160天入門web安全

160天入門web安全

大家好,我是c00lman。最近有小夥伴問我,學web安全有沒有什麼路線。確實,web安全的範圍實在太大,哪些先學,哪些後學,如果沒有系統的路線會降低大家效率,對於剛入門的同學們來說簡直就是「噩夢」。當初我剛入門的時候走了很多彎路,甚至有持續半年的階段里在做無用功,現在的我逐漸走入正軌。所以,我打算寫一篇類似學習路線的博文,幫助剛入門的萌新們少走彎路,希望能給大家一些幫助。

李笑來老師有一個觀點,MAKE(Minimal Actionable Knowledge and Experience),即「最少必要知識」。MAKE就是想要獲得某項技能所必須掌握的最少知識和經驗,其實也就是俗話說的「師傅帶進門,修行在個人」中師傅帶進門教的哪些東西。本文就是帶你入web安全的大門,讓你的瓶頸更高一些。

01 基礎語言(60天)

做web安全的人如果不懂開發,不會語言,也就是所謂的腳本小子了,是很可怕的,你會很快的遇到瓶頸,那就是語言。我希望大家從剛開始就夯實基礎,學好語言,你學的越好,你的瓶頸也就越高。

常見語言:HTML、CSS、JS、JAVA、PHP、SQL、Python、Ruby

以上這些語言都涉及到開發和腳本編寫,試想一下,在你未來做代碼審計和腳本編寫的時候,如果你已經掌握這些語言,豈不是美滋滋。

推薦一下相關書籍(無商業關係)

02 基礎協議(20天)

因為是web安全,所以要著重學習HTTP協議和TCP/IP協議,這也將是決定你的瓶頸高低的一個因素。

推薦一下相關書籍(無商業關係)

03 常見漏洞和工具(60天)

常見工具:AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan……(要自己讀一遍工具的官方API)

常見漏洞:SQL注入 、XSS攻擊、CSRF漏洞、文件上傳繞過、文件包含漏洞、任意代碼執行、業務邏輯漏洞……

這些是必須要學的,而且還需要精通,這些漏洞和工具,在我推薦的書籍里都有所涉及,大家可以看書學習,或者上網搜索。

推薦一下相關書籍(無商業關係)

04 工具開發(10天)

雖然網上有大牛放出來的工具,但使用的過程中總有些不順手,或者網上根本沒有這種工具,有些EXP和POC需要自己編寫。這些時候就要自己開發工具了,開發工具主要就是python和C#。

推薦一下相關書籍(無商業關係)

05 伺服器安全配置(10天)

首先要熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等;

熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist等;

然後學習伺服器環境配置,並能通過思考發現配置存在的安全問題。

例如:

Windows環境下的IIS配置,特別注意配置安全和運行許可權;

Linux環境下的LAMP的安全配置,主要考慮運行許可權、跨目錄、文件夾許可權等;

遠程系統加固,限制用戶名和口令登陸,通過iptables限制埠;

配置軟體Waf加強系統安全,在伺服器配置mod_security等系統通過。

推薦一下相關書籍(無商業關係)

通過最起碼160天的學習,我覺得就可以入門web安全了,至於剩下的只能靠你自己探索了。希望這篇文章能夠給大家帶來幫助。

想交流的可以關注微信公眾號:c00lsafe。

weixin.qq.com/r/QDgoMH- (二維碼自動識別)

最後送給大家一句話:

想要了解某個技術,請閱讀一些相關文檔;

想要明白某個技術,請嘗試實踐這些技術;

想要悟透某個技術,請嘗試向他人講解此技術。

推薦閱讀:

2018年5月29日推薦
厲害了!阿里安全圖靈實驗室在ICDAR2017 MLT競賽刷新世界最好成績
飄散在空中的Wi-Fi密碼:SmartCfg無線配網方案的安全分析
做網路不要有一夜暴富的心態!
數據安全(對於時下與數據安全的熱點新聞及諮詢類的討論較多,故論壇文以熱點新聞為入口點)

TAG:網路安全 | 滲透測試 | Web安全測試 |