《网络安全学习》第一部分-----初识OWASP

要学习网络安全，或者说渗透测试，就必须要先知道一个组织——OWASP。
OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。我们的使命是使应用软件更加安全，使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有220个分部近六万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

总而言之，OWASP是一个致力于安全性研究的组织，并且是很牛逼的那种，我们要了解它的目的是为了学习OWASP公布的技术文档。

这些文档涵盖了所有网络攻击原理和预防措施，是入门的必要资料，以下为部分截图。

在线版文档：
File Mobile top 10-2013-2
离线资源文档：
下载链接

WEB安全的核心：永远不能相信用户的传来的数据
渗透测试，是为了证明网络防御按照预期计划正常而提供的一种机制，不妨假设，你的公司顶起更新安全策略和程序，时时给系统打补丁，并采用了漏洞扫描等工具，以确保所有补丁都已打上。如果你早已做到了这些，为什么还要请外方进行审查或渗透测试呢？因为，渗透测试能够独立地检查你的网络策略，换句话说，就是给你的系统安了一双眼睛。而且，进行这类测试的，都是虚招网络系统安全漏洞的专业人士。

---

知识扩展

HTTP协议

HTTP协议（HyperText Transfer Protocol，超文本传输协议）是用于从WWW服务器传输超文本到本地浏览器的传输协议。它可以使浏览器更加高效，使网络传输减少。它不仅保证计算机正确快速地传输超文本文档，还确定传输文档中的哪一部分，以及哪部分内容首先显示（如文本先于图形）等。

GET: 请求方式 / 表示路径 HTTP/1.1 表示HTTP协议版本号为1.1
Host : 域名
User-Agent：客户端的版本，浏览器信息等
Accept: 客户端（浏览器）允许接收的数据格式。
Accept-Language: 客户端（浏览器）允许接收的语言类型。
Accept-Encoding: 客户端（浏览器）允许接收的编码类型（gzip:服务器端把数据进行压缩处理）。
Cookie: 存放cookie信息
Connection: socket连接中设置连接失效情况

HTTP常见的请求方法

• GET
• POST
• PUT
• COPY
• DELETE
• OPTIONS

【网络安全学习】系列教程

《网络安全学习》第一部分-----初识OWASP
《网络安全学习》第二部分-----SQL注入学习
《网络安全学习》第三部分-----XSS攻击系列学习
《网络安全学习》第四部分-----SSRF服务器端请求伪造
《网络安全学习》第五部分-----远程代码执行漏洞
《网络安全学习》 第六部分-----文件上传漏洞
《网络安全学习》 第七部分-----跨域资源共享（CORS）漏洞
《网络安全学习》 第八部分-----《网络安全学习》 第八部分-----越权漏洞详解
《网络安全学习》 第九部分----CSRF（跨站请求伪造）漏洞详解