零基础如何学习 Web 安全？

随着网络安全行业的快速发展，Web安全也出现在大众视野中，尤其是当Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中将各种应用都架设在Web平台上，于是接踵而至的Web安全威胁逐渐凸显出来，题主零基础学习Web安全，首先需要了解其定义，然后再进行系统化的学习。下面就为题主一一例举如何学习Web安全的学习步骤。

一、了解Web安全定义以及攻击Web安全的手段

Web安全的定义：保证Web环境安全，为新型互联网产品提供安全平台。攻击Web安全的手段：利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更有甚者在网页中植入恶意代码，使得网站访问者受到侵害。

攻击种类：

（1）、SQL注入：即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

（2）、跨站脚本攻击(也称为XSS)：指利用网站漏洞从用户那里恶意盗取信息。用户可能由于种种原因点击到一些链接，攻击者通过在链接中插入恶意代码，就能够盗取用户信息。

（3）、网页挂马：把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面，再加代码使得木马在打开网页里运行。

二、学习web安全相关原理知识及概念

主要包括浏览器、服务器、前后端语言。

（1）浏览器

了解浏览器的基本功能，熟练运用F12，开发者设置，代理，调试代码等，还要对浏览器与服务器之间传递信息的过程足够了解，即http协议，如果是一键化的phpstudy或lnmp可以先不着急使用，自己手动搭建环境，进行配置文件的关联时，你能很好的明白Web中各个零件、齿轮的供应链、运行机制、工作原理。

（2）服务器

包括WinServer、Nginx、Apache等

（3）前后端语言

HTML5是基本要学习的语言，达不到开发的水平也不用担心，但是一定要能看懂。CSS有初步的了解即可，主要用于样式设置，JS是重点，学会JS能给你打下扎实的基础。后端推荐学习PHP，因为php搭建的网站较多，学习这个就是去熟悉php的基本语法，常用函数。伪协议等。数据库语言推荐MYSQL，学习基本语法，深度掌握查找，还要了解MYSQL的系统表内容。

三、当下主流漏洞的原理与利用的学习

当下常见的安全漏洞是OWASP十大安全漏洞，php的相关版本的各种漏洞，服务器相关漏洞，还有上面的攻击种类所提到的SQL、XSS、CSRF等主流漏洞的原理与利用学习。

四、学习使用常见的安全工具

例如：burpsuite、awvs、sqlmap、菜刀、nmap等安全工具，从使用方式到使用原理都要掌握。

五、漏洞挖掘实战训练

在第三步中了解渗透、SQL注入、文件上传入侵、数据库备份、dedecms漏洞利用等原理。也掌握了一些安全工具的使用，接下来就是寻找授权站点或者尝试自己搭建测试环境进行测试。在这里提醒一下一定要寻找授权站点进行训练，因为未授权必违法。可以选择一些适合自己的靶场进行训练。

六、当下主流漏洞的挖掘与审计复现

在论坛或者安全圈内寻找技术分析帖进行阅读，学习他人挖零日漏洞的思路，并复现，尝试着进行相同审计。上面的六个步骤学完，题主就可以掌握Web安全的入门所有知识了，技术水平也可达到安全工程师的水平，借此找一份白领的工作是非常容易的。下面的步骤是进阶阶段，想要往更高层次发展的可以学习。

七、学习系统命令

熟悉windows常用cmd命令，windows的一些重要的系统文件，linux基本命令，学会操作linux后，就可以开始接触kail linux内的工具了。

八、学习一种或几种编程语言，编写自己的脚本或专属工具

（1）、学习一门写工具的语言，Python、Golang，打造自己专属的独一无二的渗透测试工具，加快渗透速度。（2）学习多种编程代码语言，分析代码的函数底层代码，例如：PHP的底层是C语言开发，然后还可以尝试接触汇编、二进制，往更复杂的漏洞深入挖掘。完成进阶的这两个学习步骤，题主就能达到安全实验员的技术水平，当然这两步会比较难而且学习时间会比较长，是否学习全由题主自己选择。