作為一個(gè)安全從業(yè)人員，我自知web安全的概念太過于寬泛，我本人了解的也并不夠精深，還需要繼續(xù)學(xué)習(xí)。

但看到這個(gè)問題之后又想說說自己的看法，所以今天隨手寫寫關(guān)于web安全的內(nèi)容，希望對初次遇到web安全問題的同學(xué)提供幫助！

我先把自己整理的web安全自學(xué)路線貼出來，有需要的可以保存一下：

如果你真的想通過自學(xué)的方式入門web安全的話，那建議你看看下面這個(gè)學(xué)習(xí)路線圖，具體到每個(gè)知識(shí)點(diǎn)學(xué)多久，怎么學(xué)，自學(xué)時(shí)間共計(jì)半年左右，親測有效（文末有驚喜）：

1、Web安全相關(guān)概念（2周）

• 熟悉基本概念（SQL注入、上傳、XSS、CSRF、一句話木馬等）。
• 通過關(guān)鍵字（SQL注入、上傳、XSS、CSRF、一句話木馬等）進(jìn)行Google/SecWiki；
• 閱讀《精通腳本黑客》，雖然很舊也有錯(cuò)誤，但是入門還是可以的；
• 看一些滲透筆記/視頻，了解滲透實(shí)戰(zhàn)的整個(gè)過程，可以Google（滲透筆記、滲透過程、入侵過程等）；

2、熟悉滲透相關(guān)工具（3周）

• 熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關(guān)工具的使用。
• 了解該類工具的用途和使用場景，先用軟件名字Google/SecWiki；
• 下載無后門版的這些軟件進(jìn)行安裝；
• 學(xué)習(xí)并進(jìn)行使用，具體教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；
• 待常用的這幾個(gè)軟件都學(xué)會(huì)了可以安裝音速啟動(dòng)做一個(gè)滲透工具箱；

3、滲透實(shí)戰(zhàn)操作（5周）

• 掌握滲透的整個(gè)階段并能夠獨(dú)立滲透小型站點(diǎn)。
• 網(wǎng)上找滲透視頻看并思考其中的思路和原理，關(guān)鍵字（滲透、SQL注入視頻、文件上傳入侵、數(shù)據(jù)庫備份、dedecms漏洞利用等等）；
• 自己找站點(diǎn)/搭建測試環(huán)境進(jìn)行測試，記住請隱藏好你自己；
• 思考滲透主要分為幾個(gè)階段，每個(gè)階段需要做那些工作，例如這個(gè)：PTES滲透測試執(zhí)行標(biāo)準(zhǔn)；
• 研究SQL注入的種類、注入原理、手動(dòng)注入技巧；
• 研究文件上傳的原理，如何進(jìn)行截?cái)?、雙重后綴欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，參照：上傳攻擊框架；
• 研究XSS形成的原理和種類，具體學(xué)習(xí)方法可以Google/SecWiki，可以參考：XSS；
• 研究Windows/Linux提權(quán)的方法和具體使用，可以參考：提權(quán)；
• 可以參考: 開源滲透測試脆弱系統(tǒng)；

4、關(guān)注安全圈動(dòng)態(tài)（1周）

• 關(guān)注安全圈的最新漏洞、安全事件與技術(shù)文章。
• 通過SecWiki瀏覽每日的安全技術(shù)文章/事件；
• 通過Weibo/twitter關(guān)注安全圈的從業(yè)人員（遇到大牛的關(guān)注或者好友果斷關(guān)注），天天抽時(shí)間刷一下；
• 通過feedly/鮮果訂閱國內(nèi)外安全技術(shù)博客（不要僅限于國內(nèi)，平時(shí)多注意積累），沒有訂閱源的可以看一下SecWiki的聚合欄目；
• 養(yǎng)成習(xí)慣，每天主動(dòng)提交安全技術(shù)文章鏈接到SecWiki進(jìn)行積淀；
• 多關(guān)注下最新漏洞列表，推薦幾個(gè)：exploit-db、CVE中文庫、Wooyun等，遇到公開的漏洞都去實(shí)踐下。
• 關(guān)注國內(nèi)國際上的安全會(huì)議的議題或者錄像，推薦SecWiki-Conference。

5、熟悉Windows/Kali Linux（3周）

• 學(xué)習(xí)Windows/Kali Linux基本命令、常用工具；
• 熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill等；
• 熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；
• 熟悉Kali Linux系統(tǒng)下的常用工具，可以參考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等；
• 熟悉metasploit工具，可以參考SecWiki、《Metasploit滲透測試指南》。

6、服務(wù)器安全配置（3周）

• 學(xué)習(xí)服務(wù)器環(huán)境配置，并能通過思考發(fā)現(xiàn)配置存在的安全問題。
• Windows2003/2008環(huán)境下的IIS配置，特別注意配置安全和運(yùn)行權(quán)限，可以參考：SecWiki-配置；
• Linux環(huán)境下的LAMP的安全配置，主要考慮運(yùn)行權(quán)限、跨目錄、文件夾權(quán)限等，可以參考：SecWiki-配置；
• 遠(yuǎn)程系統(tǒng)加固，限制用戶名和口令登陸，通過iptables限制端口；
• 配置軟件Waf加強(qiáng)系統(tǒng)安全，在服務(wù)器配置mod_security等系統(tǒng)，參見SecWiki-ModSecurity；
• 通過Nessus軟件對配置環(huán)境進(jìn)行安全檢測，發(fā)現(xiàn)未知安全威脅。

7、腳本編程學(xué)習(xí)（4周）

• 選擇腳本語言Perl/Python/PHP/Go/Java中的一種，對常用庫進(jìn)行編程學(xué)習(xí)。
• 搭建開發(fā)環(huán)境和選擇IDE，PHP環(huán)境推薦Wamp和XAMPP，IDE強(qiáng)烈推薦Sublime，一些Sublime的技巧：SecWiki-Sublime；
• Python編程學(xué)習(xí)，學(xué)習(xí)內(nèi)容包含：語法、正則、文件、網(wǎng)絡(luò)、多線程等常用庫，推薦《Python核心編程》，不要看完；
• 用Python編寫漏洞的exp，然后寫一個(gè)簡單的網(wǎng)絡(luò)爬蟲，可參見SecWiki-爬蟲、視頻；
• PHP基本語法學(xué)習(xí)并書寫一個(gè)簡單的博客系統(tǒng)，參見《PHP與MySQL程序設(shè)計(jì)（第4版）》、視頻；
• 熟悉MVC架構(gòu)，并試著學(xué)習(xí)一個(gè)PHP框架或者Python框架（可選）；
• 了解Bootstrap的布局或者CSS，可以參考：SecWiki-Bootstrap;

8、源碼審計(jì)與漏洞分析（3周）

• 能獨(dú)立分析腳本源碼程序并發(fā)現(xiàn)安全問題。
• 熟悉源碼審計(jì)的動(dòng)態(tài)和靜態(tài)方法，并知道如何去分析程序，參見SecWiki-審計(jì)；
• 從Wooyun上尋找開源程序的漏洞進(jìn)行分析并試著自己分析；
• 了解Web漏洞的形成原因，然后通過關(guān)鍵字進(jìn)行查找分析，參見SecWiki-代碼審計(jì)、高級(jí)PHP應(yīng)用程序漏洞審核技術(shù)；
• 研究Web漏洞形成原理和如何從源碼層面避免該類漏洞，并整理成checklist。

?

9、安全體系設(shè)計(jì)與開發(fā)（5周）

• 能建立自己的安全體系，并能提出一些安全建議或者系統(tǒng)架構(gòu)。
• 開發(fā)一些實(shí)用的安全小工具并開源，體現(xiàn)個(gè)人實(shí)力；
• 建立自己的安全體系，對公司安全有自己的一些認(rèn)識(shí)和見解；
• 提出或者加入大型安全系統(tǒng)的架構(gòu)或者開發(fā)；
• 看自己發(fā)展咯~

最后
我整理了一些關(guān)于網(wǎng)絡(luò)安全的資料和內(nèi)容，希望能對大家了解和學(xué)習(xí)網(wǎng)絡(luò)安全有所幫助。如果需要這些資料，可以在評(píng)論區(qū)留言，我會(huì)盡快回復(fù)。同時(shí)，也歡迎大家分享自己的看法和經(jīng)驗(yàn)，共同推動(dòng)網(wǎng)絡(luò)安全事業(yè)的發(fā)展。?

1.網(wǎng)絡(luò)安全零基礎(chǔ)入門
對于從來沒有接觸過網(wǎng)絡(luò)安全的同學(xué)，我?guī)湍銈儨?zhǔn)備了詳細(xì)的學(xué)習(xí)成長路線圖。可以說是最科學(xué)最系統(tǒng)的學(xué)習(xí)路線，大家跟著這個(gè)大的方向?qū)W習(xí)準(zhǔn)沒問題。

同時(shí)每個(gè)成長路線對應(yīng)的板塊都有配套的教程筆記源碼提供：

2.網(wǎng)絡(luò)安全視頻教程
很多朋友都不喜歡晦澀的文字，我也為大家準(zhǔn)備了視頻教程，其中一共有21個(gè)章節(jié)，每個(gè)章節(jié)都是當(dāng)前板塊的精華濃縮。

3.SRC文檔&黑客技術(shù)書籍
大家最喜歡也是最關(guān)心的SRC文檔&黑客技術(shù)書籍也有收錄

4.護(hù)網(wǎng)行動(dòng)資料

其中關(guān)于HW護(hù)網(wǎng)行動(dòng)，也準(zhǔn)備了對應(yīng)的資料，這些內(nèi)容可相當(dāng)于比賽的金手指！

文章來源地址http://www.zghlxwxcb.cn/news/detail-455167.html

到了這里，關(guān)于零基礎(chǔ)自學(xué)網(wǎng)絡(luò)安全/web安全，看這一篇就夠了的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！