知乎大V@Phodal:小白也能看懂的Web安全進階指南
當黑客很酷嗎?
早先,我也是半個黑客,經常在學校的教務系統看妹子。通過 URL 注入的方式,可以輕鬆進入別人的個人信息頁。後來,又通過某種方式發現了管理員的賬號,管理員又沒有修改默認密碼,於是就登錄了管理員後台。
這件事,我就偷偷地說到了這,不能讓我們家花仲馬知道。
後來,我更關注於構建更強壯的 Web 應用,而不是關注在安全領域上。因為我覺得創造是一件更開心的事。
然而 Web 安全,對於一個 Web 從業人員來說,仍然是一個非常重要的課題。
那麼問題來了,如何進階為一名 Web 安全高手呢?
1
基礎:修鍊內功
對於白帽從業者來說,一般都是從 XSS、SQL 注入等簡單的漏洞研究入門的。需要對於這兩大類漏洞原理,有一定數量的實踐和經驗。
除了了解各種相關的術語,還需要對於 Web 應用要有一個基本的認識。在這的基礎上,對於 HTML、JavaScript 要有基礎的了解和使用,它們是 Web 應用架構中最重要的基礎元素。其直接運行在瀏覽器上,渲染出網頁。
對於非開發人員的 Web 安全從業者來說,身邊有相應的 Cookbook 也是一個不錯的方式。
隨後,便需要進一步了解 Web 前端應用的數據是如何通訊的——輸入及輸出。
比如,對於不是使用前後端技術的傳統 Web 應用來說,數據可能通過 form data 或者 URL 的形式傳遞到後台;對於單頁面應用來說,數據是通過 json 的形式傳遞到後台。後台處理完這些數據,再返回到前端供用戶閱讀。
有空了,再去深入了解諸如 HTTP 協議等一系列底層知識。
2
尋找合適的學習資料
不論是 Web 安全還是 Web 開發,他們都有著基本一致的學習體驗。先找到感興趣的知識點,學習嘗試,一點點把玩。再找到一個合適的技能圖譜,再按圖索驥地去補充知識。
不過,對於初入 Web 安全領域的新人來說,要找到合適的資料不是一件容易的事。有這麼幾本書還是可以推薦一下的:
《白帽子講Web安全》
《黑客攻防技術寶典—Web實戰篇》
《Web前端黑客技術揭秘》
在學習到一定程度之後,可以按照技能圖譜去了解更廣泛的知識,諸如 StuQ 的安全工程師必備技能圖譜。
3
學好相關工具
對於開發人員來說,最簡單的安全工具是在持續集成上,集成對代碼掃描、依賴檢測相關的事項。
對於 Web 安全從業者來說,有一系列不同的滲透工具可以了解和使用。
當我們對一個網站進行分析時:
可以使用 sqlmap 進行滲透測試,以利用 SQL 注入漏洞;
可以使用 Wireshark + tcpdump 來進行抓包分析;
利用 Chrome 瀏覽器的開發者工具,來了解 API 用戶是如何認證和授權等內容;
當我們對一個伺服器進行分析時,可以使用 nmap 進行埠掃描;
……
早前,我使用 Wireshark + TCPdump 用來破解藍牙通訊協議, Hack 了一個機器人,並編寫了相應的應用程序。
詳見《我是如何Hack一個機器人的?》https://www.phodal.com/blog/how-to-hack-a-robot/
同時,活用各種搜索引擎搜索,諸如:
網路空間的搜索引擎 ZoomEye、Shodan
常用的 Google——用來搜索知識
不過,在喜歡造輪子的我看來,最合適的工具,還是自己去造輪子。
4
融入圈子
我越來越關注 Web 安全,是因為它可以帶來一些額外的樂趣。並且,還能減少編寫代碼的 BUG。而關注也就意味著,了解最新的資訊和技術等。自去年的 MongoDB 未授權訪問漏洞之後,我關注了安全相關的公號,諸如Freebuf、安全圈等等。
隨後去了解、認識、結交更多相關領域的人,以讓融入這個圈子。同時關注一些在安全領域有輸出的大V,諸如知乎上的@餘弦,他是網路安全、黑客 (Hacker)、信息安全話題的優秀回答者。
然而,更重要的是,保持興趣 + 持續練習。
也許你在學習的過程中,會無規劃、效率低、難自律、沒方向、沒答疑、沒時間、太孤獨、沒互動……
那麼,網易雲課堂&i春秋學院聯合推出的《Web安全工程師(進階)》微專業適合你,由一眾網易安全大咖和i春秋學院資深講師聯合打造。
我們希望通過合理的引導,幫助學員在建立起Web安全基礎框架的基礎上,不斷積累,相比於自學,Web安全工程師微專業能夠幫助學員節約大量的時間與彎路。
網安大咖搭配熱門乾貨,一鍋濃濃的千年老雞湯新鮮出爐,專治各種攻防領域疑難雜症,並且推出免費直播課《Web安全工程師職業發展規劃指引》,免費附贈學習資料。
直播教師
▼
i春秋教研部高級研究員 SinX
7月17日20:00-21:00
直播大綱
▼
1.Web安全工程師崗位解讀
2.基礎進階職業發展路線圖
3.技術能力發展趨勢解析
Web安全學習資料
▼
入群即可獲取
如何獲取?
掃碼加入QQ群
即可免費攻讀
《Web安全工程師職業發展規劃指引》
為了保證學習體驗,
本次「Web安全學習群"限時開放
數量有限,欲報從速
TAG:Java架構沉思錄 |