从零基础入门Web安全：超详细学习指南

从零基础入门Web安全：超详细学习指南

引用

CSDN

1.

https://m.blog.csdn.net/kalilinuxsafe/article/details/139114723

Web安全是保护Web应用程序、服务器和浏览器免受各种网络攻击的重要领域。从零基础入门Web安全需要掌握哪些关键知识点？本文将为你提供一份详细的入门指南，包括学习路线、所需技能和推荐资源。

什么是Web安全？

Web安全是指保护Web应用程序、Web服务器和Web浏览器免受各种网络攻击和恶意行为的方法和技术。随着越来越多的业务和活动转移到互联网上，Web安全成为越来越重要的问题。

Web安全主要包括以下几个方面：

• 认证和授权：确保只有经过身份验证和授权的用户可以访问敏感信息。
• 输入验证：检查用户输入的数据是否合法，避免恶意用户通过输入恶意数据来攻击应用程序。
• 防止跨站点脚本攻击（XSS）：防止攻击者在Web页面上注入恶意脚本，从而获取用户信息或执行其他恶意操作。
• 防止跨站点请求伪造（CSRF）：防止攻击者利用受害者的Web浏览器发起伪造请求，从而执行恶意操作。
• 防止SQL注入攻击：防止攻击者在应用程序中注入恶意SQL语句，从而获取敏感信息或破坏数据库。
• 防止拒绝服务攻击（DDoS）：防止攻击者通过发送大量请求来耗尽Web服务器的资源，导致服务不可用。

学习Web安全的关键知识点

学习Web安全需要掌握以下知识点：

• 常见的Web攻击类型：例如SQL注入、跨站脚本攻击、跨站请求伪造、文件包含漏洞等。
• 认证和授权：Web应用程序中常用的认证和授权方法，包括基于会话的认证和授权、基于角色的访问控制、OAuth等。
• 密码安全：包括密码存储和传输的安全性、密码强度和复杂度、密码策略等。
• 输入验证：对用户输入进行有效性验证，包括对表单数据、URL参数、Cookie等进行验证，以防止攻击者利用输入漏洞实施攻击。
• 安全编程实践：编写安全的代码、使用安全的编程技术、防止常见的编程错误等。
• 安全配置：Web服务器和应用程序的安全配置，包括文件权限、数据库访问权限、网络配置等。
• 安全漏洞扫描和评估：使用漏洞扫描工具和安全评估方法，识别Web应用程序的安全漏洞并加以修复。
• 安全管理和监控：Web应用程序的安全管理和监控，包括事件日志记录、审计跟踪、安全事件响应等。
• Web安全框架和工具：使用Web安全框架和工具，如OWASP Top 10、Burp Suite等，进行Web应用程序的安全测试和评估。

Web安全学习路线

学习基础（1-2周）

1. 了解基本概念：SQL注入、XSS、上传、CSRF、一句话木马、常见的后台等。
2. 查看论坛的Web渗透资料，学习案例思路。
3. 学会提问，遇到不懂的问题要善于提问。

配置渗透环境（3-4周）

1. 了解渗透测试常用工具：AWVS、SQLMAP、NMAP、APPSCAN、BURP、中国菜刀等。
2. 下载并安装这些工具，制作工具包。
3. 了解工具使用场景，掌握基本使用方法。

渗透实战操作（约6周）

1. 深入了解SQL注入、文件上传、解析漏洞等在实战中的应用。
2. 自行搭建漏洞环境测试，推荐使用DWVA、SQLi-labs、Upload-labs、bWAPP等。
3. 研究渗透测试的各个阶段，掌握每个阶段所需动作。
4. 深入研究手工SQL注入，学习绕过WAF的方法，制作自己的脚本。
5. 研究文件上传原理，学习截断、双重后缀欺骗等技术。
6. 了解XSS形成原理和种类，在DWVA中进行实践。
7. 了解一句话木马，尝试编写过狗一句话。
8. 研究Windows和Linux下的提升权限方法。

经常逛网络安全网站

推荐网站：Freebuf、i春秋、安全客、看雪、91Ri.org、Sec-wiki、安全脉搏、Sec圈子社区、T00ls论坛等。

熟悉Windows & Kali Linux系统（2-4周）

1. 了解Windows系统常用命令：ipconfig、nslookup、tracert、net、tasklist、taskkill等。
2. 熟悉Linux系统常用命令：wget、mv、cd、rm、mkdir等。
3. 熟悉Kali Linux系统下的常用工具。

学习服务器安全配置（约4周）

1. 了解Windows系统下IIS的基本配置，掌握目录权限设置。
2. 了解Linux系统的运行权限、跨目录、文件夹权限，学会配置Linux Web服务器。
3. 使用自动化工具扫描已建立的站点，并学会修补漏洞。
4. 学会打补丁、iptables限制端口、添加规则等。
5. 下载并熟悉使用WAF软件。

学习编程知识（约8周）

1. 在w3cschool上学习HTML、PHP、数据库的基础知识。
2. 学习Python，要求掌握爬虫（基础）、多线程、文件操作、正则表达式等。
3. 利用Python写一个简单的PoC或Exp。
4. 开发一些渗透时会用到的程序，例如端口扫描等。
5. 选择一个PHP框架进行学习。

学习代码审计（4-6周）

1. 了解代码审计的静态和动态方法。
2. 在乌云镜像里找到开源的漏洞程序，跟着学习分析方法，尝试自己分析3~5次代码。
3. 了解Web漏洞形成的原因，熟悉常见漏洞函数。

安全体系开发

1. 开发一些安全工具，并将其开源，可以托管到码云或GitHub上。
2. 建立自己的一套安全体系，拥有独立的思路方法。

学习资源推荐

• 网络安全入门/进阶学习资料：包含适合零基础小白的笔记和资料，内容全面，涵盖逆向、八层网络防御、汇编语言、白帽子Web安全、密码学、网络安全协议等。
• 网络安全源码合集+工具包
• 视频教程
• 国内外网安书籍、文档&工具

特别声明

此教程为纯技术分享！本文的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失。