从小白到白帽子的实用技巧

204人已阅读 2018-07-31 15:49:35
导读 很多学习web的学员都想做web的高手,那么如何做一个web安全高手呢?有什么样的技巧呢?今天小编通过蓝鸥教育为大家整理了一些资料,希望对大家有所帮助。
精品课程

新闻详情

2018-07-31 15:49:35

从小白到白帽子的实用技巧

很多学习web的学员都想做web的高手,那么如何做一个web安全高手呢?有什么样的技巧呢?今天小编通过蓝鸥教育为大家整理了一些资料,希望对大家有所帮助。

基础:修炼内功
  对于白帽从业者来说,一般都是从XSS、SQL注入等简单的漏洞研究入门的。需要对于这两大类漏洞原理,有一定数量的实践和经验。
  除了了解各种相关的术语,还需要对于Web应用要有一个基本的认识。在这的基础上,对于HTML、JavaScript要有基础的了解和使用,它们是Web应用架构中最重要的基础元素。其直接运行在浏览器上,渲染出网页。
  对于非开发人员的Web安全从业者来说,身边有相应的Cookbook也是一个不错的方式。
  随后,便需要进一步了解Web前端应用的数据是如何通讯的——输入及输出。
  比如,对于不是使用前后端技术的传统Web应用来说,数据可能通过form data或者URL的形式传递到后台;对于单页面应用来说,数据是通过json的形式传递到后台。后台处理完这些数据,再返回到前端供用户阅读。
  有空了,再去深入了解诸如HTTP协议等一系列底层知识。
寻找合适的学习资料
  不论是Web安全还是Web开发,他们都有着基本一致的学习体验。先找到感兴趣的知识点,学习尝试,一点点把玩。再找到一个合适的技能图谱,再按图索骥地去补充知识。
  不过,对于初入Web安全领域的新人来说,要找到合适的资料不是一件容易的事。有这么几本书还是可以推荐一下的:
  《白帽子讲Web安全》
  《黑客攻防技术宝典—Web实战篇》
  《Web前端黑客技术揭秘》
  在学习到一定程度之后,可以按照技能图谱去了解更广泛的知识,诸如StuQ的安全工程师必备技能图谱。
学好相关工具
  对于开发人员来说,最简单的安全工具是在持续集成上,集成对代码扫描、依赖检测相关的事项。
  对于Web安全从业者来说,有一系列不同的渗透工具可以了解和使用。
  当小编们对一个网站进行分析时:
  可以使用sqlmap进行渗透测试,以利用SQL注入漏洞;
  可以使用Wireshark+tcpdump来进行抓*分析;
  利用Chrome浏览器的开发者工具,来了解API用户是如何认证和授权等内容;
  当小编们对一个服务器进行分析时,可以使用nmap进行端口扫描;
融入圈子
  早前,小编使用Wireshark+TCPdump用来破解蓝牙通讯协议,Hack了一个机器人,并编写了相应的应用程序。
  融入圈子
  小编越来越关注Web安全,是因为它可以带来一些额外的乐趣。并且,还能减少编写代码的BUG。而关注也就意味着,了解最新的资讯和技术等。自去年的MongoDB未授权访问漏洞之后,小编关注了安全相关的公号,诸如Freebuf、安全圈等等。
  随后去了解、认识、结交更多相关领域的人,以让融入这个圈子。同时关注一些在安全领域有输出的大V,诸如知乎上的余弦,他是网络安全、黑客(Hacker)、信息安全话题的优秀回答者。
上一篇: 无 下一篇: 这几个编程的新工具你get到了吗?

相关文章

推荐课程

查看全部课程
武汉蓝鸥教育

武汉蓝鸥教育

光谷校区

查看全部校区 进入官方主页