web安全要学什么?
信息安全专业在中国就是垃圾,建议选择计算机专业,这样可以有深厚的计算机和网络的底蕴,信息安全专业会安排一堆没用的课程,涉及面太广,而且国内没什么好的教材,相关专业的教师也少得可怜,如果真的想学,就报考武汉大学的信息安全专业,中国第一个开设信息安全专业的大学,是唯一的自己编写信息安全教材的大学…
一般就行,主要偏向编程语言如JavaScript或者PHP等
Web安全的范围实在太大,哪些先学,哪些后学,如果没有系统的路线会降低大家效率,对于刚入门的同学们来说简直就是“噩梦”。所以,这篇类似学习路线的文章,希望可以帮助刚入门的萌新们少走弯路。(文末附学习资料及工具领取)
首先我们来看看企业对Web安全工程师的岗位招聘需求是什么?
1职位描述
对公司各类系统进行安全加固;
对公司网站、业务系统进行安全评估测试(黑盒、白盒测试)
对公司安全事件进行响应、清理后门、根据日志分析攻击途径
安全技术研究,包括安全防范技术、黑客技术等;
跟踪最新漏洞信息,进行业务产品的安全检查。
熟悉Web渗透测试方法和攻防技术,包括SQL注入、XSS跨站、CSRF伪造请求、命令执行等OWSP TOP10 安全漏洞与防御;
熟悉Linux、Windows不同平台的渗透测试,对网络安全、系统安全、应用安全有深入理解和自己的认识;
熟悉国内外安全工具,包括Kali、Linux、Metasploit、Nessus、Namp、AWVS、Burp等;
对Web安全整体有深刻理解,有一定漏洞分析和挖掘能力;
2岗位要求
根据岗位技能需求,再来制定我们的学习路径,如下:
一、Web安全学习路径
01 HTTP基础
只有搞明白Web是什么,我们才能对Web安全进行深入研究,所以你必须了解HTTP,了解了HTTP,你就会明白安全术语的“输入输出”。黑客通过输入提交“特殊数据”,特殊数据在数据流的每个层处理,如果某个层没处理好,在输出的时候,就会出现相应层的安全问题。关于HTTP,你必须要弄明白以下知识:
HTTP/HTTPS特点、工作流程
HTTP协议(请求篇、响应篇)
了解HTML、Javascript
Get/Post区别
Cookie/Session是什么?
02 了解如下专业术语的意思
Webshell
菜刀
0day
SQL注入
上传漏洞
XSS
CSRF
一句话木马
......
03 专业黑客工具使用
熟悉如何渗透测试安全工具,掌握这些工具能大大提高你在工作的中的效率。
Vmware安装
Windows/kali虚拟机安装
Phpstudy、LAMP环境搭建漏洞靶场
Java、Python环境安装
子域名工具 Sublist3r
Sqlmap
Burpsuite
Nmap
W3af
Nessus
Appscan
AWVS
04 XSS
要研究 XSS 首先了解同源策略 ,Javascript 也要好好学习一下 ,以及HTML实体 HTML实体的10 或16进制还有Javascript 的8进制和16进制编码,最终掌握以下几种类型的XSS:
反射型 XSS:可用于钓鱼、引流、配合其他漏洞,如 CSRF 等。
存储型 XSS:攻击范围广,流量传播大,可配合其他漏洞。
DOM 型 XSS:配合,长度大小不受限制 。
05 SQL注入
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。你需要了解以下知识:
SQL 注入漏洞原理
SQL 注入漏洞对于数据安全的影响
SQL 注入漏洞的方法
常见数据库的 SQL 查询语法
MSSQL,MYSQL,ORACLE 数据库的注入方法
SQL 注入漏洞的类型:数字型注入 、字符型注入、搜索注入 、盲注(sleep注入) 、Sqlmap使用、宽字节注入
SQL 注入漏洞修复和防范方法
一些 SQL 注入漏洞检测工具的使用方法
06 文件上传漏洞
了解下开源编辑器上传都有哪些漏洞,如何绕过系统检测上传一句话木马、WAF如何查杀Webshell,你必须要掌握的一些技能点:
1.客户端检测绕过(JS 检测)
2.服务器检测绕过(目录路径检测)
3.黑名单检测
4.危险解析绕过攻击
5..htaccess 文件
6.解析调用/漏洞绕过
7.白名单检测
8.解析调用/漏洞绕过
9.服务端检测绕过-文件内容检测
10.Apache 解析漏洞
11.IIS 解析漏洞
12.Nginx 解析漏洞
07 文件包含漏洞
去学习下
include() include_once() require() require_once() fopen() readfile()
这些php函数是如何产生文件包含漏洞, 本地包含与远程包含的区别,以及利用文件包含时的一些技巧如:截断 /伪url/超长字符截断等 。
08 命令执行漏洞
PHP代码中常见的代码执行函数有:
eval(), assert(), preg_replace(), call_user_func(), call_user_func_array(),create_function(), array_map()等。
了解这些函数的作用然后些搞清楚如何造成的代码执行漏洞。
09 CSRF 跨站点请求
为什么会造成CSRF,GET型与POST型CSRF 的区别, 如何防御使用 Token防止CSRF?
010 逻辑漏洞
了解以下几类逻辑漏洞原理、危害及学会利用这几类漏洞:
信息轰炸、支付逻辑漏洞、任意密码修改、越权访问、条件竞争、任意注册、任意登录、顺序执行缺陷、URL跳转漏洞.
011 XEE(XML外部实体注入)
当允许XML引入外部实体时,通过构造恶意内容,可以导致文件读取、命令执行、内网探测等危害。
012 SSRF
了解SSRF的原理,以及SSRF的危害。
SSRF能做什么?当我们在进行Web渗透的时候是无法访问目标的内部网络的,那么这个时候就用到了SSRF漏洞,利用外网存在SSRF的Web站点可以获取如下信息。
1.可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息;
2.攻击运行在内网或本地的应用程序(比如溢出);
3.对内网Web应用进行指纹识别,通过访问默认文件实现;
4.攻击内外网的Web应用,主要是使用get参数就可以实现的攻击(比如struts2,sqli等);
5.利用file协议读取本地文件等。
如果上述漏洞原理掌握的都差不多那么你就算入门Web安全了。
如果看了上面你还不知道具体如何学习?可参考合天网安实验室Web安全工程师岗位培养路径学习:网页链接
这个就很多了,首先你要系统的了解互联网的基本结构从基本的小局域网怎么连的在怎么把局域网通过交换机来连起来,服务器与机器协作,各个机器的所属范围防火墙等,你要学很多,先从基本的掐网线开始吧
可参考
web安全要学什么
学习Web安全需要掌握Web安全相关概念、渗透测试相关工具、渗透实战操作、熟悉Windows\/Kali Linux、中间件和服务器的安全配置、脚本编程学习、源码审计与漏洞分析、安全体系设计与开发等等。简单做一个学习规划:第一步:Web安全相关概念 建议学习时间:2周 学习内容如下:1、熟悉基本概念(SQL注入、上传、XSS、...
学web安全前都需要掌握什么
Web网站常见的协议以及请求方式,这些在做渗透的时候必不可少的。甚至也是可以利用协议来做渗透测试。所有的知识都是息息相关的,必不可少。2、基础的编程能力 一名Web渗透测试人员必须具有有一定的基础编程能力的,每天都跟代码打交道,如果不会写代码或者看不懂代码,十分吃亏。例如需要自己写一款适合此...
web安全涉及到哪些方面
web安全涉及到基础网络安全、系统安全、数据和应用安全三个方面。1、基础网络安全(按网络区域划分):网络终端安全,防病毒(网络病毒、邮件病毒)、非法入侵、共享资源控制;内部局域网(LAN)安全,内部访问控制(包括接入控制)、网络阻塞(网络风暴)、病毒检测;外网(Internet)安全,非法入侵、病毒检测...
网络安全培训的内容
学习数据库基础、网络基础和linux基础。具体细致的技术包括MySQL安装操作,基本使用命令,MySQL事物、MySQL函数、tcp和udp基本原理,VIM编辑器等。第二阶段:主要学习内容是web具体技术包括安全编程开发html\/js、PHP语言基础、HTML简介、基本语法、常用标签、表单元素、PHP环境安装、Nginx、配置文件等。第三阶段...
网络安全专业可以获得的技能?
学习Web安全需要掌握Web安全相关概念、渗透测试相关工具、渗透实战操作、熟悉Windows\/Kali Linux、中间件和服务器的安全配置、脚本编程学习、源码审计与漏洞分析、安全体系设计与开发等等。简单做一个学习规划:第一步:Web安全相关概念 建议学习时间:2周 学习内容如下:1、熟悉基本概念(SQL注入、上传、XSS、...
web安全与渗透测试工程师应该学习哪些知识,他学习的内容
web安全与渗透测试工程师应该学习的知识广泛而深入。以下内容提供了工程师们从基础知识到高级技能的全面指南。基础知识是构建坚实基础的关键。工程师需掌握多种编程语言,如HTML、JavaScript、PHP、ASP、ASP.NET和JSP,达到70%的开发水平,以确保能够理解并处理复杂的技术需求。同时,数据库语言SQL的通用知识...
零基础学web安全,要从哪里开始学?html,css,js,php,http是不是要先学...
学一下Python爬虫框架。信息搜集用 信息搜集。社工,谷歌hack语法 漏洞原理,漏洞分析。开始了解注入类型 其他类型,XSS CSRF SSRF 文件上传下载 编辑器 如何getShell SqlMap burpsuite waf绕过 + 内网渗透 最后kali,工具较多,挑选。总结web安全这块知识面广,但是涉入层较浅,关键在手法和思想。深入...
web安全主要分为几个方面
Web安全的核心领域主要分为两个维度:一是研究,即对Web技术安全理论的探索;二是渗透,涉及实际的网络安全防御措施。随着Web2.0、社交媒体和微博等新兴平台的兴起,基于Web的应用普及率剧增,企业的信息化进程愈发依赖于网络。然而,这也为黑客提供了新的目标,他们通过挖掘网站系统的漏洞,如操作系统漏洞...
网络安全专业学什么
从TCP\/IP协议层面来区分,应用层安全一般叫web安全,应用层以下,都可以叫内网安全一般的高级网络安全工程师,要求虽然说不是全会,但是都要会一点,因为安全是一个全方面的系统,你漏一点,就是造成漏洞,让黑客和不法人员轻松进来。
web安全培训什么内容
4、学习CSRF伪造用户请求。CSRF(Cross-siterequestforgery,跨站请求伪造)也被称为oneclickattack(单键攻击)或者sessionriding,通常缩写为CSRF或者XSRF。5、暴力破解常见服务,可以使用Hydra九头蛇,也可以使用美杜莎。6、还要了解web网站里基于文件上传漏洞去如何获取webshell权限,在这里我们可以使用蚁剑加一句...
爰俗思连: 这个就很多了,首先你要系统的了解互联网的基本结构从基本的小局域网怎么连的在怎么把局域网通过交换机来连起来,服务器与机器协作,各个机器的所属范围防火墙等,你要学很多,先从基本的掐网线开始吧.祝你成功.
平和县18671502852: 我想学web安全,应该学些什么课程? 比如说什么书? - ?
爰俗思连: 推荐Malik的《网络安全原理与实践》
平和县18671502852: 学习网络安全技术 要学哪些东西 - ?
爰俗思连: 1、基础的网络协议 2、基础的编程能力 3、渗透测试工具 4、漏洞原理 5、报告撰写能力
平和县18671502852: web安全需要学习哪些知识 - ?
爰俗思连: 你要系统的了解互联网的基本结构,从基本的小局域网怎么连,怎么让服务器与机器协作,慕课网有相关的课程哟.
平和县18671502852: 学习web安全需要那些基础 - ?
爰俗思连: 首先得懂开发语言,然后了解常规的WEB安全,比如SQL注入、网页木马、跨站入侵等.
平和县18671502852: 请问大佬们要是自学web安全工程师的话,学html需要学到什么程度 - ?
爰俗思连: 一般就行,主要偏向编程语言如JavaScript或者PHP等
平和县18671502852: 零基础如何学习 Web 安全? - ?
爰俗思连: web安全防范最重要的4个点:XSS、SQL注入、CSRF、远程加载
平和县18671502852: 初学web安全,求大神指点道路 - ?
爰俗思连: 初学者如何学习web开发,需要掌握哪些方面?这里我写下我的一些的建议,仅供参考.高手可以飘过. 第一步:学习HTML和CSS HTML(超文本标记语言)是网页的核心,学好HTML是成为Web开发人员的基本条件.HTML很容易学习的,但...
平和县18671502852: 信息安全要学习哪些内容?怎样的学习流程 - ?
爰俗思连: 先要对安全有充分的了解,摸清楚安全都细分了哪些领域,你自己最感兴趣的是哪个.方向有了,具体技术以后有的是时间慢慢深入.web安全就看《白帽子讲web安全》和《Web前端黑客技术揭秘》,辅助看看知道创宇的技能列表做参考....
平和县18671502852: 信息安全的学习有什么好的方法吗?想学习信息安全,都应该学习什么?? ?
爰俗思连: 信息安全是一个行业,这个行业里面又细分成很多方向,就类似于开发还分为JAVA,C,IOS等等,信息安全细分的方向主要有三个,网络安全,Web安全和底层安全.这里面现在有学习意义的就是Web安全和底层安全,Web相对好学一些,主要是学习工具的使用就可以了,底层安全门槛比较高,需要学习的东西也很多.主要是C,C++等编程语言,协议,逆向,文件结构等等,Web安全你买些书,看看工具怎么用就可以了.底层安全要复杂一些,因为涉猎面很广,花费的时间也就长的多.我现在在学习底层安全的知识,因为自学难度太大了,所以我选择了培训,现在在15PB学习恶意代码分析方向,收货挺多,因为不再像自学一样没有方向了.希望回答可以帮到你.
