现在学习Web安全的朋友越来越多,但是能学好的Web安全却很少,大多数人都是从入门到放弃,是真的太难还是学习方法不对?今天小猿圈web安全讲师就告诉你如何进阶为一名Web安全高手?
对于基础薄弱的人来说,一般都是从XSS、SQL注入等简单的漏洞研究入门的。除了了解各种相关的术语,还需要对于Web应用有一个基本的认识。在这基础上,对于HTML、JavaScript有基础的了解和使用,它们是Web应用架构中最重要的基础元素,其直接运行在浏览器上,渲染出网页。随后,便需要进一步了解Web应用的数据是如何通讯的——输入及输出。
对于基础较强的人来说,理论必结合实践,不断摸索尝试,例如遇到常规漏洞都没有的情况下,可以考虑从逻辑漏洞下手,逻辑漏洞情况多种多样,实践的多了,再拿到一个授权的测试站点,你就会潜意识知道到漏洞的存在点。渗透起来就会得心应手,而且逻辑漏洞不会很难,如遇程序设计的缺陷我们就可以逆向猜测程序员开发程序的逻辑结构从而找到漏洞,且只需要一个抓包工具,你就可以进行对数据包的分析与测试。
常规漏洞:
1、任意用户注册/密码找回
2、逻辑越权漏洞
3、支付逻辑漏洞
4、逻辑设计缺陷漏洞
单单这几个就有几十种漏洞情况了?不怕告诉你。常见的密码找回就有十种了,若无名师指导,Web安全谈何学起。
以上就是小猿圈web安全讲师给大家分享的如何进阶为一名Web安全高手的内容,希望对小伙伴们有所帮助,想要了解更多内容的小伙伴可以登录小猿圈官网进行学习,希望本篇文章对于刚刚自学的你有一定的帮助。
