什么是Web安全?
Web安全是指保护Web应用程序、Web服务器和Web浏览器免受各种网络攻击和恶意行为的方法和技术。随着越来越多的业务和活动转移到互联网上,Web安全成为越来越重要的问题。
Web安全包括以下方面:
认证和授权:确保只有经过身份验证和授权的用户可以访问敏感信息。
输入验证:检查用户输入的数据是否合法,避免恶意用户通过输入恶意数据来攻击应用程序。
防止跨站点脚本攻击(XSS):防止攻击者在Web页面上注入恶意脚本,从而获取用户信息或执行其他恶意操作。
防止跨站点请求伪造(CSRF):防止攻击者利用受害者的Web浏览器发起伪造请求,从而执行恶意操作。
防止SQL注入攻击:防止攻击者在应用程序中注入恶意SQL语句,从而获取敏感信息或破坏数据库。
防止拒绝服务攻击(DDoS):防止攻击者通过发送大量请求来耗尽Web服务器的资源,导致服务不可用。
Web安全是一个复杂的问题,需要综合考虑各种因素和风险,并采取相应的措施来确保Web应用程序和相关系统的安全。
学习Web安全有哪些知识点?
学习Web安全需要掌握以下知识点:
常见的Web攻击类型: 例如SQL注入、跨站脚本攻击、跨站请求伪造、文件包含漏洞等。
认证和授权: Web应用程序中常用的认证和授权方法,包括基于会话的认证和授权、基于角色的访问控制、OAuth等。
密码安全: 包括密码存储和传输的安全性、密码强度和复杂度、密码策略等。
输入验证: 对用户输入进行有效性验证,包括对表单数据、URL参数、Cookie等进行验证,以防止攻击者利用输入漏洞实施攻击。
安全编程实践: 编写安全的代码、使用安全的编程技术、防止常见的编程错误等。
安全配置: Web服务器和应用程序的安全配置,包括文件权限、数据库访问权限、网络配置等。
安全漏洞扫描和评估: 使用漏洞扫描工具和安全评估方法,识别Web应用程序的安全漏洞并加以修复。
安全管理和监控: Web应用程序的安全管理和监控,包括事件日志记录、审计跟踪、安全事件响应等。
Web安全框架和工具: 使用Web安全框架和工具,如OWASP Top 10、Burp Suite等,进行Web应用程序的安全测试和评估。
Web学习计划
学习基础 时间:1周 ~ 2周:
① 我们用这段时间了解基本的概念:(SQL注入、XSS、上传、CSRF、一句话木马、常见的后台等:可以通过Google搜索获取资料)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透资料,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、APPSCAN、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上,并做一个工具包,推荐Rolan。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Secwiki或者Google上查找资料。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
经常逛网络安全有关的网站 时间:∞
① 例如:Freebuf、i春秋、安全客、看雪、91Ri.org、Sec-wiki、安全脉搏、Sec圈子社区、T00ls论坛等。
② 遇到有意义的文章可以转载到自己博客
熟悉Windows & Kali Linux 系统 时间:2周 ~ 4周
①了解Windows系统下的常用命令,如:ipconfig,nslookup,tracert,net,tasklist,taskkill等。
② 熟悉Linux系统的常用命令,如:wget、mv、cd、rm、mkdir等。
③ 熟悉Kali Linux系统下的常用工具
学习服务器的安全配置 时间:4周左右
① 了解03、08、12系统下iis的基本配置,了解Win下的目录权限(例如iis写权限),建立一个简单的站点。
② 了解Linux的运行权限、跨目录、文件夹权限,学会配置Linux Web服务器,并建立一个简单的站点。
③ 使用自动化工具扫描已经建立好的站点,并利用Google学会修补漏洞。
④ 学会打补丁、iptables限制端口、添加规则等。
⑤ 下载一款waf软件,熟悉它的使用。
学习一些编程知识 时间:约8周
① 在w3cschool上学习html、php、数据库的基础,建议每一种学到第8节就可以了。
② 学习Python(也可以是其他语言,但是强烈建议使用python)。要求学习:爬虫(基础)、多线程、文件操作、正则表达式(基础)还有一些常用的第三方库,可能需要安装pip。
③ 利用python写一个简单的poc或者exp。
④ 开发一些渗透时会用到的程序,例如:端口扫描等。
⑤ 选择一个php框架进行学习,不要太深入。
学习代码审计 时间:4周 ~ 6周
① 了解代码审计的静态和动态方法,懂得分析程序。
② 在乌云镜像里找到开源的漏洞程序,跟着学习分析方法,尝试自己分析3~5次代码。
③ 了解web漏洞形成的原因,熟悉常见漏洞函数。
安全体系开发 时间:∞
① 开发一些安全工具,并将其开源,可以托管到码云或者github上,展示个人实力。
② 建立自己的一套安全体系,拥有独立的思路方法。
最后
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
黑客&网络安全如何学习?
今天只要你给我的文章点赞,我自己多年整理的282G 网安学习资料免费共享给你们,网络安全学习传送门,可点击直达获取哦!
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了282G视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
更多内容为防止和谐,可以扫描获取哦~
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
