- 入手web安全
web架构,web优化及安全防护,学点Python能看懂代码,网站开发也可以学习一些,这里的都是一些基础,不用太深入。
其次想要进入web安全领域,还要学会web渗透,OWASP top 10 等常见的web漏洞原理及利用方式,包括SQL注入,XSS攻击,webshell木马编写,提权,命令执行等。
熟悉基本的概念: SQL 注入,上传,XSS,CSRF,一句话木马等
推荐书籍《 精通脚本黑客》,很老的书了,而且也有一些错误,但是对于入门来说足够。
到这里你就算基本上入门了。
后续学习
攻防演练,等保测评,风险评估,这些都是在你入门后学习的。
熟悉渗透相关的工具:
AWVS ,sqlmap.Burp,nessus,chopper,namp,Appscan 等工具
具体教材可以在SecWiki上搜索。
广义上说,你作为一个网络安全师需要学习的内容如下:
-
通信协议:TCP、HTTP、HTTPs
-
操作系统:Linux、Windows
-
服务架设:Apache、Nginx、LAMP、LNMP、MVC
-
架构数据库:MySQL、SQL Server、Oracle
-
编程语言:前端语言(HTML/CSS/JavaScript)、后端语言(PHP/Java/ASP/Python)
但我们通常学习20%的核心内容来完成80%的工作,所以压缩一下:
-
安全理论:OWASP TOP 10 、PETS、ISO 27001
-
后端安全:SQL注入、文件上传、Webshell(木马)、文件包含、命令执
-
前端安全:XSS跨站脚本攻击、CSRF跨站请求伪造…
-
安全产品:Web漏洞扫描(Burp/WVS/Appscan)、WAF(Web应用防火墙)、IDS/IPS(Web入侵防御)、Web主机防护
可以看一个招聘需求:
推荐:CTF
CTF有两点:
-
接近实战的机会。现在网络安全法很严格,不像之前大家能瞎搞
-
题目紧跟技术前沿,而书籍很多落后了。
如果你想打CTF比赛,直接去看赛题,赛题看不懂,根据不懂的地方接着去看资料。
书单推荐:
计算机操作系统:
-
编码:隐藏在计算机软硬件背后的语言
-
深入理解操作系统
-
深入理解windows操作系统
-
Linux内核与实现
编程开发类:
-
windows程序设计
-
windwos核心变成
-
Linux程序设计
-
unix环境高级变成
-
IOS变成
-
第一行代码Android
-
C程序语言设计
-
C primer plus
-
C和指针
-
C专家编程
-
C陷阱与缺陷
-
汇编语言(王爽)
-
java核心技术
-
java编程思想
-
Python核心编程
-
Linuxshell脚本攻略
-
算法导论
-
编译原理
-
编译与反编译技术实战
-
代码整洁之道
-
代码大全
-
TCP/IP详解
-
Rootkit : 系统灰色地带的潜伏者
-
黑客攻防技术宝典
-
加密与解密
-
C++ 反汇编与逆向分析技术揭秘
-
web安全测试
-
白帽子讲web安全
-
精通脚本黑客
-
web 前端黑客技术揭秘
-
程序员的应用
-
英语写作手册:风格的要素
常见的网络安全及论坛
-
看雪论坛
-
安全课
-
安全牛
-
安全内参
-
绿盟
