网络安全开篇

WAS：Web Application Security，

OWASP：Open Web Application Security Project

OWASP Top10：这是每年的一份关于web应用的十大威胁安全报告，会在经过安全专家的测验之后确定十大类对当前web应用威胁最大和被应用最广的漏洞，同时也会对其进行详细的分析威胁所在。 

NMAP：NMap，也就是Network Mapper，最早是Linux下的网络扫描和嗅探工具包。

                                                            安全技能树简版

西电信安协会技能点：

计算机基本常识、C语言基础、数据结构、各种常见web漏洞、使用一些常用入侵检测工具和辅助工具入侵一些安全系数较低的web应用、常用Windows命令（net user、net localgroup、net use、net share、net start、arp、whoami、regedit、tasklist、find、cp、mkdir、del、print....，批处理脚本）、一门就脚本语言、Linux使用、Windows编程、汇编语言、逆向破解、深入破解、exploit、木马免杀

#《Web安全深度剖析》

1、攻击者要对计算机进行渗透，必须能与服务器进行正常通信，通过端口进行入侵。过去的黑客攻击方式直接对目标进行攻击如端口扫描、密码爆破、缓冲区溢出等获取目标权限，新的战场转移到Web之上。

                                                                                              风险点

2、一般用浏览器发起HTTP请求，也可以用其他工具如curl发起请求，curl url。

HTTP请求：

HTTP响应：

GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT、OPTIONS

响应状态码：

Burp Suite Proxy用于Web应用安全测试工具的集成平台；Fidder也是好工具；Winsocket Expert；WireShark；Iptool；Sniffer；MiniSinffer。

SEO：搜索引擎优化。

3、信息探测

在google搜索栏中输入：site:baidu.com

Nmap工具，扫描命令。强大的Nmap Script。

指纹识别：根据特征可以识别出OS类型、web服务器类型等。

4、漏洞扫描

漏洞扫描工具：Burp Suite、AWVS、AppScan

#《Web渗透测试使用Kali Linux》

1、Web应用是指那些将Web浏览器当成客户端的应用。

渗透测试针对的是发现得漏洞：渗透测试无法让IT网络更安全。

BackTrack的作者发布了一个全新的高级渗透测试Linux发行版-Kali Linux（2013.03.13），BT5是BackTrack发行版的最后一个主版本。Kali Linux基于Debian，文件系统遵循FHS标准。