很多学习web的学员都想做web的高手,那么如何做一个web安全高手呢?有什么样的技巧呢?今天小编通过蓝鸥教育为大家整理了一些资料,希望对大家有所帮助。
除了了解各种相关的术语,还需要对于Web应用要有一个基本的认识。在这的基础上,对于HTML、JavaScript要有基础的了解和使用,它们是Web应用架构中最重要的基础元素。其直接运行在浏览器上,渲染出网页。
对于非开发人员的Web安全从业者来说,身边有相应的Cookbook也是一个不错的方式。
随后,便需要进一步了解Web前端应用的数据是如何通讯的——输入及输出。
比如,对于不是使用前后端技术的传统Web应用来说,数据可能通过form data或者URL的形式传递到后台;对于单页面应用来说,数据是通过json的形式传递到后台。后台处理完这些数据,再返回到前端供用户阅读。
有空了,再去深入了解诸如HTTP协议等一系列底层知识。
不过,对于初入Web安全领域的新人来说,要找到合适的资料不是一件容易的事。有这么几本书还是可以推荐一下的:
《白帽子讲Web安全》
《黑客攻防技术宝典—Web实战篇》
《Web前端黑客技术揭秘》
在学习到一定程度之后,可以按照技能图谱去了解更广泛的知识,诸如StuQ的安全工程师必备技能图谱。
对于Web安全从业者来说,有一系列不同的渗透工具可以了解和使用。
当小编们对一个网站进行分析时:
可以使用sqlmap进行渗透测试,以利用SQL注入漏洞;
可以使用Wireshark+tcpdump来进行抓*分析;
利用Chrome浏览器的开发者工具,来了解API用户是如何认证和授权等内容;
当小编们对一个服务器进行分析时,可以使用nmap进行端口扫描;
融入圈子
小编越来越关注Web安全,是因为它可以带来一些额外的乐趣。并且,还能减少编写代码的BUG。而关注也就意味着,了解最新的资讯和技术等。自去年的MongoDB未授权访问漏洞之后,小编关注了安全相关的公号,诸如Freebuf、安全圈等等。
随后去了解、认识、结交更多相关领域的人,以让融入这个圈子。同时关注一些在安全领域有输出的大V,诸如知乎上的余弦,他是网络安全、黑客(Hacker)、信息安全话题的优秀回答者。