零基础如何学习Web安全
web基础知识
web安全,意为web的安全,web即万维网,是由超文本和HTTP构造,就是我们常说的网站。那么要学习web安全,必要先要了解web的知识,不然何谈渗透,网站是由程序,空间,域名三大部分组成。我们渗透的目标一般就是网站的程序,能编写网站的编程语言非常多,然而最最适合我们的还是PHP它的优点在于:入门学习时间短快速开发,可以说非常的适合我们的学习。
漏洞学习
安全学习就要掌握各种漏洞原理比如注入漏洞:将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。要明白漏洞形成的过程和原因,从而可以在以后安全风险挖掘过程中随机应变。漏洞学习可以参考OWASP来源项目,项目中不仅包涵漏洞原理,测试工具,还有其他的来源目标系统供你练手(当然也有很多其他平台,需要你进入圈子慢慢挖掘)。下面是登录模块可能存在的问题点:
合适的武器
"工欲善其事,必先利其器",好的工具可以大大的提供效率。当然利用工具的目的是为了提高效率,而不是让自己变成脚本小子。所以不仅要会用工具,而且要知道其中的原理,最好能够在原工具的基础上进行二次开发。下图是一些渗透测试工具
融入圈子
结交一些白帽子像博客、论坛、qq、安全沙龙、CTF比赛等,不仅可以与时俱进学习到新的知识,而且还可以认识到一群一起成长的朋友。
web流量安全方法
1.web代码层面 主要是防注(sql injection)防跨(xss),能用的措施就是现成的代码产品打好补丁,自己实现的代码做好安全审计。防患于未然可以上WAF 2.服务框架层面 主要是防止系统本身的漏洞和错误或遗漏的配置性漏洞。及时更新补丁,学习相应安全配置。防0day的话上ips 3.流量压力测试层面 主要是防cc,ddos等,做域名导向或者上CDN吧
如何学习web安全,需不需要学sql数据库
先回答下数据库问题:数据库是一定要学的,很多时候你都会用的到!!!接下来分享来自一个安全界大佬的建议: 喜欢的请关注一下,非常感谢
1.web安全如果想要精通,一定要有编程基础,一定不要放弃编程,目前推荐python;
2.通过网上或者其他途径了解漏洞的利用以及原理;
3.漏洞的及时发现和处理,常看安全论坛,掌握最新安全>变乱/p>
4.学会漏洞修复
学习web安全肯定是要学习数据库的。
根据你所提的这个问题,觉得题主是刚刚接触web安全,有一定基础但没有深入了解。在这里提一些基础的建议。
1. 语言的学习,web安全会涉及到很多语言,你需要有一定的语言基础,才能更加深入的理解目标网站,以至找到它漏洞所在。Web安全所需要的语言:php(大部分网站开发所用的语言),python(flask、dinggo框架、编写web脚本),java(web开发语言),go(web开发语言)。
2. 基础的web安全知识。如计算机网络基础、http协议、php弱类型、sql注入漏洞、xss漏洞、文件包含漏洞等。其中sql注入漏洞,就需要结合数据库相关的知识进行攻击。
3. 更进一步的学习。关注一些web安全相关的公众号,获取最新的web安全信息。如最新的cve、最新的绕过方式等。
4. 推荐一个web安全学习的网址:https://github.com/CHYbeta/Web-Security-Learning。在这个网址你可以自主学习到web安全知识。另外你也可以通关打ctf比赛来提高自己web安全水平。
了解最新“智驭安全”产品、技术与解决方案,欢迎关注微信公众号:丁牛科技(Digapis_tech)。
