白帽子讲Web安全|学习笔记

一、为何要了解Web安全

最近加入新公司后，公司的官网突然被Google标记为了不安全的诈骗网站，一时间我们信息技术部门成为了众矢之的，虽然老官网并不是我们开发的（因为开发老官网的前辈们全都跑路了）。我们花了很多时间做Web安全扫描以及修复，在检查和修复过程中，发现老系统的代码的不可维护性（再次说明整洁代码之道Clean Code的重要性）及安全性（同时也说明了Web安全的重要性）。

修复之后，向Google提出了申诉，漫长的等待（1~2天对于公司的官网来说就是Money啊！）后Google放开了。当我们庆幸终于把该死的老官网的安全问题解决了的时候，过了几天后又被Google加入黑名单了，WTF！于是，再次安全扫描，排除一切可能的原因，做好备用方案，再次进入安全修复迭代...

对于我们来说，这次的经验让我意识到，不遵守整洁代码之道和安全系统之道的系统就像一颗定时炸弹，你不知道它什么时候就会爆炸又或者是虚晃一枪，又让我想起整洁代码之道一书的封面：

上面这张图是M104：草帽星系，其核心是一个质量超大的黑洞，有100万个太阳那么重，环绕着M104的光环就像一顶墨西哥草帽，仿佛经历了大爆炸之后碎片四溅的产物。联系到我们所经历过的没由整洁代码风格各异不可维护的软件项目，其实当你接手时之前的代码都是一个个的黑洞，存在着某天会定时爆发的风险，而当它真正爆发时，接手这个项目的所有人又或者没有接手过的人都会因此遭殃。

因此，作为一名Web系统开发者，不但要追求整洁代码，也要了解Web安全知识。目前系统讲解Web安全的书籍里，阿里巴巴高级技术专家吴翰清的这本《白帽子讲Web安全》是评分较高的一本（豆瓣评分7.4），虽然现在看来有点过时（很多的漏洞案例都早已被修复），但是基础的知识点都有覆盖，是建立安全思维的好书！此外，它对于安全开发流程与运营的介绍，同样具有深刻的行业指导意义。所以，我快速地学习了一遍，做了一些笔记与各位分享。

二、精华内容导图笔记

完整的笔记导图在线浏览地址：白帽子说Web安全-总结 思维导图模板_ProcessOn思维导图、流程图，下面为了阅读体验，分成3个部分来显示。

2.1 客户端脚本安全

2.2 服务端应用安全

2.3 安全运营体系建设

网络安全成长路线图

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成hei客大神，这个方向越往后，需要学习和掌握的东西就会越来越多，以下是学习网络安全需要走的方向：

# 网络安全学习方法

上面介绍了技术分类和学习路线，这里来谈一下学习方法：

## 视频学习

无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习，当然如果你还不知道选择那套学习，我这里也整理了一套和上述成长路线图挂钩的视频教程，完整版的视频已经上传至CSDN官方，朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！