最近大家都在议论 web 安全这话题, 但是大多数人都不知道是什么, 怎么去操作更不知道怎么学习, 下面小猿圈 Web 安全老师就为你讲解一下 Web 安全该怎么入手, 希望对你的学习有所帮助.
首先是我们该具备的基础知识, 为自己打造一个知识金字塔, 既然我们学习 Web 安全, 我们必须知道他整个框架, 也就是我们要说的开发了, 短期学习的快速开发, PHP MySQL 包括网站基本的传输协议 http https 以及一些状态码做一些了解, 为什么推荐 PHP 呢, 它的优点在于学习, 快速开发, 当你有了以上的基础, 这个时候我们就可以参考下面的了.
开始安全之路
1. 明确目标
2. 不断的实践
3. 抽出自己的思维
1. 明确目标阶段性
在学习一个漏洞之前, 你需要明白漏洞的原理, 并且要去复现它, 然后去思考该如何去防御, 什么样的防御方式最简单直接, 什么样的防御方式能用在应急修复
明确自己的出发点:
1. 热爱技术系列
2. 为了高工资系列
3. 感觉很炫酷
先从 owasptop10 漏洞慢慢的一个一个去理解, 去复现
学习的小秘诀: 保持着对每一个漏洞的好奇心, 以及对 Web 安全的兴趣
2. 不断的实践
理论谈的再多也只是纸上谈兵, 不如真刀真枪干一把, 当然不是让你们去随意脱裤, 撸站那些. 也许你网上教学视频看的再多, 但那也只是靶场, 到后面还是得靠你自己, 他们在视频上只是教你们怎么去捕鱼, 但到真正的海上, 捕鱼的方式, 捕鱼的技巧都是靠自己的经验, 不断的总结不断的完善.
也就是不断的实践, 你才能收获自己的经验, 在这里我还是想说一下: 挖洞不是为了赚钱, 是为了在挖洞的历程中形成自己的安全思维, 形成一套自己的独立体系, 形成属于自己的思路, 找到自己的缺点和需要学习的方向, 然后一步一步实现, 一步一步的突破, 让自己不断的去接近大佬
3. 抽出自己的思维
如果你经过了上面两次洗脑, 那么看到这里的你, 收获会很大
插入一个小故事: 在两年以前, 我有一个现在你们会觉得特别好笑的想法, 那就是我常常思考的是, 我学的这么慢, 是不是我学完了其他人都把漏洞挖完了, 那么我学这些有什么用?
直到后来, 也是现在的我回头望去才发现自己那时候的想法多么天真幼稚, 如果没有一套自己的体系, 自己的独特方式, 属于自己的一套安全思维, 那么我挖的漏洞也只是曾经有的
黑客跟程序员最大的区别是什么?
黑客在不断的去发现没有问题, 并提前预防. 而程序员不断的在解决已存在的问题.
当然说到这了, 我只是希望大家能有喝完一碗鸡汤之后的恍然大悟
试着去总结一套自己的思维, 借助他人的思维不断的去完善自己的安全体系, 你也可以叫它 "绝对防御"" 军用刺刀 "等等一些试着站在巨人的肩上去看向远方, 再看向自己的时候, 问自己我叫的" 绝对防御 " 这套安全体系真的够安全吗?
如果不安全? 我该用什么方法去完善?
这个时候该你的思维出场了, 去请教一些前辈, 当然有一些人虽然技术不是很好, 但他的思维不错的时候, 年龄小. 我也希望各位不要去小看他们学会不耻下问本人文采有限, 写的不好的地方各位多多见谅, 也希望各位能提供一些宝贵的意见.
以上就是小猿圈 Web 安全讲师对于 Web 安全该怎么入手的讲解, 记住一定要练习, 多学多看多练这才是学习一门新技术好的开始, 如果没有系统的视频可以观看小猿圈, 里面有更完善更全的视频.
来源: http://www.jianshu.com/p/2c3f71c37fdb