web安全学习

一、HTTP抓包、修改


  • http请求、响应流程
  • 浏览器插件(FireFox):Firebug、Tamper Data、Hackbar
  • 工具:Burpsuite、Fiddler

二、web前端


  • Html、CSS、Javascript:MDN文档
  • 编码:百度或google (url编码,html编码)
  • cookie,缓存
  • 跨域问题,CSP策略

三、web后端


  • PHP: 官方文档
  • Python: 廖雪峰Python教程(www.liaoxuefeng.com),官方文档
  • Python框架:Flask,Tornado,Django
  • PHP框架: Laravel,Yii,ThinkPHP
  • Session

四、数据库和服务器


  • 了解常见数据库及区别:MySQL、PostgreSQL、Oracle、Sqlite、MongoDB
  • 数据库操作:基本语句,文件读取,写入,权限,dnslog
  • 服务器:配置主流服务器:Apache、Nginx
  • 缓存引擎:Redis、Memcached

五、Linux

  • Shell
  • Docker

六、常见web漏洞


  • XSS
  • SQL注入
  • CSRF
  • SSRF
  • 命令执行
  • 未授权访问
  • 目录遍历
  • 业务逻辑漏洞

七、工具

  • Sqlmap(sql注入检测)
  • Burpsuite(神器)
  • Netsparker(web漏洞扫描)
  • Kali、woobuntu(自带安全工具的Linux发行版)

八、书和网站

  • 《白帽子讲web安全》
  • 《Web前端黑客技术揭秘》
  • 《Python网络编程(第三版)》
  • 《Python高级编程》
  • 《Effective Python》
  • Sec Wiki
  • 乌云网
  • Freebuf
  • 腾讯src博客
  • 推酷

** 附:拒绝百度,拥抱Google **

你可能感兴趣的:(web安全学习)