本文翻译自:Learning path | Web Security Academy - PortSwigger
以下是如何充分利用网络安全学院的方法
如果你是网络安全新手,可能很难知道从哪里开始。这就是为什么我们给出这条建议的学习路径,为你指明正确的方向。我们建议你按顺序完成实验,但是如果遇到困难,那就继续下一个主题。一旦你增长了技能,你可以再回来解决这些有挑战的实验。
当你开始培养你的网络安全测试技能时,你可以尝试考取我们的Burp Suite从业者认证来测试自己的技能。在你准备尝试Burp Suite从业者认证考试之前,你应该能够轻松完成网络安全学院中所有标有Practitioner(从业者)或更低级别的实验。完成实验没有固定的时间框架,但你必须能够在不需要访问所提供的解决方案的情况下完成。
服务器端主题
对于小白来说,我们推荐从服务器端主题开始。这些漏洞通常更容易学习,因为您只需要了解服务器上发生了什么。我们的学习材料和实验将帮助您开发一些核心知识和实用的技能。
- SQL注入
- 认证漏洞
- 目录穿越
- 命令注入
- 业务逻辑漏洞
- 信息泄露
- 访问控制
- SSRF
- XXE注入
客户端主题
客户端漏洞更加复杂,这会使它们稍微更具挑战性。这些学习材料和实验将帮助你在已经学习的服务器端技能基础上,教你如何识别和利用一些有挑战的客户端漏洞。
- XSS
- CSRF
- CORS
- 点击劫持
- 基于DOM的漏洞
- WebSockets漏洞
高级主题
这些主题不一定更难掌握,但它们通常需要更深的理解和更宽的知识范围。我们建议在进行这些实验之前先掌握基础知识,其中一些实验是基于我们世界级研究团队发现的开创性技术。
- 不安全的反序列化
- SSTI
- Web缓存投毒
- HTTP_Host头攻击
- HTTP请求走私
- OAuth认证