本文提供了一条全面的Web安全学习路径,涵盖Windows/kali Linux系统掌握、服务器安全配置、脚本编程、Web概念理解、渗透工具运用、实战操作、安全圈动态跟踪、源码审计与体系设计等内容,为网络安全爱好者和专业人员提供了丰富的学习资源。
Table of Contents
Web 安全学习路线
熟悉Windows/kali Linux 系统
学习Windows/Linux 基本命令、常用工具
熟悉Windows 下 cms 命令,如ipconfig、nslookup、tracert、net user、net localgroup、tasklist、taskkill等等
熟悉Linux 下的 bash 常用命令,如ifconfig、Ls、cp、mv、vim、wget、sudo、service等等
熟悉kali 下的常用工具
服务器安全配置
学习服务器环境搭建及配置
1、Windows 2003/2008 环境下的IIS配置
2、Linux 环境下的Apache、Nginx 等服务器的配置
3、通过一些漏洞扫描工具(Nessus\openVAS)对配置环境进行漏洞扫描
4、配置软件Waf 加强系统安全,在服务器端配置mod_security 等系统
脚本编程学习
学习脚本语言python/PHP/Go/java
python 编程学习,如语法、函数、对象、正则、文件、网络、多线程等库,尝试编写简单的python 爬虫
搭建PHP开发环境,如XAMPP、phpstudy等,学习PHP语言相关内容,并学习编写简单的论坛系统
学习HTML、j=JavaScript,了解CSS
熟悉Web 相关的概念
如注入、文件上传、XSS、CSRF、一句话木马等等
看一些视频/笔记,了解渗透实战的整个流程。
熟悉渗透相关的工具
了解AWVS、sqlmap、MSF、Bp、nmap、Appsan、nessus、chopper等相关工具的使用
网上搜索相关教程学习使用
学完之后可以尝试使用音速启动做一个渗透工具箱
渗透实战操作
自己搭建靶场练习各种漏洞,如DVWA、sqli-labs、Mutillidae等等
研究OWASP TOP10 的原理,如SQL 注入原理,手动注入,自动注入,盲注等等
学习Windows/Linux 系统提权的方法
网上多找相关视频书籍观看学习。
关注安全圈动态
在主流的博客、技术平台浏览每日的安全技术文章、事件
养成良好的写博客习惯,复现一些漏洞
多关注最新的漏洞列表,如CVE中文库等等
多关注圈内大牛的技术博客
源码审计与漏洞分析
能够独立分析脚本源码并发现安全问题
熟悉代码审计的动态和静态的方法,学会如何去分析程序
研究Web 漏洞形成的原理,并从源码层面上避免该类漏洞
安全体系设计与开发
能够建立自己的安全体系
开发一些实用的安全小工具
参考文献:
hackerjie :https://www.sec-wiki.com/skill/2
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
