web安全学习

一、HTTP抓包、修改

---

• http请求、响应流程
• 浏览器插件（FireFox）：Firebug、Tamper Data、Hackbar
• 工具：Burpsuite、Fiddler

二、web前端

---

• Html、CSS、Javascript：MDN文档
• 编码：百度或google (url编码，html编码)
• cookie，缓存
• 跨域问题，CSP策略

三、web后端

---

• PHP： 官方文档
• Python： 廖雪峰Python教程（www.liaoxuefeng.com），官方文档
• Python框架：Flask，Tornado，Django
• PHP框架： Laravel，Yii，ThinkPHP
• Session

四、数据库和服务器

---

• 了解常见数据库及区别：MySQL、PostgreSQL、Oracle、Sqlite、MongoDB
• 数据库操作：基本语句，文件读取，写入，权限，dnslog
• 服务器：配置主流服务器：Apache、Nginx
• 缓存引擎：Redis、Memcached

五、Linux

• Shell
• Docker

六、常见web漏洞

---

• XSS
• SQL注入
• CSRF
• SSRF
• 命令执行
• 未授权访问
• 目录遍历
• 业务逻辑漏洞

七、工具

• Sqlmap（sql注入检测）
• Burpsuite（神器）
• Netsparker（web漏洞扫描）
• Kali、woobuntu（自带安全工具的Linux发行版）

八、书和网站

• 《白帽子讲web安全》
• 《Web前端黑客技术揭秘》
• 《Python网络编程（第三版）》
• 《Python高级编程》
• 《Effective Python》
• Sec Wiki
• 乌云网
• Freebuf
• 腾讯src博客
• 推酷

** 附：拒绝百度，拥抱Google **