根据谷歌来的学习路线, 目前已经看完了 HTTP协议, HTML, CSS, JavaScript, MySQL. 我觉得目前可以去接触 Web-Sec. 当然其实还有很多 Web 方面得东西需要学习, 打算一边学 Web-Sec, 一边去补充需要的 Web 方面知识.
今天先简单接触下, 构建大体框架, 具体的学习, 明后天安排.
根据莫小西的说法–双螺旋式学习法. 即 “实践与理论双螺旋式学习”, 最后再通过一本书来复习所学知识. 目前 WEB基础除了 PHP 剩下基本都看完了. 所以虽然«白帽子讲WEB安全» 真心不错, 但是还是放一放, 先去看CTF-WIKI, 一遍学习, 一遍实践. 最后再来看这本书.
一. WEB 知识基础
- HTML
- CSS
- JS
- HTTP协议
- Python
- PHP
- SQL
二. 主要安全问题
- XSS (Cross Site Script): 跨站脚本注入
- CSRF (Cross Site Request Forge): 跨站请求伪造
- SQL注入 (SQL injection): SQL语言注入
三. 书籍
(1) 白帽子讲Web安全
重点部分为:
- 浏览器安全
- 跨站脚本攻击XSS
- 跨站请求伪造 (CSRF)
- 注入攻击
- 文件上传漏洞
- 认证和会话管理
- 访问控制
- Web 框架安全
- Web Server 配置安全
四. 主要工具
- Nessus
- Nmap
- AWVS
- Burp
- Appscan