我是泰瑞聊科技备案域名iis安全,很荣幸来回答此问题,希望我的回答能对你所有帮助!iis安全,我是刚入行网络安全的学生,请问Web安全的方向选择,怎么入门(网络安全自学从哪里入手)观点:结合我自身的经验,我给您分享一下我的学习路线、学习的课程以及在工作中的成长路径。1、给你入门学习路线:在入门学习时,建议由浅到深,而且是先学习基础课程,比如Web开发,框架设计等,然后再逐步学习Web代码规范与审计、Web渗透与审计等课程,最后结合实际案例进行代码层面的审视与演练。2、给你推荐几门课程:这几门课程是我几年前经常学习的,建议你也仔细阅读和学习。包括《白帽子讲Web安全》、《Web前端黑客技术揭秘》、《企业级Web代码安全架构》、《Web安全深度剖析》、《黑客攻防技术宝典》、《白帽子浏览器安全》、《无线电安全攻防大揭秘》、《硬件安全攻防大揭秘》、《智能硬件安全》、《Android安全攻防权威指南》、《Android软件安全与逆向分析》。3、给你未来成长路径:Web前端开发、Web前端架构、Web网络安全、Web渗透等。Web安全很吃香随着移动互联网、大数据、人工智能、物联网等创新型技术驱动时代的发展,基于Web环境的互联网应用越来越繁多,广泛涉及人们的工作与生活,同时企业信息化建设的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。与此同时,安全问题的主体发生着复杂的变化,大家也越来越感觉到web安全问题带来的灾难,而传统的渗透测试的人员,已无法适应新型技术和应用的环境和要求。故而新时代下的安全问题集中爆发,于是乎,就有了Web安全等这类掌握技术较全面,应用场景见识广的新型渗透安全人员的需求。那对于刚入门Web安全的同学该如何学习和未来就业呢?Web安全常见的包括哪些对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。下面以其中三个典型且重要的做一下说明:SQL注入:即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。跨站脚本攻击(也称为XSS):指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。网页挂马:把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面,再加代码使得木马在打开网页里运行。当然除了这三个典型的,还有很多,在这里就不一一赘述了。做Web安全需要掌握哪些内容1、基础网络协议/网站架构不管是C/S架构还是B/S架构都是基于网络通信,需要了解通信流程以及数据包走向等,才能使用相应手段跟工具去做渗透。Web网站常见的协议以及请求方式,这些在做渗透的时候必不可少的。甚至也是可以利用协议来做渗透测试。2、基础的编程能力一名Web渗透测试人员必须具有一定的基础编程能力的,如果不会写代码或者看不懂代码,这个是很难做好的。例如需要自己写一款适合此刻情景漏洞的工具,如果不会写会极大降低效率。再者就是关于后续进阶的代码审计问题,如果不会写代码,代码也看不懂那么就不知道怎么从源代码去审计漏洞去发现原因。对于只会利用工具的渗透人员跟会写代码的渗透测试人员来说,在遇到某种情况下,优势一下就能体现出来了。3.、渗透测试工具渗透测试工具网上开源的很多,作为渗透测试人员会使用渗透测试工具这是必不可少的。一些优秀的工具要学会利用,还有就是要学会自己写工具。例如在做渗透测试中,好比说大量的数据FUZZ,如果说人工操作将大大浪费时间跟效率。如若网上的工具不符合此漏洞的情景,这时候就需要自己手动写工具去调试。当然网上优秀的工具已不少,优先使用会极大提高我们的效率。4.、了解网站的搭建构成试着去了解一个网站的形成架构,语言,中间件容器等。如果不知道一个网站是如何搭建起来的,那么做渗透的时候根本就没有对应的渗透测试方案。例如一个网站采用了某种中间件,或者什么数据库,再或者是采用网上开源的CMS。如果对于这些不了解,那么就只能在网页上徘徊游走,甚至无从下手。了解一个网站的搭建与构成,对于自己前期做踩点与信息收集有着很大的帮助,才能事半功倍。5、漏洞原理渗透测试人员肯定是要对漏洞原理去深入探究,这样会从中发现更多有“趣”的东西。所有有“趣”的东西是可能你在原有的基础漏洞上配合其他漏洞,从而达到组合漏洞,这样效果有可能会更佳,如果不去了解漏洞原理,漏洞产生,不去从代码层出发,那就不知道漏洞起因,到后期的渗透利用以及修复方案,就会显得吃力,这时候有可能你就需要去查资料,从某种形式的降低了速度与效率,所以说,知识积累必不可少。6、报告撰写能力每次做完都需要撰写渗透测试报告,所以报告撰写能力也是不可或缺的。对于自己漏洞挖掘的梳理,网络结构印象加深,这是后期与客户沟通还有与开发对接提修复建议能起到很大的帮助,这些细小的细节决定着你服务的质量与你的责任感,所以这些都是需要不断的积累与提升的一个过程。总结总之,建议你按照我开篇的给你的建议,按照既定路线进行学习、实践以及未来走向相应岗位做出贡献,并不断提升自己,成就梦想。信息创造价值,学习使人进步。我是泰瑞聊科技,为您打开科技生活,感谢您阅读与关注!
本文出自快速备案,转载时请注明出处及相应链接。