零基础如何学习 Web 安全?

Posted Python_chichi

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了零基础如何学习 Web 安全?相关的知识,希望对你有一定的参考价值。

随着网络安全行业的快速发展,Web安全也出现在大众视野中,尤其是当Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中将各种应用都架设在Web平台上,于是接踵而至的Web安全威胁逐渐凸显出来,题主零基础学习Web安全,首先需要了解其定义,然后再进行系统化的学习。下面就为题主一一例举如何学习Web安全的学习步骤。

一、了解Web安全定义以及攻击Web安全的手段

Web安全的定义:保证Web环境安全,为新型互联网产品提供安全平台。攻击Web安全的手段:利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更有甚者在网页中植入恶意代码,使得网站访问者受到侵害。

攻击种类:(1)、SQL注入:即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。(2)、跨站脚本攻击(也称为XSS):指利用网站漏洞从用户那里恶意盗取信息。用户可能由于种种原因点击到一些链接,攻击者通过在链接中插入恶意代码,就能够盗取用户信息。(3)、网页挂马:把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面,再加代码使得木马在打开网页里运行。

二、学习web安全相关原理知识及概念

主要包括浏览器、服务器、前后端语言。

(1)浏览器
了解浏览器的基本功能,熟练运用F12,开发者设置,代理,调试代码等,还要对浏览器与服务器之间传递信息的过程足够了解,即http协议,如果是一键化的phpstudy或lnmp可以先不着急使用,自己手动搭建环境,进行配置文件的关联时,你能很好的明白Web中各个零件、齿轮的供应链、运行机制、工作原理。

(2)服务器
包括WinServer、nginx、Apache等

(3)前后端语言

html5是基本要学习的语言,达不到开发的水平也不用担心,但是一定要能看懂。CSS有初步的了解即可,主要用于样式设置,JS是重点,学会JS能给你打下扎实的基础。后端推荐学习PHP,因为php搭建的网站较多,学习这个就是去熟悉php的基本语法,常用函数。伪协议等。数据库语言推荐mysql,学习基本语法,深度掌握查找,还要了解MYSQL的系统表内容。

三、当下主流漏洞的原理与利用的学习

当下常见的安全漏洞是OWASP十大安全漏洞,php的相关版本的各种漏洞,服务器相关漏洞,还有上面的攻击种类所提到的SQL、XSS、CSRF等主流漏洞的原理与利用学习。

四、学习使用常见的安全工具

例如:burpsuite、awvs、sqlmap、菜刀、nmap等安全工具,从使用方式到使用原理都要掌握。

五、漏洞挖掘实战训练

在第三步中了解渗透、SQL注入、文件上传入侵、数据库备份、dedecms漏洞利用等原理。也掌握了一些安全工具的使用,接下来就是寻找授权站点或者尝试自己搭建测试环境进行测试。在这里提醒一下一定要寻找授权站点进行训练,因为未授权必违法。可以选择一些适合自己的靶场进行训练。

六、当下主流漏洞的挖掘与审计复现

在论坛或者安全圈内寻找技术分析帖进行阅读,学习他人挖零日漏洞的思路,并复现,尝试着进行相同审计。上面的六个步骤学完,题主就可以掌握Web安全的入门所有知识了,技术水平也可达到安全工程师的水平,借此找一份白领的工作是非常容易的。下面的步骤是进阶阶段,想要往更高层次发展的可以学习。

七、学习系统命令

熟悉windows常用cmd命令,windows的一些重要的系统文件,linux基本命令,学会操作linux后,就可以开始接触kail linux内的工具了。

八、学习一种或几种编程语言,编写自己的脚本或专属工具

(1)、学习一门写工具的语言,Python、Golang,打造自己专属的独一无二的渗透测试工具,加快渗透速度。(2)学习多种编程代码语言,分析代码的函数底层代码,例如:PHP的底层是C语言开发,然后还可以尝试接触汇编、二进制,往更复杂的漏洞深入挖掘。完成进阶的这两个学习步骤,题主就能达到安全实验员的技术水平,当然这两步会比较难而且学习时间会比较长,是否学习全由题主自己选择。

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

以上是关于零基础如何学习 Web 安全?的主要内容,如果未能解决你的问题,请参考以下文章

学Web安全要不要懂编程开发?点这里送你零基础Web安全学习路线!

零基础如何入门渗透and黑客「web安全」

零基础如何学习Web 安全,如何让普通人快速入门网络安全?

(2022版)零基础入门网络安全/Web安全,收藏这一篇就够了

20155313 杨瀚 《网络对抗技术》实验九 Web安全基础

《信息安全系统设计基础》实验五