web安全教程

从web安全来入门渗透是比较合理的。

简单来说，你以后工作要做的事情就两部分：1、找到漏洞。2、利用漏洞。

那么如何才能在web中找到漏洞，如何才能利用这个web漏洞呢。

首先，你要知道当前web中主要都有哪些漏洞是经常出现，这些漏洞原理到底是什么，要了解这些漏洞。

然后，在了解了漏洞之后你就会利用这些漏洞了，比如利用sql注入漏洞拿到数据库，利用命令注入漏洞执行命令等。

再者，就是可以用工具来帮助你完成上述两过程，比如用漏洞扫描器来找到sql注入漏洞、用sqlmap来利用注出数据。

当你的经验慢慢变多之后你可能会发现，扫描器很多时候是比较难发现漏洞的，很多漏洞即使存在，工具却利用不了。

但是如果你对漏洞原理掌握的很好，则可通过手工一步一步的分析发现很多扫描器发现不了的漏洞，也可以手工利用漏洞。

所以，综上所述，重中之中是对漏洞原理的了解。

漏洞原理我把它分为两部分：文字叙述的理论 + 实际的漏洞代码

接下来的几天我就要按照owasp top 10的漏洞来讲一下各个漏洞原理带你入门。