截至到2018年底,我国网民规模已达8.02亿人,居世界之首。这片虚拟土壤已经涉足国人生活的方方面面,互联网安全已不再是隐藏在角落的潜在需求,而是关乎8亿中国人的安全保卫战。
互联网极度发达衍生的开放性和安全漏洞带来的风险无处不在,黑客攻击行为越加猖狂,组织性更强,作为一名Lin运维小哥,我也是由原来的“受害者”误打误撞进入Web安全领域。
2015年初时,我学习Lin已有一段时间,有点基础后便下载了一个CMS搭建博客,那会能搭建博客已经够自己臭屁的了,然而好景不长,没几天我便发现博客网站无法正常打开,刷新一下,弹了个框出现”hacked by xxx 联系QQxxxxxxx”。
那个时候我写代码的标准是能运行起来就谢天谢地了,安全啥的完全没概念。一头雾水的我登录ftp,发现自己的首页多了几个陌生的文件,我~被挂马了。
然后我还真的加了这个QQ,通过这个小老弟的动态中看到了某知名Web安全社区,从此开始关注Web网络安全。
在安全行业摸爬滚打3年多,磕磕碰碰走到今天,真的不想新人再去试错,下面是我给大家分享小弟这几年的学习经验。
入门Web安全需要具备哪些基本技能?
想给网站弹个窗,获取cookie?(JavaScript的基本语法要熟悉吧?)
想获取到网站的用户数据?(MySQL、MSSQL、Oracle、PostgrSQL基本操作命令你要懂吧?)
想通过命令执行漏洞获取服务器信息?(Lin的命令、目录文件信息心里得有数吧?)
想搞清楚自己的网站为啥被人挂马了?(webshell执行原理不能不知道吧?)
...
知识面,决定看到的攻击面有多广。 知识链,决定发动的杀伤链有多深。
一个合格的Web安全测试人员应该具备以下技能:
A.工具使用能力
工具让每个人都有发现漏洞的机会,但真正掌握工具而不是被工具掌握的人才能成为优秀的白帽子。工欲善其事必先利其器,好的安全测试工具可以帮助白帽子快速、有效的定位到漏洞可能存在的点,同时辅助Web安全测试人员完成漏洞利用(exp)和漏洞证明(poc)。所以,作为一名Web安全测试人员,熟练掌握各种安全测试软件是基本功。
目前web安全测试人员常用的工具有:burpsuite、sqlmap、wireshark、fiddler、avws等,其中burpsuite和sqlmap是漏洞挖掘过程中使用最多也是最高效的神器。
B.编程能力
只有漏洞原理了然于胸,才能做到随手捡洞。只有自己具备编写工具的能力,才能做到不被工具束缚。
另外,虽然CC ++JAVA 这些编程语言在Web安全测试中都可以写出很多强大的工具(比如业内最知名的工具burpsuite就是使用Java语言编写的) ,但是这些语言对于初学者来说并不友好,要达到上手使用的程度往往需要花费大量的时间和精力,所以我并不推荐新手在初学阶段去学习这些语言。
我建议大家学习python,因为相对而言Python代码简洁,学习难度小,而且Python程序小巧、占用系统资源少、可移植性强。
对于Web安全人员来说,Python就像是普罗米修斯手里的火种,它拥有无限可能。
C.代码审计能力
厂商现在对于安全的重视,使得很多时候仅凭黑盒测试无法做到全方位的安全评估,这个时候就需要我们具备一定的代码审计能力对项目进行白盒测试。通过分析源代码,有针对性的对一些可能存在漏洞的点进行审计,实现高效精准测试。
另外,很多厂商的生产环境都会使用一些开源服务,当挖掘漏洞过程中遇到瓶颈时,审计这些开源服务往往也是一个突破口。
D.洞察能力
Web安全是一个需要不断学习的技术,Web安全测试人员要与时俱进,时刻关注最新漏洞动态。
很多时候一些影响力大的漏洞都是从国外披露的,所以我们也应该具备随时获取全球Web安全资讯(科学上网和英语基础)的能力。
E.懂法守法
任何未经授权的渗透测试行为都可以构成犯罪,作为一名Web安全测试人员,必须懂得用法律保护自己,同时也保证不触犯法律。
F.报告文档编写能力
懂得如何写出一份完整有效的漏洞报告,可以在节省你和厂商的时间同时也提高双方的工作效率。
这里给出我个人的学习路线建议:
这里针对上述各种能力,我汇总了一个思维导图,学习资源的具体获取方式都可以在搜索引擎中获取到。当然,要是有一些靠谱的Web安全工程师带是最好的。
我要评论
网友评论
评论时间:2024-05-23 12:25:02
宝塔服务器(6张)宝塔服超低价虚拟主机 常州云主机价格 宝塔服务器(6张)宝塔服务器采用了目前最先进的网络技术——TCP/IP协议以及最新推出的DH和FTP等多种网络应用技术
评论时间:2024-04-19 09:25:02
同时由于使用时间较长,也可能导致某些部件损坏甚至报废,所以需要定云主机服务器是什么 期进行维护保养工作,以确保系统正常服务器搭建全局代理 些部件损坏甚至报废,所以需要定期进行维护保养工作,以确保系统正常运行
评论时间:2022-11-25 06:25:02
而私有云市场也将保持高服务器电源能用多久 速增长态势云主机的特点和特征 势
评论时间:2022-10-14 15:25:02
服务器租用哪一家好呢?目前市场上主要有两种服务器类型:1.x86服务器2.ARM服务怎么连接网站的虚拟主机 器虚拟主机互联源码免费 :1.x86服务器2.ARM服务器
评论时间:2022-08-08 12:25:01
I/O类服务器程序由硬件驱动执行;云主机安装什么系统 II软件定义型服务器则是一种基于操作系统或中间件来控服务器机柜风扇怎么接 器则是一种基于操作系统或中间件来控制的可重构式服务器
最新文章
2023-12-25 22:44:35 admin
活动发布区版规2023-05-27 22:03:52 御风而行
容器、无服务器、虚拟机:安全性差...2023-05-27 20:43:39 1356
服务器宕机的造成原因和解决方法介...2023-05-27 20:43:25 qingym
别糊涂了!服务器与工作站的五大区...2023-05-27 19:08:41 小绵羊0123
科技巨头布局云端 服务器 网络硬...2023-05-27 18:17:46 姐姐的跟屁虫
钉钉因系统访问流量激增,宕机1小...热门阅读
2022-07-23 00:34:02 freeatom
常见ftp命令 FTP命令使用详...2022-07-21 02:17:02 ares
双硬盘组建Raid0磁盘阵列图文...2022-07-20 06:17:02 mankeung123
用友软件客户端连接不上服务器的解...2022-07-23 00:51:02 antonfxb
WebService实例2022-07-13 05:38:02 苯小孩
开发、运维不可不看的Linux调...2022-07-20 18:51:02 nightstone
如何使用Charles抓取Web...随机文章
2021-12-20 20:29:54 DIID
服务器托管收费标准2022-01-05 05:38:03 kimpo
快来看用户评价香港机房那个好?2022-01-24 05:38:03 fdfjdlkfjslkj
服务器托管名词解释2022-01-30 05:38:02 powerdream
如何设置不支持基于域名虚拟主机的...2022-02-03 05:38:02 gyman
电子邮件服务器的配置2022-03-24 05:38:02 arain
服务器配置推荐热评文章
2022-07-19 20:17:02 dengyu0429
linux vi使用及详细介绍2022-07-20 01:00:05 激动的舌头
Linux视频教程:用户管理命令...2022-07-21 20:51:02 jessica-an
创建本地FTP站点2022-02-07 05:38:03 jasonkidd
WEB服务器配置详解2022-07-20 04:51:02 wolfssss
ACL权限-默认与递归(4)2022-07-22 15:00:05 淡水珊瑚
Linux下 Samba Ser...