160天入門web安全

大家好，我是c00lman。最近有小夥伴問我，學web安全有沒有什麼路線。確實，web安全的範圍實在太大，哪些先學，哪些後學,如果沒有系統的路線會降低大家效率，對於剛入門的同學們來說簡直就是「噩夢」。當初我剛入門的時候走了很多彎路，甚至有持續半年的階段里在做無用功，現在的我逐漸走入正軌。所以，我打算寫一篇類似學習路線的博文，幫助剛入門的萌新們少走彎路，希望能給大家一些幫助。

李笑來老師有一個觀點，MAKE(Minimal Actionable Knowledge and Experience)，即「最少必要知識」。MAKE就是想要獲得某項技能所必須掌握的最少知識和經驗，其實也就是俗話說的「師傅帶進門，修行在個人」中師傅帶進門教的哪些東西。本文就是帶你入web安全的大門，讓你的瓶頸更高一些。

01 基礎語言（60天）

做web安全的人如果不懂開發，不會語言，也就是所謂的腳本小子了，是很可怕的，你會很快的遇到瓶頸，那就是語言。我希望大家從剛開始就夯實基礎，學好語言，你學的越好，你的瓶頸也就越高。

常見語言:HTML、CSS、JS、JAVA、PHP、SQL、Python、Ruby

以上這些語言都涉及到開發和腳本編寫，試想一下，在你未來做代碼審計和腳本編寫的時候，如果你已經掌握這些語言，豈不是美滋滋。

推薦一下相關書籍（無商業關係）

02 基礎協議（20天）

因為是web安全，所以要著重學習HTTP協議和TCP/IP協議，這也將是決定你的瓶頸高低的一個因素。

推薦一下相關書籍（無商業關係）

03 常見漏洞和工具（60天）

常見工具：AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan……（要自己讀一遍工具的官方API）

常見漏洞：SQL注入 、XSS攻擊、CSRF漏洞、文件上傳繞過、文件包含漏洞、任意代碼執行、業務邏輯漏洞……

這些是必須要學的，而且還需要精通，這些漏洞和工具，在我推薦的書籍里都有所涉及，大家可以看書學習，或者上網搜索。

推薦一下相關書籍（無商業關係）

04 工具開發（10天）

雖然網上有大牛放出來的工具，但使用的過程中總有些不順手，或者網上根本沒有這種工具，有些EXP和POC需要自己編寫。這些時候就要自己開發工具了，開發工具主要就是python和C#。

推薦一下相關書籍（無商業關係）

05 伺服器安全配置(10天)

首先要熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；

熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist等；

然後學習伺服器環境配置，並能通過思考發現配置存在的安全問題。

例如：

Windows環境下的IIS配置，特別注意配置安全和運行許可權；

Linux環境下的LAMP的安全配置，主要考慮運行許可權、跨目錄、文件夾許可權等；

遠程系統加固，限制用戶名和口令登陸，通過iptables限制埠；

配置軟體Waf加強系統安全，在伺服器配置mod_security等系統通過。

推薦一下相關書籍（無商業關係）

通過最起碼160天的學習，我覺得就可以入門web安全了，至於剩下的只能靠你自己探索了。希望這篇文章能夠給大家帶來幫助。

想交流的可以關注微信公眾號:c00lsafe。

http://weixin.qq.com/r/QDgoMH-EwSK_rTtT921S (二維碼自動識別)

最後送給大家一句話：

想要了解某個技術，請閱讀一些相關文檔；

想要明白某個技術，請嘗試實踐這些技術；

想要悟透某個技術，請嘗試向他人講解此技術。

推薦閱讀：