大家好,我是小V。最近有小伙伴问我,学web安全有没有什么路线。确实,web安全的范围实在太大,哪些先学,哪些后学,如果没有系统的路线会降低大家效率,对于刚入门的同学们来说简直就是“噩梦”。当初我刚入门的时候走了很多弯路,甚至有持续半年的阶段里在做无用功,现在的我逐渐走入正轨。所以,我打算写一篇类似学习路线的博文,帮助刚入门的萌新们少走弯路,希望能给大家一些帮助。
书籍都打包好pdf版的
01 基础语言(60天)
做web安全的人如果不懂开发,不会语言,也就是所谓的脚本小子了,是很可怕的,你会很快的遇到瓶颈,那就是语言。我希望大家从刚开始就夯实基础,学好语言,你学的越好,你的瓶颈也就越高。
常见语言:HTML、CSS、JS、JAVA、PHP、SQL、Python、Ruby
以上这些语言都涉及到开发和脚本编写,试想一下,在你未来做代码审计和脚本编写的时候,如果你已经掌握这些语言,岂不是美滋滋。
推荐一下相关书籍(无商业关系)
02 基础协议(20天)
因为是web安全,所以要着重学习HTTP协议和TCP/IP协议,这也将是决定你的瓶颈高低的一个因素。
推荐一下相关书籍(无商业关系)
03 常见漏洞和工具(60天)
常见工具:AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan……(要自己读一遍工具的官方API)
常见漏洞:SQL注入 、XSS攻击、CSRF漏洞、文件上传绕过、文件包含漏洞、任意代码执行、业务逻辑漏洞……
这些是必须要学的,而且还需要精通,这些漏洞和工具,在我推荐的书籍里都有所涉及,大家可以看书学习,或者上网搜索。
推荐一下相关书籍(无商业关系)
04 工具开发(10天)
虽然网上有大牛放出来的工具,但使用的过程中总有些不顺手,或者网上根本没有这种工具,有些EXP和POC需要自己编写。这些时候就要自己开发工具了,开发工具主要就是python和C#。
推荐一下相关书籍(无商业关系)
05 服务器安全配置(10天)
首先要熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等;
熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist等;
然后学习服务器环境配置,并能通过思考发现配置存在的安全问题。
例如:
Windows环境下的IIS配置,特别注意配置安全和运行权限;
Linux环境下的LAMP的安全配置,主要考虑运行权限、跨目录、文件夹权限等;
远程系统加固,限制用户名和口令登陆,通过iptables限制端口;
配置软件Waf加强系统安全,在服务器配置mod_security等系统通过。
推荐一下相关书籍(无商业关系)
通过最起码160天的学习,我觉得就可以入门web安全了,至于剩下的只能靠你自己探索了。希望这篇文章能够给大家带来帮助。
最后有需要电子书的,可以评论区领取哦~ 我挨个发