知乎大V@Phodal:小白也能看懂的Web安全进阶指南

当黑客很酷吗?

早先,我也是半个黑客,经常在学校的教务系统看妹子。通过 URL 注入的方式,可以轻松进入别人的个人信息页。后来,又通过某种方式发现了管理员的账号,管理员又没有修改默认密码,于是就登录了管理员后台。

这件事,我就偷偷地说到了这,不能让我们家花仲马知道。

后来,我更关注于构建更强壮的 Web 应用,而不是关注在安全领域上。因为我觉得创造是一件更开心的事。

然而 Web 安全,对于一个 Web 从业人员来说,仍然是一个非常重要的课题。

每年因为网站漏洞,都为各家公司带来大量的损失,如去年的 Mirai 蠕虫病毒,最近的微信支付“0元购”漏洞。在这一背景下,Web 安全越来越受重视。除了开发人员,也出现了越来越多地 Web 安全从业者。

那么问题来了,如何进阶为一名 Web 安全高手呢?

1

基础:修炼内功

对于白帽从业者来说,一般都是从 XSS、SQL 注入等简单的漏洞研究入门的。需要对于这两大类漏洞原理,有一定数量的实践和经验。

除了了解各种相关的术语,还需要对于 Web 应用要有一个基本的认识。在这的基础上,对于 HTML、JavaScript 要有基础的了解和使用,它们是 Web 应用架构中最重要的基础元素。其直接运行在浏览器上,渲染出网页。

对于非开发人员的 Web 安全从业者来说,身边有相应的 Cookbook 也是一个不错的方式。

随后,便需要进一步了解 Web 前端应用的数据是如何通讯的——输入及输出。

比如,对于不是使用前后端技术的传统 Web 应用来说,数据可能通过 form data 或者 URL 的形式传递到后台;对于单页面应用来说,数据是通过 json 的形式传递到后台。后台处理完这些数据,再返回到前端供用户阅读。

有空了,再去深入了解诸如 HTTP 协议等一系列底层知识。

2

寻找合适的学习资料

不论是 Web 安全还是 Web 开发,他们都有着基本一致的学习体验。先找到感兴趣的知识点,学习尝试,一点点把玩。再找到一个合适的技能图谱,再按图索骥地去补充知识。

不过,对于初入 Web 安全领域的新人来说,要找到合适的资料不是一件容易的事。有这么几本书还是可以推荐一下的:

《白帽子讲Web安全》 《黑客攻防技术宝典—Web实战篇》 《Web前端黑客技术揭秘》

在学习到一定程度之后,可以按照技能图谱去了解更广泛的知识,诸如 StuQ 的安全工程师必备技能图谱。

3

学好相关工具

对于开发人员来说,最简单的安全工具是在持续集成上,集成对代码扫描、依赖检测相关的事项。

对于 Web 安全从业者来说,有一系列不同的渗透工具可以了解和使用。

当我们对一个网站进行分析时:

可以使用 sqlmap 进行渗透测试,以利用 SQL 注入漏洞; 可以使用 Wireshark + tcpdump 来进行抓包分析; 利用 Chrome 浏览器的开发者工具,来了解 API 用户是如何认证和授权等内容; 当我们对一个服务器进行分析时,可以使用 nmap 进行端口扫描;

……

早前,我使用 Wireshark + TCPdump 用来破解蓝牙通讯协议, Hack 了一个机器人,并编写了相应的应用程序。

详见《我是如何Hack一个机器人的?》https://www.phodal.com/blog/how-to-hack-a-robot/

同时,活用各种搜索引擎搜索,诸如:

网络空间的搜索引擎 ZoomEye、Shodan 常用的 Google——用来搜索知识 不过,在喜欢造轮子的我看来,最合适的工具,还是自己去造轮子。

4

融入圈子

我越来越关注 Web 安全,是因为它可以带来一些额外的乐趣。并且,还能减少编写代码的 BUG。而关注也就意味着,了解最新的资讯和技术等。自去年的 MongoDB 未授权访问漏洞之后,我关注了安全相关的公号,诸如 Freebuf、安全圈等等。

随后去了解、认识、结交更多相关领域的人,以让融入这个圈子。同时关注一些在安全领域有输出的大V,诸如知乎上的 @余弦,他是网络安全、黑客 (Hacker)、信息安全话题的优秀回答者。

然而,更重要的是,保持兴趣 + 持续练习。

原文发布于微信公众号 - Java架构沉思录(code-thinker)

原文发表时间:2018-07-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

免费云存储越存越大,服务商越赔越多?

我国的互联网行业有一个特色,免费即正义。而且这一趋势愈演愈烈,哪家公司能免费的更多,体验更好,用户便蜂拥而来。云存储就是一个这样的状况,而且几家巨头互相竞争之下...

7608
来自专栏AlgorithmDog的专栏

游戏智能系列之二:再次进行准备

上次准备用 AIsteroids 和 0.A.D 平台去学习游戏中的人工智能,现在换成 Clashjs。 AIsteroids 和 0.A.D 作模...

2039
来自专栏ATYUN订阅号

Firefox利用机器学习驱动的扩展帮助用户探索网络

Mozilla的Firefox浏览器今天宣布了一项名为Advance的新实验扩展,它使用机器学习来帮助用户在上下文中更直观地浏览网页。此扩展是Firefox正在...

671
来自专栏云服务器购买

腾讯云服务器租赁价格-购买腾讯云服务器需要多少钱?

初次购买腾讯云服务器的使用者,很多都不清楚腾讯云服务器的价格。就会在网上搜索有关腾讯云服务器的价格。但是网上搜索出来的介绍腾讯云服务器的价格,很多都是过时的,并...

5.1K3
来自专栏福利活动清单

腾讯云学生优惠

腾讯云学生优惠相对于阿里云的槽点在于价格贵了6元一年,而且只能学生认证才能够购买。但是!但是腾讯云学生机可以选择搭配学生优惠的云数据库体验套餐,最低3元一月,还...

20K14
来自专栏SAP最佳业务实践

SAP最佳业务实践:使用看板的生产制造(233)-1业务概览

1、业务情景概览 用途 此业务情景集中介绍精益生产控制方法。 描述了重复制造环境中的生产流程。 此外,通过看板处理管理从供应到生产。 优点 1、生产过...

41310
来自专栏云计算D1net

你为什么需要在云端构建Linux服务器?

云端Linux服务器比以往来得成本更低、性能更好。 要是你之前还没有启动过云端Linux服务器,眼下也许正是大好时机。原因何在因为你在短短几分钟内就能安装好一台...

6277
来自专栏IT大咖说

全面讲解如何快速开发腾讯云小游戏

内容来源:2018 年 08 月 25 日,腾讯游戏云产品总监王永和在“腾讯云GAME-TECH游戏开发者技术沙龙 小游戏”进行《腾讯云小游戏解决方案》演讲分享...

5624
来自专栏黄希彤的专栏

就算云厂商水逆了,服务也不能倒

这阵子接连发生极小概率事件:先是几条光缆同时被挖断导致一个服务区失联、然后又是一个硬盘出现罕见的静默错误(写入数据和读取出来的不一致)后居然被选中为主数据源导致...

2.1K12
来自专栏安恒信息

策略升级 | 快速发现OWASP TOP 10 2017漏洞

OWASP(开源Web应用安全项目)于2017年11月22正式发布OWASP Top 10 2017最终版本,作为全球网络安全500强, 云安全、...

3148

扫码关注云+社区

领取腾讯云代金券