160天入门web安全

大家好,我是小V。最近有小伙伴问我,学web安全有没有什么路线。确实,web安全的范围实在太大,哪些先学,哪些后学,如果没有系统的路线会降低大家效率,对于刚入门的同学们来说简直就是“噩梦”。当初我刚入门的时候走了很多弯路,甚至有持续半年的阶段里在做无用功,现在的我逐渐走入正轨。所以,我打算写一篇类似学习路线的博文,帮助刚入门的萌新们少走弯路,希望能给大家一些帮助。

书籍都打包好pdf版的

01 基础语言(60天)

做web安全的人如果不懂开发,不会语言,也就是所谓的脚本小子了,是很可怕的,你会很快的遇到瓶颈,那就是语言。我希望大家从刚开始就夯实基础,学好语言,你学的越好,你的瓶颈也就越高。

常见语言:HTML、CSS、JS、JAVA、PHP、SQL、Python、Ruby

以上这些语言都涉及到开发和脚本编写,试想一下,在你未来做代码审计和脚本编写的时候,如果你已经掌握这些语言,岂不是美滋滋。

推荐一下相关书籍(无商业关系)

160天入门web安全_第1张图片

160天入门web安全_第2张图片 

 

160天入门web安全_第3张图片

160天入门web安全_第4张图片 

 

160天入门web安全_第5张图片

 

160天入门web安全_第6张图片

 

02 基础协议(20天)

因为是web安全,所以要着重学习HTTP协议和TCP/IP协议,这也将是决定你的瓶颈高低的一个因素。

推荐一下相关书籍(无商业关系)

160天入门web安全_第7张图片

 

160天入门web安全_第8张图片

 

03 常见漏洞和工具(60天)

常见工具:AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan……(要自己读一遍工具的官方API)

常见漏洞:SQL注入 、XSS攻击、CSRF漏洞、文件上传绕过、文件包含漏洞、任意代码执行、业务逻辑漏洞……

这些是必须要学的,而且还需要精通,这些漏洞和工具,在我推荐的书籍里都有所涉及,大家可以看书学习,或者上网搜索。

推荐一下相关书籍(无商业关系)

160天入门web安全_第9张图片

 

 160天入门web安全_第10张图片

 160天入门web安全_第11张图片

 

 

 160天入门web安全_第12张图片

 160天入门web安全_第13张图片

 160天入门web安全_第14张图片

 

 160天入门web安全_第15张图片

 

 160天入门web安全_第16张图片

 

160天入门web安全_第17张图片

 

 

160天入门web安全_第18张图片

 

160天入门web安全_第19张图片

 

160天入门web安全_第20张图片

 

160天入门web安全_第21张图片

 

160天入门web安全_第22张图片

 

04 工具开发(10天)

虽然网上有大牛放出来的工具,但使用的过程中总有些不顺手,或者网上根本没有这种工具,有些EXP和POC需要自己编写。这些时候就要自己开发工具了,开发工具主要就是python和C#。

推荐一下相关书籍(无商业关系)

160天入门web安全_第23张图片

 

160天入门web安全_第24张图片

 

160天入门web安全_第25张图片

 

160天入门web安全_第26张图片

05 服务器安全配置(10天)

首先要熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等;

熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist等;

然后学习服务器环境配置,并能通过思考发现配置存在的安全问题。

例如:

Windows环境下的IIS配置,特别注意配置安全和运行权限;

Linux环境下的LAMP的安全配置,主要考虑运行权限、跨目录、文件夹权限等;

远程系统加固,限制用户名和口令登陆,通过iptables限制端口;

配置软件Waf加强系统安全,在服务器配置mod_security等系统通过。

推荐一下相关书籍(无商业关系)

160天入门web安全_第27张图片

 

160天入门web安全_第28张图片

通过最起码160天的学习,我觉得就可以入门web安全了,至于剩下的只能靠你自己探索了。希望这篇文章能够给大家带来帮助。

最后有需要电子书的,可以评论区领取哦~ 我挨个发

 

你可能感兴趣的:(web安全,安全,网络,网络安全,学习)