IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 一篇文章带你走进Web安全 -> 正文阅读

[网络协议]一篇文章带你走进Web安全

团队logo

1.前言

又到了一年一度的西南石油大学网络联盟安全团队招新啦,想起两年前的我也在为选哪个方向而迷茫,回顾自己这两年Web安全的学习,收获了很多快乐,也成长了很多,接下来就和各位新朋友们介绍一波Web安全,希望大家都能找到自己感兴趣的方向并且能一直坚持学下去,一起为网络安全的发展做出贡献!

Web安全是很有意思的,当你学深入了之后,就可以在有授权的情况下,对很多网站进行渗透测试,发现网站中可能存在的各类Web漏洞,然后利用学到的知识去利用这些漏洞,最终得到服务器的控制权限,让它可以执行任意命令,就像黑客一样拿下别人的网站哈哈哈,当然一定是在有授权的情况下哈,而且也不能恶意破坏别人的网站,作为网安人基本的底线是要有的!!

Web安全,归根结底是要基于Web层面的,我觉得很多学Web安全学不下去的就是因为过于注重了安全二字,而没有回归到Web上来,这样肯定是很难学好的;在学Web安全之前,我还是建议先学一些Web的基本知识,不用学的很深入但要做到能基本理解,要明白它是用来干什么的就行

比如说Web服务器基础,前后端的基础,数据库的基础,Python编程语言的基础,Linux系统的常用命令,计算机网络的一些基础,比如说Http协议等各类协议,举个例子说要基本了解互联网的通信流程吧,当你发起一次请求之后,浏览器是怎么把你想要的内容呈现到你的眼前的;当然,学这些理论东西是相对枯燥的,所以说也不用等到把这些东西全部学完再进入到下一阶段,很多东西是可以同步着学的,或者学到后面发现前面哪里不会再对应着去补哪里

然后了解一下网络安全的一些术语吧,比如说PayloadExpPocGetshell反弹shellwrite up这些简单术语吧

然后就可以慢慢开始学习Web的一些漏洞了,当然你在学某一个Web漏洞的时候,肯定要去学习它相关的知识哈,比如说你去学习SQL注入的时候,肯定要先去了解SQL语句,以及后端语言(刚开始是PHP)对数据库的操作;SQL语句可能刚开始理解不了,我的建议是就先背下来,后面用的多了就慢慢能理解了;当你学习过程中,看到关于某个漏洞的文章觉得晦涩难懂了,搞不明白它在讲什么了的时候,多半就是由于你前面的基础薄弱了,这时候就需要去查资料,去补相应的基础知识了,如果任由它一知半解下去,不去补基础,那么你是很难彻底搞明白这个漏洞的,学到后面就会发现不会的越来越多,到时候就很难受了

然后我们再来聊聊CTF吧,不光是Web方向,任何方向我认为都是,打CTF是入门网络安全最快的途径,甚至都没有之一,当很多漏洞你看似好像学了,但不会用的时候,就去找找关于这个漏洞的CTF题去做做吧,多做几道就明白了;至于CTF平台,前期我推荐攻防世界基础题CTFHubBugKu,到了后面可以去做BUUCTFNSSCTF以及CTFSHOW,思考过后不会做的题都可以去百度里去搜Writeup,大部分写的都是很清楚的

刚开始Web入门时可以去NSSCTF平台上去刷SWPUCTF 2021的招新赛,也就是我们去年的招新赛题,里面的题一道题就只考一个漏洞或者一个考点,对新手非常友好,而且它也涉及不到太多我上面提到的基础内容,所以说相对是比较容易的,边学边做也会很有意思,也可以好好享实解出题来的成就感哈哈,不过NSSCTF的平台注册好像需要邀请码,这里加入平台的qq群,群文件里就有:941849249
nssctf平台顺便说一点,很多朋友入门时都疑惑学习时应该看视频还是看文章,这里我认为入门可以先看看视频,视频去b站去搜,里面有很多,找播放量多的看就行,只不过视频虽然方便理解,但我认为看视频学习效率是很低的,稍微看看视频之后还是应该去啃文章,CSDN或者很多大佬的博客就是很好的选择

言归正传,接下来,我就来介绍介绍Web安全大概需要学什么,以及要学到什么程度,并且推荐几个我认为还不错的学习网站;当然下面这些学习内容是长期的学习内容哈,大家不用害怕,肯定不是说要把这些都学完才能来参加我们的招新哈,招新还是相对容易的,具体的招新要求我们会后面在招新群放出来,这里就不赘述了

2.Web基础

(1)html和JavaScript

这个前端语言不用学的太深入,能大概看懂这html代码是啥意思就行,重点是搞懂表单提交,JS前面可以不用着急学,到后面学XSS的时候再去学就行

html教程

html标签大全

JS教程

(2)PHP

后端语言最开始学的应该就是PHP了,因为它的语法相对简单,用来搭建网站非常方便,而且PHP出现的漏洞也是非常多的,是用来入门最好的后端语言了,初学时大概学学PHP的基础语法,能读懂这段PHP代码是啥意思,然后能写一些简单的代码,比如说GET请求POST请求这些,还有就是由于PHP语言的特性出现的一些漏洞,这些遇到了题目再去百度搜索着学习就行,这些都学完可以去学学PHP的面向对象,为后面的反序列化打下基础

搭建PHP运行环境我建议使用phpstudy,里面集成了apache服务器和Mysql数据库,没有复杂的配置,使用起来非常方便,下载包可以去网上找,也可以去群文件中去寻找下载,安装方面有任何的问题都可以去百度搜索或者问群里的管理员

PHP教程

(3)Mysql

最开始时我们接触的数据库应该是Mysql数据库,这也是CTF题目中SQL注入用的最多数据库,要深入理解SQL注入肯定是要会SQL语句的,只不过这个不用学的太深,刚开始的时候大概明白增删查改操作就行,深入的话遇到题目了再慢慢学

Mysql教程

(4)Http协议

这个大概看看Http协议的数据包结构,简单了解Http是如何发送请求的就行,可以用burpsuite去抓一个数据包来看看它是怎么构成的

Http教程

Http数据包详解

burpsuite安装 (文章如果找的不好大家就再去百度找找哈)

(5)Linux基础语法

这个首先需要搭建Linux环境,可能入门会有点儿麻烦,这里推荐装Vmware,然后在里面装Ubuntu或者kali的虚拟机就行,或者去买台腾讯云或者阿里云的Linux服务器也行;有了环境之后学起来就会比较轻松,这里也不用学的太仔细,会用里面的常用命令就行,装环境如果有啥问题就去问群里的学长吧,也都不难解决

Linux教程

差不多基础篇就这样,也不写多了,再重申一遍哈,不是说要把基础篇学完之后才能再往后学哈!!可以一起学的哈,或者就是在学后面漏洞的时候发现自己有些地方理解不了,再回来补前面的基础,这些都是可以的,遇到问题了及时解决了就行!!

3.Web安全漏洞

接下来就是重点了,学Web安全其实就是学各种Web层面的漏洞,我们前面说了那么多的基础也就是为了能更好的理解这些Web漏洞,只有理解明白了这些漏洞的原理,我们才能更好的利用或者防范这类漏洞

当然一个漏洞可能会比较复杂,我这里也不太能够给出所有的学习资料,这里就需要大家勤动手多去搜索了,还是那句话,百度和b站永远是最好的老师,如果都没搜到,那就去问问学长吧,可能是你的搜索方式有问题

还有就是如果纯学漏洞的原理觉得太枯燥太无聊学不进去,那就去找这个漏洞对应的CTF题做几道吧,或者搭个靶场啥的,边学边做很快就能理解了

(1)SQL注入

SQL注入应该是很多Web手第一个接触的漏洞吧,这个漏洞很经典,CTF和实战中也经常能遇到,在了解SQL语句之后相信原理还是不难理解的,这里的参考文章我就用我们团队学长写的文章了:

SQL注入漏洞(原理篇)

SQL注入漏洞(类型篇)

SQL注入漏洞(绕过篇)

当然,学习不能只看文章哈,还是需要勤动手的,这里推荐在本地搭建一个sqli-labs的靶场,就可以在里面做各种测试了

sqli-libs靶场搭建

(2)代码执行和命令执行

这个漏洞的危害是很大的,本质来讲还是没有控制好我们的输入,把我们输入的内容当作了代码或者系统命令被执行了,刚开始时代码执行学PHP的就行;其实学这个无非就是学PHP语法和系统命令,再加上一些特性和绕过啥的

代码执行和命令执行

(3)文件上传

现在CTF或者真实环境中纯的文件上传越来越少了,只不过该学的还是得学,文件上传漏洞主要是上传webshell,获取网站权限

文件上传漏洞

文件上传也有一个靶场,叫做upload-labs,也推荐在本地搭好,然后先黑盒上传,不行就打开源代码白盒测,再不行就看wp

upload-labs靶场搭建

通关手册

(4)文件包含

也是学PHP相关的,了解下可以进行文件包含的函数吧,以及文件包含配合文件上传的使用

文件包含漏洞利用方式

一篇文章带你理解漏洞之 PHP 文件包含漏洞

(5)PHP反序列化

刚开始学的时候依然是学PHP的反序列化,在学反序列化之前先去学学面向对象哈,反序列化这个漏洞非常重要,一定要好好学,掌握扎实,刚开始是基础反序列化,然后后面构造pop链、session反序列化、phar反序列化,再到后面学不同语言的,比如说python反序列化和Java反序列化,不过这都是后话了,先把基础的搞明白哈

PHP反序列化总结

一篇文章带你深入理解漏洞之 PHP 反序列化漏洞

(6)XSS

这个漏洞的危害性相比前面几个可能没那么大,不过它出现的频率还是很高的,很多网站中都有这个漏洞,学XSS之前得先把JS的语法学了,XSS的漏洞说白了就是因为没控制好用户输入,让JS的代码在浏览器上被执行了,所以说理论上JS能干的事儿XSS都能干

XSS漏洞

XSS小游戏

XSS平台的使用

(7)CSRF

这个漏洞单独使用基本上没有威胁,而且也很容易防御,一般来讲都是CSRF配合XSS去干一些事情,让受害者在不经意间就完成了某些操作

CSRF的攻击与防御

XSS和CSRF的组合拳

(8)SSRF

服务端请求伪造,攻击是发生在服务器上的,通过服务端去发起一些请求,利用这个可以读一些文件、探测端口、或者攻击内网中相对比较脆弱的应用,比如说RedisMysqlfastcgi这些

SSRF漏洞的利用与学习

(9)XXE

XXE之前先去学XML语法

这个漏洞也可以读取内网文件,可能造成SSRF,只不过有的时候利用难度还是偏大

XML教程

一篇文章带你理解漏洞之 XXE 漏洞

(10)SSTI

服务端模板注入;这个漏洞说实话我也理解的不深,只是知道个大概吧

一篇文章带你理解漏洞之 SSTI 漏洞

4.总结

害,不知不觉也写了这么多了,感谢能看到最后的朋友们,学习从来就不是一件轻松的事情,需要付出很多的努力,要牺牲很多的休息时间,但是,当你真正学进去了之后,你就会发现这其中的快乐,上面给出的学习链接对于完整的学完一个漏洞来说是远远不够的,还需要去搜索更多的资料学习;还有就是学习的时候记得记好笔记和总结;如果对上面我写的的内容有任何疑问,都欢迎各位朋友加我qq:1072247977私聊;下面是我们团队招新的招新群,群号:344085145以及微信公众号,欢迎大家的加入和关注

网络联盟团队 (08067Sec安全实验室) 面向西南石油大学成都校区2022级全体新生招新啦!!我们期待你的加入!!

在这里插入图片描述

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-07-17 16:57:20  更:2022-07-17 16:57:35 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 20:14:58-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计