首页
社区
课程
招聘
[分享]关于Web安全如何入门的一点建议
发表于: 2017-4-27 19:49 14592

[分享]关于Web安全如何入门的一点建议

2017-4-27 19:49
14592

大牛绕过:)

很多同学都在问:Web安全如何入门?

有几个朋友也问过我类似的问题,诸如如何让新人学习快速上手Web安全,经过很多次咨询,我个人也给一些建议:

想学习Web安全的朋友先思考几个问题:

1. 你是否是从零基础开始?

2. 你是否已经看过一些相关的书籍和帖子,学习了很久,但是感觉进展缓慢?


如果你是零基础或者你已经尝试学习了一段时间还没有明显的成长,这时候你不妨再思考一下,自己的方法是不是有问题?以下摘自我在知乎的回答。零基础如何学习 Web 安全?


有几个朋友也问过我类似的问题,诸如如何让新人学习快速上手Web安全,这里我也梳理了一些自己的看法。

在答案的最后,我会给大家一个简答、直接的解决方案,希望对零基础的同学有所帮助。

. 从零基础开始

正所谓万丈高楼平地起,既然是零基础那么首先就需要打基础,不了解基础的Web知识,何谈Web安全?

Web知识本身就非常丰富,覆盖范围也非常广泛

从浏览器到服务器、数据库;

从HTML、JavaScript和CSS到PHP、Java、ASP(.net);

从页面加载到DOM渲染;

从静态页面到MVC;

从URL协议到HTTP协议;

还有CDN、代理、Web容器等等。

如果让你花很长时间完全掌握这些知识,再学习Web安全,你觉得你还有兴趣麽?

那么问题来了:一个Web安全爱好者,学Web知识,要学到什么程度?Web有哪些知识?怎么学?

  • Web知识过少,基础不牢靠,会导致后面的学习乏力,严重影响Web安全的学习效率;
  • Web知识过多,容易偏离主题,忘记了初衷,也会逐渐缺乏学习的动力;

所以,如何把握这个是初学者的一个难题。

. 入门

掌握了Web基础知识,说一句残酷的但是很现实的大实话,你还是没有入门!

这里作为一个老司机给一些建议:

1. 和大部分老司机一样,我会建议大家多看书

个人来讲,这些书籍并不适合入门,因为这些书籍都是需要一定的门槛;但是就目前来看,书籍算是比较靠谱的入门资料。

比如

《白帽子讲Web安全》

《Web之困 - 现代Web应用安全指南》

《黑客攻防技术宝典 - Web实战篇》

《Web前端黑客技术揭秘》

幸运的是现在Web安全书籍比较多,比较遗憾的是当年我学习Web安全的时候还没有刺总的《白帽子讲Web安全》,这也导致我在后面的Web安全学习历程中走了不少的弯路。

2. 建议大家多关注牛人的Blog、论坛、安全类的网站和微信公众号

比较幸运的是那个时代,大部分Web安全牛人的都在集中在百度空间分享技术知识,包括大家比较了解的黑哥、刺等,现在百度空间已经死去,缅怀一下那个纯粹的技术分享时代;

现在大部分的技术分享都集中化,集中到了各个安全论坛、网站,比较悲哀的是我觉得非常不错的乌云drops ,又逝去了一个高质量的技术文章分享圈。不过作为入门,以下几个安全类网站也是不错的:

FreeBuf.COM | 关注黑客与极客

安全脉搏

安全客 - 有思想的安全新媒体

聪明的同学自然知道关注他们的知乎专栏、微信公众号。

3. 我也会建议大家去参加一些“靠谱”的培训班和在线培训

在学习知识的过程中,从零基础自学成材的过程是有难度的,所以,如果大家没有一个好的“老师”带领的话,其实参加一些“靠谱”的培训班和在线培训,是很有必要的。

大部分早期接触Web安全的老司机都有感慨,很多知识都是靠自己琢磨过来的。

当时,并没有一个好的老师和系统化的课程,所以我们走了很多弯路;同时,由于缺乏体系化的学习,我们在入门之后存在一些知识盲区,需要在后续的学习中耗费大量的时间和精力去不断的完善自己的知识体系。

所以一个“靠谱”的培训,是非常重要的。

. 一个带有私心的解决方案

现在的Web基础知识教学资源中,没有一个是从Web安全去考虑这些问题。

同时,大部分的Web安全教学资料(视频、书本),都是假定用户已经掌握了Web基础知识,并非从0基础考虑。

所以,如何在Web基础知识中融入Web安全知识,提升学员的兴趣,是针对零基础教学的一大难点。

我也看过很多教学课程,大部分都是讲几个漏洞、几个工具,并没有梳理成体系化的知识,这样会导致大家学习后的知识盲点较多,学习到后面非常乏力。

当然,也有少数几个非常不错的教程,但是可能由于制作者精力有限,并没有配套的教学服务,包括课后练习、实战环境、课程测验、讨论和直播答疑等。

同时,我们在学习Web安全的过程中,会遇到很多问题:

我在前面提到过的“一个Web安全爱好者,学Web知识,要学到什么程度?Web有哪些知识?怎么学?”就是一个学员自身很难解决的问题?

还有很多在实际学习过程的问题,比如:

  • 我按照这个书本的知识学习,发现很多都不懂怎么办?
  • 我按照视频教程学习,发现这个XSS在我的浏览器不弹窗怎么办?
  • 我下载的工具安装不成功怎么办?
  • 我明明已经掌握了这个漏洞的知识,为什么还是挖不到漏洞?
  • 我没有练手的环境,怎么办?
  • 我怎么知道我学习的怎样了?
  • 等等

如果同学们长时间解决不了这些问题,就会逐渐对Web安全失了兴趣,或者会进入滞留期,Web安全技能难以得到提升。

最终,我们下定决心制作了一个针对初学者入门的《Web安全工程师》微专业。

说实话,最开始让我们制作这个专业课程,我是拒绝的。讲的深了,学员听不懂,课程效果不好,白费力; 讲的浅显,又怕同行笑话。

但是,我们还是下定决心的去做了这样一个的入门课程。

说句实话,不怕同行笑话是假的。

但是,面对这个行业的人才缺失,而大部分想学习Web安全的同学又觉得入门太难的窘境,我希望我们的课程可以帮助他们。

我希望我们在面试的时候,不会再遇到一大堆面试这个职业却对Web安全一无所知或者毫无建树的同学。

最后,我想说的是,如果你真的对Web安全感兴趣或者希望投身于Web安全行业,欢迎加入到《Web安全工程师》微专业课程

Web安全工程师 - 网易云课堂


或者可以先加入QQ群了解和共同学习:273551783



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 0
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fkp
2
最重要的还是自己的第一次实战经历,这也需要机遇,比如之前的st2-045,通过这个漏洞,我积累了很多实战经验:远程执行命令,上传WEBSHELL,MSF生成payload反连靶机,提权,端口映射,以靶机为跳板挂代理进行对其内网的漫游
2017-4-28 10:59
0
雪    币: 24
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3




fkp

最重要的还是自己的第一次实战经历,这也需要机遇,比如之前的st2-045,通过这个漏洞,我积累了很多实战经验:远程执行命令,上传WEBSHELL,MSF生成payload反连靶机,提权,端口映射,以靶 ...

2楼fkp,看到联系我,qq420333870

2017-6-5 16:48
0
游客
登录 | 注册 方可回帖
返回
//