| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> 一篇文章带你走进Web安全 -> 正文阅读 |
|
[网络协议]一篇文章带你走进Web安全 |
1.前言又到了一年一度的西南石油大学网络联盟安全团队招新啦,想起两年前的我也在为选哪个方向而迷茫,回顾自己这两年Web安全的学习,收获了很多快乐,也成长了很多,接下来就和各位新朋友们介绍一波Web安全,希望大家都能找到自己感兴趣的方向并且能一直坚持学下去,一起为网络安全的发展做出贡献! Web安全是很有意思的,当你学深入了之后,就可以在有授权的情况下,对很多网站进行渗透测试,发现网站中可能存在的各类Web漏洞,然后利用学到的知识去利用这些漏洞,最终得到服务器的控制权限,让它可以执行任意命令,就像黑客一样拿下别人的网站哈哈哈,当然一定是在有授权的情况下哈,而且也不能恶意破坏别人的网站,作为网安人基本的底线是要有的!! Web安全,归根结底是要基于Web层面的,我觉得很多学Web安全学不下去的就是因为过于注重了安全二字,而没有回归到Web上来,这样肯定是很难学好的;在学Web安全之前,我还是建议先学一些Web的基本知识,不用学的很深入但要做到能基本理解,要明白它是用来干什么的就行 比如说Web服务器基础,前后端的基础,数据库的基础, 然后了解一下网络安全的一些术语吧,比如说 然后就可以慢慢开始学习Web的一些漏洞了,当然你在学某一个Web漏洞的时候,肯定要去学习它相关的知识哈,比如说你去学习 然后我们再来聊聊 刚开始Web入门时可以去 言归正传,接下来,我就来介绍介绍Web安全大概需要学什么,以及要学到什么程度,并且推荐几个我认为还不错的学习网站;当然下面这些学习内容是长期的学习内容哈,大家不用害怕,肯定不是说要把这些都学完才能来参加我们的招新哈,招新还是相对容易的,具体的招新要求我们会后面在招新群放出来,这里就不赘述了 2.Web基础(1)html和JavaScript这个前端语言不用学的太深入,能大概看懂这 (2)PHP后端语言最开始学的应该就是 搭建 (3)Mysql最开始时我们接触的数据库应该是 (4)Http协议这个大概看看 burpsuite安装 (文章如果找的不好大家就再去百度找找哈) (5)Linux基础语法这个首先需要搭建 差不多基础篇就这样,也不写多了,再重申一遍哈,不是说要把基础篇学完之后才能再往后学哈!!可以一起学的哈,或者就是在学后面漏洞的时候发现自己有些地方理解不了,再回来补前面的基础,这些都是可以的,遇到问题了及时解决了就行!! 3.Web安全漏洞接下来就是重点了,学Web安全其实就是学各种Web层面的漏洞,我们前面说了那么多的基础也就是为了能更好的理解这些Web漏洞,只有理解明白了这些漏洞的原理,我们才能更好的利用或者防范这类漏洞 当然一个漏洞可能会比较复杂,我这里也不太能够给出所有的学习资料,这里就需要大家勤动手多去搜索了,还是那句话,百度和b站永远是最好的老师,如果都没搜到,那就去问问学长吧,可能是你的搜索方式有问题 还有就是如果纯学漏洞的原理觉得太枯燥太无聊学不进去,那就去找这个漏洞对应的CTF题做几道吧,或者搭个靶场啥的,边学边做很快就能理解了 (1)SQL注入
当然,学习不能只看文章哈,还是需要勤动手的,这里推荐在本地搭建一个 (2)代码执行和命令执行这个漏洞的危害是很大的,本质来讲还是没有控制好我们的输入,把我们输入的内容当作了 (3)文件上传现在CTF或者真实环境中纯的文件上传越来越少了,只不过该学的还是得学,文件上传漏洞主要是上传webshell,获取网站权限 文件上传也有一个靶场,叫做 (4)文件包含也是学 (5)PHP反序列化刚开始学的时候依然是学 (6)XSS这个漏洞的危害性相比前面几个可能没那么大,不过它出现的频率还是很高的,很多网站中都有这个漏洞,学 (7)CSRF这个漏洞单独使用基本上没有威胁,而且也很容易防御,一般来讲都是 (8)SSRF服务端请求伪造,攻击是发生在服务器上的,通过服务端去发起一些请求,利用这个可以读一些文件、探测端口、或者攻击内网中相对比较脆弱的应用,比如说 (9)XXE学 这个漏洞也可以读取内网文件,可能造成SSRF,只不过有的时候利用难度还是偏大 (10)SSTI服务端模板注入;这个漏洞说实话我也理解的不深,只是知道个大概吧 4.总结害,不知不觉也写了这么多了,感谢能看到最后的朋友们,学习从来就不是一件轻松的事情,需要付出很多的努力,要牺牲很多的休息时间,但是,当你真正学进去了之后,你就会发现这其中的快乐,上面给出的学习链接对于完整的学完一个漏洞来说是远远不够的,还需要去搜索更多的资料学习;还有就是学习的时候记得记好笔记和总结;如果对上面我写的的内容有任何疑问,都欢迎各位朋友加我 网络联盟团队 (08067Sec安全实验室) 面向西南石油大学成都校区2022级全体新生招新啦!!我们期待你的加入!! |
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/28 20:14:58- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |