Web安全不僅是互聯(lián)網(wǎng)的核心，而且還是云計算和移動互聯(lián)網(wǎng)的最佳載體。對于信息安全從業(yè)者而言，Web安全是一個非常重要的研究課題之一。

Web應(yīng)用是指采用B/S架構(gòu)、通過HTTP/HTTPS協(xié)議提供服務(wù)的統(tǒng)稱。隨著互聯(lián)網(wǎng)的廣泛使用，社交網(wǎng)絡(luò)、聊天工具、網(wǎng)絡(luò)購物等一系列新型產(chǎn)品也先后誕生，企業(yè)信息化的過程中各種應(yīng)用都架設(shè)在Web平臺上，Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強(qiáng)烈關(guān)注。此時，如果Java、PHP、ASP等程序語言的編程人員的安全意識不足，對程序參數(shù)輸入檢查不嚴(yán)格等，會導(dǎo)致Web應(yīng)用安全問題層出不窮。

目前來看，常見的Web漏洞Top 10主要有：

1、SQL注入漏洞

2、跨站腳本漏洞

3、弱口令漏洞

4、HTTP報頭追蹤漏洞

5、Struts2遠(yuǎn)程命令執(zhí)行漏洞

6、文件上傳漏洞

7、私有IP地址泄露漏洞

8、未加密登錄請求

9、敏感信息泄露漏洞

10、CSRF

對于以上常見的Web漏洞，主要從以下幾個方面進(jìn)行防御：

1、Web應(yīng)用開發(fā)者

Web應(yīng)用開發(fā)者應(yīng)該樹立很強(qiáng)的安全意識，開發(fā)中編寫安全代碼；對用戶提交的URL、查詢關(guān)鍵字、HTTP頭、POST數(shù)據(jù)等進(jìn)行嚴(yán)格的檢測和限制，只接受一定長度范圍內(nèi)、采用適當(dāng)格式及編碼的字符，阻塞、過濾或者忽略其它的任何字符。通過編寫安全的Web應(yīng)用代碼，可以消除絕大部分的Web應(yīng)用安全問題。

2、Web網(wǎng)站管理員

Web網(wǎng)站管理員應(yīng)該及時跟蹤并安裝最新的、支撐Web網(wǎng)站運(yùn)行的各種軟件的安全補(bǔ)丁，確保攻擊者無法通過軟件漏洞對網(wǎng)站進(jìn)行攻擊；同時Web網(wǎng)站管理員應(yīng)該對網(wǎng)站各種軟件配置進(jìn)行仔細(xì)檢測，降低安全問題的出現(xiàn)可能，以及應(yīng)該定期審計Web服務(wù)器日志，檢測是否存在異常訪問，及早發(fā)現(xiàn)潛在的安全問題。

可以看出，Web攻擊防御是一個長期持續(xù)的工作。隨著Web技術(shù)的發(fā)展和更新，Web攻擊手段也不斷發(fā)展，針對這些最新的安全威脅，需要及時調(diào)整Web安全防護(hù)策略，確保Web攻擊防御的主動性，使Web網(wǎng)站在一個安全的環(huán)境中為企業(yè)和客戶服務(wù)。雖然信息安全的學(xué)習(xí)方向繁多，但Web安全是一個很好的入門方向，對于初學(xué)者來說，以下四點(diǎn)是必須要掌握的。

1、熟悉相關(guān)知識

Web知識覆蓋面豐富廣泛，既然是零基礎(chǔ)，那么首先就需要了解相關(guān)知識和工具，熟悉基本概念，如sql注入、xpath注入、xss、csrf、邏輯漏洞、社會工程學(xué)攻擊、webshell 、菜刀、0day 、上傳漏洞、一句話木馬等，了解AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan、Msf等相關(guān)工具的使用。

2、腳本編程學(xué)習(xí)

熟練掌握一門編程語言，選擇腳本語言JS/Perl/Python/PHP/Go中的一種，對語法、正則、文件、網(wǎng)絡(luò)、多線程等常用庫進(jìn)行編程學(xué)習(xí)，試著用Python編寫漏洞的exp，然后寫一個簡單的網(wǎng)絡(luò)爬蟲，熟悉滲透的整個階段并能夠獨(dú)立滲透小型站點(diǎn)。在這個階段，要多看滲透、SQL注入、dedecms漏洞等相關(guān)視頻，多思考其中的原理和思路，同時隱蔽自己搭建開發(fā)環(huán)境進(jìn)行合理的實(shí)踐測試。

3、關(guān)注安全動態(tài)

隨時關(guān)注國內(nèi)外安全圈的最新漏洞、安全事件與技術(shù)文章，多關(guān)注黑客論壇、安全技術(shù)類的網(wǎng)站、知乎專欄、微信公眾號、博客等，參閱書籍也是必不可少的入門資料，在校大學(xué)生還可關(guān)注一些比賽，如全國大學(xué)生信息安全競賽、騰訊信息安全爭霸賽(TCTF)等。現(xiàn)在大部分安全圈的技術(shù)分享都集中在各個安全論壇、網(wǎng)站，作為入門，很多黑客網(wǎng)站也是值得實(shí)戰(zhàn)學(xué)習(xí)的。

4、Web漏洞分析

熟悉源碼審計的動態(tài)和靜態(tài)方法，尋找開源程序的漏洞試著進(jìn)行分析，發(fā)現(xiàn)安全問題，了解Web漏洞的形成原因，然后通過關(guān)鍵字進(jìn)行查找分析，研究Web漏洞形成原理和如何從源碼層面避免該類漏洞，建立自己的安全體系，并提出一些安全建議或者系統(tǒng)架構(gòu)，開發(fā)一些實(shí)用的安全小工具并開源。

隨著Web技術(shù)不斷發(fā)展創(chuàng)新，Web安全已經(jīng)成為信息安全中的一個重要分支，關(guān)注度也逐漸提升，對于“初學(xué)小白”而言，通過知識、經(jīng)驗(yàn)、實(shí)戰(zhàn)的積累與融會貫通，才能在Web安全領(lǐng)域走出一條屬于自己的道路。

總的來說，學(xué)習(xí) Web 安全需要一定的計算機(jī)基礎(chǔ)和技術(shù)功底，需要耐心和努力去學(xué)習(xí)和實(shí)踐。在學(xué)習(xí)過程中，要保持好奇心和求知欲，不斷深入學(xué)習(xí)和探索，才能更好地成為一名優(yōu)秀的 Web 安全專業(yè)人員。

1.學(xué)習(xí)路線
這個方向更符合于大部分人對“黑客”的認(rèn)知，他們能夠黑手機(jī)、黑電腦、黑網(wǎng)站、黑服務(wù)器、黑內(nèi)網(wǎng)，萬物皆可黑（當(dāng)然是要有授權(quán)的，不然進(jìn)橘子我可不管），這個方向初期比較容易入門一些，掌握一些基本技術(shù)，拿起各種現(xiàn)成的工具就可以開黑了。不過，要想從腳本小子變成黑客大神，這個方向越往后，需要學(xué)習(xí)和掌握的東西就會越來越多以下是網(wǎng)絡(luò)滲透需要學(xué)習(xí)的內(nèi)容：

學(xué)習(xí)資料工具包
壓箱底的好資料，全面地介紹網(wǎng)絡(luò)安全的基礎(chǔ)理論，包括逆向、八層網(wǎng)絡(luò)防御、匯編語言、白帽子web安全、密碼學(xué)、網(wǎng)絡(luò)安全協(xié)議等，將基礎(chǔ)理論和主流工具的應(yīng)用實(shí)踐緊密結(jié)合，有利于讀者理解各種主流工具背后的實(shí)現(xiàn)機(jī)制。

面試題資料

文章來源地址http://www.zghlxwxcb.cn/news/detail-479072.html

?需要資料的小伙伴，評論區(qū)留言！

到了這里，關(guān)于零基礎(chǔ)如何學(xué)習(xí) Web 安全？的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！