1.前言
又到了一年一度的西南石油大学网络联盟安全团队招新啦,想起两年前的我也在为选哪个方向而迷茫,回顾自己这两年Web安全的学习,收获了很多快乐,也成长了很多,接下来就和各位新朋友们介绍一波Web安全,希望大家都能找到自己感兴趣的方向并且能一直坚持学下去,一起为网络安全的发展做出贡献!
Web安全是很有意思的,当你学深入了之后,就可以在有授权的情况下,对很多网站进行渗透测试,发现网站中可能存在的各类Web漏洞,然后利用学到的知识去利用这些漏洞,最终得到服务器的控制权限,让它可以执行任意命令,就像黑客一样拿下别人的网站哈哈哈,当然一定是在有授权的情况下哈,而且也不能恶意破坏别人的网站,作为网安人基本的底线是要有的!!
Web安全,归根结底是要基于Web层面的,我觉得很多学Web安全学不下去的就是因为过于注重了安全二字,而没有回归到Web上来,这样肯定是很难学好的;在学Web安全之前,我还是建议先学一些Web的基本知识,不用学的很深入但要做到能基本理解,要明白它是用来干什么的就行
比如说Web服务器基础,前后端的基础,数据库的基础,Python编程语言的基础,Linux系统的常用命令,计算机网络的一些基础,比如说Http协议等各类协议,举个例子说要基本了解互联网的通信流程吧,当你发起一次请求之后,浏览器是怎么把你想要的内容呈现到你的眼前的;当然,学这些理论东西是相对枯燥的,所以说也不用等到把这些东西全部学完再进入到下一阶段,很多东西是可以同步着学的,或者学到后面发现前面哪里不会再对应着去补哪里
然后了解一下网络安全的一些术语吧,比如说Payload、Exp、Poc、Getshell、反弹shell、write up这些简单术语吧
然后就可以慢慢开始学习Web的一些漏洞了,当然你在学某一个Web漏洞的时候,肯定要去学习它相关的知识哈,比如说你去学习SQL注入的时候,肯定要先去了解SQL语句,以及后端语言(刚开始是PHP)对数据库的操作;SQL语句可能刚开始理解不了,我的建议是就先背下来,后面用的多了就慢慢能理解了;当你学习过程中,看到关于某个漏洞的文章觉得晦涩难懂了,搞不明白它在讲什么了的时候,多半就是由于你前面的基础薄弱了,这时候就需要去查资料,去补相应的基础知识了,如果任由它一知半解下去,不去补基础,那么你是很难彻底搞明白这个漏洞的,学到后面就会发现不会的越来越多,到时候就很难受了
然后我们再来聊聊CTF吧,不光是Web方向,任何方向我认为都是,打CTF是入门网络安全最快的途径,甚至都没有之一,当很多漏洞你看似好像学了,但不会用的时候,就去找找关于这个漏洞的CTF题去做做吧,多做几道就明白了;至于CTF平台,前期我推荐攻防世界基础题、CTFHub和BugKu,到了后面可以去做BUUCTF、NSSCTF以及CTFSHOW,思考过后不会做的题都可以去百度里去搜Writeup,大部分写的都是很清楚的
刚开始Web入门时可以去NSSCTF平台上去刷SWPUCTF 2021的招新赛,也就是我们去年的招新赛题,里面的题一道题就只考一个漏洞或者一个考点,对新手非常友好,而且它也涉及不到太多我上面提到的基础内容,所以说相对是比较容易的,边学边做也会很有意思,也可以好好享实解出题来的成就感哈哈,不过NSSCTF的平台注册好像需要邀请码,这里加入平台的qq群,群文件里就有:941849249
顺便说一点,很多朋友入门时都疑惑学习时应该看视频还是看文章,这里我认为入门可以先看看视频,视频去b站去搜,里面有很多,找播放量多的看就行,只不过视频虽然方便理解,但我认为看视频学习效率是很低的,稍微看看视频之后还是应该去啃文章,CSDN或者很多大佬的博客就是很好的选择
言归正传,接下来,我就来介绍介绍Web安全大概需要学什么,以及要学到什么程度,并且推荐几个我认为还不错的学习网站;当然下面这些学习内容是长期的学习内容哈,大家不用害怕,肯定不是说要把这些都学完才能来参加我们的招新哈,招新还是相对容易的,具体的招新要求我们会后面在招新群放出来,这里就不赘述了
2.Web基础
(1)html和JavaScript
这个前端语言不用学的太深入,能大概看懂这html代码是啥意思就行,重点是搞懂表单提交,JS前面可以不用着急学,到后面学XSS的时候再去学就行
(2)PHP
后端语言最开始学的应该就是PHP了,因为它的语法相对简单,用来搭建网站非常方便,而且PHP出现的漏洞也是非常多的,是用来入门最好的后端语言了,初学时大概学学PHP的基础语法,能读懂这段PHP代码是啥意思,然后能写一些简单的代码,比如说GET请求、POST请求这些,还有就是由于PHP语言的特性出现的一些漏洞,这些遇到了题目再去百度搜索着学习就行,这些都学完可以去学学PHP的面向对象,为后面的反序列化打下基础
搭建PHP运行环境我建议使用phpstudy,里面集成了apache服务器和Mysql数据库,没有复杂的配置,使用起来非常方便,下载包可以去网上找,也可以去群文件中去寻找下载,安装方面有任何的问题都可以去百度搜索或者问群里的管理员
(3)Mysql
最开始时我们接触的数据库应该是Mysql数据库,这也是CTF题目中SQL注入用的最多数据库,要深入理解SQL注入肯定是要会SQL语句的,只不过这个不用学的太深,刚开始的时候大概明白增删查改操作就行,深入的话遇到题目了再慢慢学
(4)Http协议
这个大概看看Http协议的数据包结构,简单了解Http是如何发送请求的就行,可以用burpsuite去抓一个数据包来看看它是怎么构成的
burpsuite安装 (文章如果找的不好大家就再去百度找找哈)
(5)Linux基础语法
这个首先需要搭建Linux环境,可能入门会有点儿麻烦,这里推荐装Vmware,然后在里面装Ubuntu或者kali的虚拟机就行,或者去买台腾讯云或者阿里云的Linux服务器也行;有了环境之后学起来就会比较轻松,这里也不用学的太仔细,会用里面的常用命令就行,装环境如果有啥问题就去问群里的学长吧,也都不难解决
差不多基础篇就这样,也不写多了,再重申一遍哈,不是说要把基础篇学完之后才能再往后学哈!!可以一起学的哈,或者就是在学后面漏洞的时候发现自己有些地方理解不了,再回来补前面的基础,这些都是可以的,遇到问题了及时解决了就行!!
3.Web安全漏洞
接下来就是重点了,学Web安全其实就是学各种Web层面的漏洞,我们前面说了那么多的基础也就是为了能更好的理解这些Web漏洞,只有理解明白了这些漏洞的原理,我们才能更好的利用或者防范这类漏洞
当然一个漏洞可能会比较复杂,我这里也不太能够给出所有的学习资料,这里就需要大家勤动手多去搜索了,还是那句话,百度和b站永远是最好的老师,如果都没搜到,那就去问问学长吧,可能是你的搜索方式有问题
还有就是如果纯学漏洞的原理觉得太枯燥太无聊学不进去,那就去找这个漏洞对应的CTF题做几道吧,或者搭个靶场啥的,边学边做很快就能理解了
(1)SQL注入
SQL注入应该是很多Web手第一个接触的漏洞吧,这个漏洞很经典,CTF和实战中也经常能遇到,在了解SQL语句之后相信原理还是不难理解的,这里的参考文章我就用我们团队学长写的文章了:
当然,学习不能只看文章哈,还是需要勤动手的,这里推荐在本地搭建一个sqli-labs的靶场,就可以在里面做各种测试了
(2)代码执行和命令执行
这个漏洞的危害是很大的,本质来讲还是没有控制好我们的输入,把我们输入的内容当作了代码或者系统命令被执行了,刚开始时代码执行学PHP的就行;其实学这个无非就是学PHP语法和系统命令,再加上一些特性和绕过啥的
(3)文件上传
现在CTF或者真实环境中纯的文件上传越来越少了,只不过该学的还是得学,文件上传漏洞主要是上传webshell,获取网站权限
文件上传也有一个靶场,叫做upload-labs,也推荐在本地搭好,然后先黑盒上传,不行就打开源代码白盒测,再不行就看wp
(4)文件包含
也是学PHP相关的,了解下可以进行文件包含的函数吧,以及文件包含配合文件上传的使用
(5)PHP反序列化
刚开始学的时候依然是学PHP的反序列化,在学反序列化之前先去学学面向对象哈,反序列化这个漏洞非常重要,一定要好好学,掌握扎实,刚开始是基础反序列化,然后后面构造pop链、session反序列化、phar反序列化,再到后面学不同语言的,比如说python反序列化和Java反序列化,不过这都是后话了,先把基础的搞明白哈
(6)XSS
这个漏洞的危害性相比前面几个可能没那么大,不过它出现的频率还是很高的,很多网站中都有这个漏洞,学XSS之前得先把JS的语法学了,XSS的漏洞说白了就是因为没控制好用户输入,让JS的代码在浏览器上被执行了,所以说理论上JS能干的事儿XSS都能干
(7)CSRF
这个漏洞单独使用基本上没有威胁,而且也很容易防御,一般来讲都是CSRF配合XSS去干一些事情,让受害者在不经意间就完成了某些操作
(8)SSRF
服务端请求伪造,攻击是发生在服务器上的,通过服务端去发起一些请求,利用这个可以读一些文件、探测端口、或者攻击内网中相对比较脆弱的应用,比如说Redis、Mysql、fastcgi这些
(9)XXE
学XXE之前先去学XML语法
这个漏洞也可以读取内网文件,可能造成SSRF,只不过有的时候利用难度还是偏大
(10)SSTI
服务端模板注入;这个漏洞说实话我也理解的不深,只是知道个大概吧
4.总结
害,不知不觉也写了这么多了,感谢能看到最后的朋友们,学习从来就不是一件轻松的事情,需要付出很多的努力,要牺牲很多的休息时间,但是,当你真正学进去了之后,你就会发现这其中的快乐,上面给出的学习链接对于完整的学完一个漏洞来说是远远不够的,还需要去搜索更多的资料学习;还有就是学习的时候记得记好笔记和总结;如果对上面我写的的内容有任何疑问,都欢迎各位朋友加我qq:1072247977私聊;下面是我们团队招新的招新群,群号:344085145以及微信公众号,欢迎大家的加入和关注
网络联盟团队 (08067Sec安全实验室) 面向西南石油大学成都校区2022级全体新生招新啦!!我们期待你的加入!!
