東西，漸漸的用著用著你就會發現，你居然掌握了這麼多知識，對這個行業也大概了解一二了（至少比門外漢略懂）。

至於怎麼去查「單詞」，就要看你怎麼去用搜索了。還可以去問問懂得人，問的時候卑謙一些。當然問人的前提是你必須經過搜索了解了一些知識之後【這點很重要，誰都不想去教一個什麼都不懂的人，怎麼解釋他都不明白】

《白帽子講Web安全》最近在看，我覺得寫的真是太好了。完全停不下來。有種醍醐灌頂的效果。如果題主看不懂的話可以先去學一下web開發，多做一點項目或者demo（最好用php，初學者分分鐘被黑呀），然後再被別人攻擊幾次或者自己參照書本攻擊自己的。你會看得懂的。還有就是善用搜索引擎。

大三看也覺得有點不懂，大三下寫了下伺服器，用python寫模擬登錄，寫微博爬蟲，然後讀起來很輕鬆，研一讀windows內核，Linux bootloader，linux kernel，fuzzing，現在覺得好簡單。。。總結一下就是書看得不夠，動手太少

我來說些政治不正確的話，這兩本快速過一邊，接著看知道創宇技能表，接著看http://drops.wooyun.org，接著看web application hacker"s hand book（burp的那本說明書），接著裝上Kali每/zhi天/jie玩/hei．注意安全．

－－－

英語很重要，最好看英文的wiki，現在的學習路徑是始於google，wiki，終於書／作者博客．．．

－－－

吐槽下一些東西吧，不好意思，Web前端黑客技術揭秘這本，

１．這本排版真心不好，代碼有些是亂的，python2.7代碼亂的，編譯不過的～～可以用org-mode寫，這樣也會有TOC，整個章節看起來清晰很多．

２．講xss，沒有想像中的清晰．感覺心傷的胖子大大的思路更加透徹，抓住input，output的進行分析．主要是發現有部分內容有重複．且沒有xss平臺的說明，永遠是alert，初學者怎麼知道用來他來偷cookie．

－－－ update 20140926

web2hack/trac · GitHub －－Web前端黑客技術揭秘．實在不好意思，改下答案，最近火氣大，得罪各位大大．

順便，關注cos的github和知道創宇的github．自己搜，能得到更多－－

－－－ update 20141024

最近發現一個比較好的入門的教程。一個挺奇葩的linux發行版，DVL，裡面的教程倒是值得一錯。

服務器後臺源碼也可以看到，便於驗證。

Computer Security Student Home Page|-&>Security Lesson, Tools, Exploits, Topics, Forensics, Clothing 這個網站倒是很多比較好的資料，就是比較老了，結合wooyun的drops吧。

還有Metasploitable這套的教程也很清楚，難度不高，瞭解下概念，也有web演練的，類似上面的系統。

先看《精通腳本黑客》這本書比較基礎。

入門還是很好的。

雖然老了點，網上有很清晰的電子版。

能不能腳踏實地一些？

你能先把編程弄懂了再看這些嗎。

JavaScript權威指南(第6版) (豆瓣)

HTML5權威指南 (豆瓣)

PHP和MySQL Web開發(原書第4版) (豆瓣)

樓上好多都說不懂的就搜，網上有好多好多資料，都能看明白了，肯定都會。但看東西需要幾個要素，1、時間：不管看什麼時間肯定得要；2、知道看的東西是啥：得會2種語言，中文和英文；3、頭腦清晰：能知道作者表達什麼；4、毅力。於君共勉，一起撬開web大門，希望我能從23歲的年紀開始來感受一把web安全帶來的體驗。

書讀百遍，其義自現。

那兩本書需要有一定的基礎才能看懂萬丈高樓平地起！參考一二樓給的建議簡單有效還有不懂的話準備筆和紙放在身邊代碼隨時記錄著有空拿出來思考並回憶下

電腦黑客技術人員vq775399818幫助有需要人不做違法事

對於沒有基礎的人來說可以當做是了解專業術語。

萬事開頭難。但素一旦你堅持下來了，就剩下柳暗花明啦

找了樣章來看，超級好懂好吧。你要是看不懂說明你根本沒有前端開發的基礎知識啊。難道你是看著書名覺得這本書是教你怎麼黑掉網站的，然後想學著做黑客？