如何打通Web安全的任督二脉，送你全套的招式！

网安教育

培养网络安全人才

技术交流、学习咨询

在上一篇文章

《如何打通Web安全的任督二脉，小白都可学的心法！》

里谈到了web安全的常识。从小白学习的视角了解web安全，从定义的范畴认知web安全，从日常接触的漏洞走进web安全，最后从技能掌握的层面明确各自的学习目标。

要学习web安全，就必须了解web的知识，对web安全知识体系有一个整理的认知。和所有的知识一样，都是由浅入深、由点到面、阶梯性的架构，并需要不断的知识的融汇贯通，类似高考文理综的大杂烩，必须掌握各个知识系统的衔接。

对于web来说，最底层的是OS操作系统和DB数据库，中间层是web，即最重要的贯通上下的知识点，上一层的即使安全攻防的知识和系统开发的知识，作为相辅相成的知识交叉学习。

基于一个学习路线规划应该是：web基础知识>>>>web安全基础>>>>web安全工具>>>>web安全实战>>>>web攻防实例>>>>web安全体系建设的完整闭合线路。

从操作系统、存储到web容器、web开发框架、应用、服务端语言和第三方内容，都应该有一个清楚的认知和了解。

有了web的基础之后在web安全基础学习上事半功倍，正如庖丁解牛，当你对对象了若指掌时，TA下一阶段或者是各个部位、阶段可能出现或者是在一定的条件下刺激能够出现的情况，即web存在的安全漏洞。

为了更好的掌握TA随时的变化或者是结构，需要一把趁手的“刀”。正所谓，工欲善其事必先利其器，有了专门的工具不仅可以提高效率还可以缩短不必要的步骤，减少人为因素的误差。web安全工具便是让web安全、漏扫、渗透更加便捷的帮手，初学的时候可以寻找网上大牛公布或者是教程上的工具包。当然，开源聚合网安也有很多内部的渗透工具包

此前的一些发文，有兴趣的朋友可以详细了解一下

当然，刚开始学习不可能一下就达到速成，我们需要做的就是模仿借鉴，正如学习拆分一个漏洞，首先应该了解的是其底层产生的原理、即代码的问题是如何发生的，然后什么方法可以防御这个漏洞的产生。最最重要的一步就是通过不断的累积，了解这一漏洞常规出现的条，归纳该类型漏洞的规律。例如XSS、SQL注入、CSRF、逻辑漏洞等。下面是关于web安全的一张思维导图，大家自己感受一下。

在大家熟练的掌握了工具之后，最重要的是学会根据自己的需求编写符合自己的工具脚本，这样让自己再实际应用中更加的得心应手。毕竟，工具在实战中只是手段而已，每一次攻防实战、漏洞挖掘都离不开个人的思路。

当我们掌握是web安全的基础和相应的工具，接下来就应该在实战中得到不断地提升，毕竟“黑客”“白帽”都是存在一个个令人兴奋的案例中。

在学习web安全过程中，在详细学习一个漏洞的利用可能环境会过于理想，漏洞也会过于的完美、有始有终，但是，实际中漏洞不会让本地演示的那么简单，也不会像教程般那么完美，还可能会有waf。因而需要不断的学习，可以借助搜索引擎进行相关文章、案例的学习，也可以组建亦师亦友的团队进行交流探讨，还可以参与线下学习进行系统化的巩固。了解文章、认识漏洞在实际页面的呈现方式、问题，并写出问题的代码，并最终找到防御的办法。

切记，我们所做的一切是为了让网络更加的安全，找到解决办法更是一个道阻且长的征程。

正如在各个SRC平台提交漏洞，不仅仅是停留在发现漏洞，而应该在发现漏洞、评估漏洞的危害、最好能提出防御的措施，绝非提权。

综上所述，对于喜欢web安全的萌新来说，在熟知了web基础知识能够分析常见web安全事件背后的技术原理，掌握web安全工具能借助安全工具（浏览器、漏扫、抓包等）对目标web站点进行安全测试并能够手工验证漏扫结果，能够参与漏洞玩家与渗透测试等掌握常见的web安全漏洞是手工测试技巧，诸如SQL注入、XSS、文件上传、文件包含、敏感文件等，能够做到挖掘中小型站点的安全漏洞。最后所以的一切都是为了互联网安全企业的建设，因而体系化建设是不可或缺的。

在不断地实践和复现中了解企业在安全漏洞与事件处理方面的工作职责和工作流程，只有这样才能不断的提升自我价值。

当然，最最重要的就是一个人能够走多远，关键是与谁同行！谁都不是孤立存在的，在互联网安全的世界中，建立自己的安全人脉圈、锻炼自己的实战能力显得愈发重要，开源聚合网安训练营提供“传帮带”的教学模式，拥有丰富实战经验的专家讲师，由基础到实战再到体系的完整化教学，步入一线学长学姐的内推、交流、大牛分享……现在开源聚合网安春季班招生啦！

你的web安全事业由此强势开启

完

开源聚合网安训练营

精选文章

基础教程

我们贴心备至

用户答疑

QQ在线客服

加入社群

QQ+微信等着你