经常有同学会问有没有学习Web安全的方法。Web安全的范围太大,哪个先学,哪个后学,没有系统的路线就会降低效率,这对刚入门的小白们来说是个噩梦,很多人开始时都要经历很多曲折才能走上正轨。希望本文能帮助你更好的进入网络安全的世界,学习更轻松。
什么是Web安全?
首先简单介绍下Web安全。目前基于Web环境的网络应用日益广泛,企业信息化过程中各种应用布置在Web平台上,越来越多的黑客都开始关注Web业务,黑客利用操作系统的漏洞和sq|注入漏洞获取到Web服务器的控制权限,从而修改网页内容或偷取重要内部数据,甚至在网页中植入恶意代码,让网站访客受到侵害。这也使得越来越多的用户关注应用层的安全,对Web应用安全的关注度也随之提高。
学好Web安全需要掌握哪些知识?
web安全人员不懂开发,不懂语言, 那你很容易就会到瓶颈。所以大家从-开始就要巩固基础,好好学语言,这样你的瓶颈也就越高。
01基础语言
常用语言:HTML、CSS、 JS、 JAVA、PHP、SQL、 Python、 Ruby
以上语言都与开发和脚本编写有关,将来当你能够完全掌握这些语言时,你做编写脚本和代码审计的时候就会很轻松。
02基础协议
学习Web安全特别要注意HTTP协议和TCP/IP协议的学习,这对于你能不能学好Web安全有着重大的影响。
03常用工具和常见漏洞
常用工具: AWVS、sqlmap、 Burp、 nessus、 chopper、 nmap、Apseca.....(要认真看一 下读工具的官方API )
常见漏洞: SQL注入、XSS攻击、CSRF漏洞、文件上传绕过、文件包含漏洞、任意代码执行、业务逻辑漏洞.....
这些漏洞和工具都是一定要精通学习的 ,大家也可以去蚁景网安实验室学习渗透Web安全基础实验。
04工具研发
虽然网络.上有大牛发布的工具,但使用起来总是不方便,或者找不到这些工具的,有些EXP和POC得自己去编写。那就不得不自己开发工具了,主要就是python和C#。
05服务器安全配置
先熟悉Linux下的常用命令, eg : ifconfig,ls,cp,mv,vi,wget,service,sudo等;
Windows下的常用的cmd命令, eg : ipconfig,nslookup,tracert,net,tasklist等;
然后通过服务器环境配置的学习去挖掘配置中的安全问题。
eg :Windows环境下的IIS配置,尤其是运行权限与配置安全;
Linux环境下的LAMP的安全配置,首要考虑文件夹权限、运行权限、跨目录等;
除了学习这些知识外,剩下的其他还需要由自己去研究探寻了。希望这篇文章能给你有所帮助,另外蚁景网安实验室特现推出的Web安全工程师特训班可以帮助小白快速入门Web安全,感兴趣的同学可以点击(https://www.yijinglab.com/pages/activity/webSecurityOpenClass.html)前往了解更多哦。