零基础如何学习 Web 安全？

Web安全不仅是互联网的核心，而且还是云计算和移动互联网的最佳载体。对于信息安全从业者而言，Web安全是一个非常重要的研究课题之一。

Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用，社交网络、聊天工具、网络购物等一系列新型产品也先后诞生，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注。此时，如果Java、PHP、ASP等程序语言的编程人员的安全意识不足，对程序参数输入检查不严格等，会导致Web应用安全问题层出不穷。

目前来看，常见的Web漏洞Top 10主要有：

1、SQL注入漏洞

2、跨站脚本漏洞

3、弱口令漏洞

4、HTTP报头追踪漏洞

5、Struts2远程命令执行漏洞

6、文件上传漏洞

7、私有IP地址泄露漏洞

8、未加密登录请求

9、敏感信息泄露漏洞

10、CSRF

对于以上常见的Web漏洞，主要从以下几个方面进行防御：

1、Web应用开发者

Web应用开发者应该树立很强的安全意识，开发中编写安全代码；对用户提交的URL、查询关键字、HTTP头、POST数据等进行严格的检测和限制，只接受一定长度范围内、采用适当格式及编码的字符，阻塞、过滤或者忽略其它的任何字符。通过编写安全的Web应用代码，可以消除绝大部分的Web应用安全问题。

2、Web网站管理员

Web网站管理员应该及时跟踪并安装最新的、支撑Web网站运行的各种软件的安全补丁，确保攻击者无法通过软件漏洞对网站进行攻击；同时Web网站管理员应该对网站各种软件配置进行仔细检测，降低安全问题的出现可能，以及应该定期审计Web服务器日志，检测是否存在异常访问，及早发现潜在的安全问题。

可以看出，Web攻击防御是一个长期持续的工作。随着Web技术的发展和更新，Web攻击手段也不断发展，针对这些最新的安全威胁，需要及时调整Web安全防护策略，确保Web攻击防御的主动性，使Web网站在一个安全的环境中为企业和客户服务。虽然信息安全的学习方向繁多，但Web安全是一个很好的入门方向，对于初学者来说，以下四点是必须要掌握的。

1、熟悉相关知识

Web知识覆盖面丰富广泛，既然是零基础，那么首先就需要了解相关知识和工具，熟悉基本概念，如sql注入、xpath注入、xss、csrf、逻辑漏洞、社会工程学攻击、webshell 、菜刀、0day 、上传漏洞、一句话木马等，了解AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan、Msf等相关工具的使用。

2、脚本编程学习

熟练掌握一门编程语言，选择脚本语言JS/Perl/Python/PHP/Go中的一种，对语法、正则、文件、网络、多线程等常用库进行编程学习，试着用Python编写漏洞的exp，然后写一个简单的网络爬虫，熟悉渗透的整个阶段并能够独立渗透小型站点。在这个阶段，要多看渗透、SQL注入、dedecms漏洞等相关视频，多思考其中的原理和思路，同时隐蔽自己搭建开发环境进行合理的实践测试。

3、关注安全动态

随时关注国内外安全圈的最新漏洞、安全事件与技术文章，多关注黑客论坛、安全技术类的网站、知乎专栏、微信公众号、博客等，参阅书籍也是必不可少的入门资料，在校大学生还可关注一些比赛，如全国大学生信息安全竞赛、腾讯信息安全争霸赛(TCTF)等。现在大部分安全圈的技术分享都集中在各个安全论坛、网站，作为入门，很多黑客网站也是值得实战学习的。

4、Web漏洞分析

熟悉源码审计的动态和静态方法，寻找开源程序的漏洞试着进行分析，发现安全问题，了解Web漏洞的形成原因，然后通过关键字进行查找分析，研究Web漏洞形成原理和如何从源码层面避免该类漏洞，建立自己的安全体系，并提出一些安全建议或者系统架构，开发一些实用的安全小工具并开源。

随着Web技术不断发展创新，Web安全已经成为信息安全中的一个重要分支，关注度也逐渐提升，对于“初学小白”而言，通过知识、经验、实战的积累与融会贯通，才能在Web安全领域走出一条属于自己的道路。

送一套零基础入门安全学习视频教程，请先关注我，评论区留言。