学完这个web安全攻略,找到了8000的工作-上部

一.开始前的思考

1.我真的喜欢搞安全吗?

2.我只是想通过安全赚钱钱吗?

3.我不知道做什么就是随便。

4.一辈子做信息安全吗

这些不想清楚会对你以后的发展很不利,与其盲目的学习web安全,不如先做一个长远的计划。否则在我看来都是浪费时间。如果你考虑好了参照我的计划进行学习,我不敢保证你实践完多牛逼,但是找5k-8k的工作绝对不成问题。

1.目的

本问目的是带大家快速入门web安全,不会搞些虚张声势的东西都是我的学习经验. 不会涉及到特别详细的技术,而是指导你去如何系统的学习少走弯路,节约时间。要有自信。不要觉得任何人和任何事有多牛逼,不低估自己,不高估别人。认真学习。

2.经验

我们在学习web安全或者任何东西时都需要分阶段专注学习,比如研究XSS那么这段时间大部分精力只研究XSS。XSS通常结合CSRF来达到更好的利用效果,但是不要把太多时间放到csrf上,研究透彻xss后在研究下一个漏洞类型,要有重点的研究东西。

3.多看书和分析文章

学习代码审计时我认为最有效的方法,先去阅读相关的书籍然后找两篇分析0day的文章,照葫芦画瓢分析文章中一样版本的代码,这对你成长很有帮助,进步也非常快。

4.整理笔记

这个我觉得最重要,这是一个好习惯 可以让我们重新把学习的技术做一个总结和巩固。在总结的过程形成自己对技术的理解与创新。从而让书本上的知识变成自己的东西。

二,零基础web安全学习计划

2.1 HTTP协议请求 (TIME: 一周)

对以下下知识点做了解学习

http协议请求

http状态码

post / get 区别

可以使用Chrome浏览器中F12查看“Network”标签中的HTTP请求响应,来了解HTTP协议请求.

2.2.危险的HTTP头参数 (TIME: 一周)

HTTP请求时需对一些必要的参数做一些了解,这些参数也会造成很严重的安全安全问题如下:

user_agent

X-Forwarded-For

Referer

clien_ip

Cookie

2.3 专业术语天 (TIME: 一天)

了解如下专业术语的意思

webshell

菜刀

0day

SQL注入

上传漏洞

XSS

CSRF

一句话木马

2.4 专业黑客工具使用 (TIME: 10天)

熟悉如何渗透测试安全工具,掌握这些工具能大大提高你在工作的中的效率。

sqlmap 学习地址:http://secbang.com/schoollist/burpsql/kclist.html

Burpsuite 学习地址:http://secbang.com/schoollist/burpuse/kclist.html

nmap 学习地址:http://secbang.com/schoollist/nmap/kclist.html

w3af 学习地址:http://secbang.com/schoollist/sectools/kclist.html

nessus

Appscan

AWVS

4.脚本语言+代码审计入门 (TIME: 10天)

推荐php不用学的太灵通,我们又不是搞开发,了解基本语法和一些危险函数即可如:open exec 等函数会造成什么漏洞,了解了php中的危险函数会造成那些漏洞可举一反三套用到别的脚本当中 asp aspx java这些语言的危险函数可能只是写法不一样功能是相同的,了解这些后就可以来做一些web漏洞的代码审计了。

php入门学习 学习地址:https://www.w3cschool.cn/php/

php代码审计 学习地址:http://secbang.com/webtype.html

5.Sql注射 (TIME: 3天)

零基础就先用最有效的办法注入推荐注入工具 sqlmap如何使用? 如果你不想只停留在使用工具的层面,那么你需要学习一下数据库,mysql sqlserver 随便先学一个前期学会 selsct 就行,php尝试自己写一个查询数据库的脚本来了解手工sql注入的原理,这样进步会很快,如果想深入可以把各种数据库注入都温习一边。关于需要掌握的技术点:

1. 数字型注入 2.字符型注入 3.搜索注入 4.盲注(sleep注入) 5.sqlmap使用 6.宽字节注入

mysql入门 学习地址:https://www.w3cschool.cn/mysql/

Sqlmap 学习地址:http://secbang.com/schoollist/burpsql/kclist.html

sleep原理 学习地址: 盲注sleep函数执行sql注入攻击

6.CSRF 跨站点请求 (TIME: 3天)

为什么会造成csrf,GET型与POST型CSRF 的区别, 如何防御使用 token防止 csrf?

csrf 详细学习笔记

7.XSS (TIME: 7天)

要研究xss首先了解同源策略 ,Javascript 也要好好学习一下 ,以及html实体 html实体的10 或16进制还有javascript 的8进制和16进制编码,

xss 学习地址 :在学习 XSS 前应该学习什么?

进制编码 学习地址:http://su.xmd5.org/static/drops/tips-689.html

同源策略 学习地址:Browser Security-同源策略、

今天先写这么多,近几日会更新更新 下部 web安全攻略

或者关注公众号“安全帮Live”

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180328G1Y0RH00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券