知乎大V＠Phodal：小白也能看懂的Web安全進階指南

當黑客很酷嗎？

早先，我也是半個黑客，經常在學校的教務系統看妹子。通過 URL 注入的方式，可以輕鬆進入別人的個人信息頁。後來，又通過某種方式發現了管理員的賬號，管理員又沒有修改默認密碼，於是就登錄了管理員後台。

這件事，我就偷偷地說到了這，不能讓我們家花仲馬知道。

後來，我更關注於構建更強壯的 Web 應用，而不是關注在安全領域上。因為我覺得創造是一件更開心的事。

然而 Web 安全，對於一個 Web 從業人員來說，仍然是一個非常重要的課題。

那麼問題來了，如何進階為一名 Web 安全高手呢？

1

基礎：修鍊內功

對於白帽從業者來說，一般都是從 XSS、SQL 注入等簡單的漏洞研究入門的。需要對於這兩大類漏洞原理，有一定數量的實踐和經驗。

除了了解各種相關的術語，還需要對於 Web 應用要有一個基本的認識。在這的基礎上，對於 HTML、JavaScript 要有基礎的了解和使用，它們是 Web 應用架構中最重要的基礎元素。其直接運行在瀏覽器上，渲染出網頁。

對於非開發人員的 Web 安全從業者來說，身邊有相應的 Cookbook 也是一個不錯的方式。

隨後，便需要進一步了解 Web 前端應用的數據是如何通訊的——輸入及輸出。

比如，對於不是使用前後端技術的傳統 Web 應用來說，數據可能通過 form data 或者 URL 的形式傳遞到後台；對於單頁面應用來說，數據是通過 json 的形式傳遞到後台。後台處理完這些數據，再返回到前端供用戶閱讀。

有空了，再去深入了解諸如 HTTP 協議等一系列底層知識。

2

尋找合適的學習資料

不論是 Web 安全還是 Web 開發，他們都有著基本一致的學習體驗。先找到感興趣的知識點，學習嘗試，一點點把玩。再找到一個合適的技能圖譜，再按圖索驥地去補充知識。

不過，對於初入 Web 安全領域的新人來說，要找到合適的資料不是一件容易的事。有這麼幾本書還是可以推薦一下的：

《白帽子講Web安全》

《黑客攻防技術寶典—Web實戰篇》

《Web前端黑客技術揭秘》

在學習到一定程度之後，可以按照技能圖譜去了解更廣泛的知識，諸如 StuQ 的安全工程師必備技能圖譜。

3

學好相關工具

對於開發人員來說，最簡單的安全工具是在持續集成上，集成對代碼掃描、依賴檢測相關的事項。

對於 Web 安全從業者來說，有一系列不同的滲透工具可以了解和使用。

當我們對一個網站進行分析時：

可以使用 sqlmap 進行滲透測試，以利用 SQL 注入漏洞；

可以使用 Wireshark + tcpdump 來進行抓包分析；

利用 Chrome 瀏覽器的開發者工具，來了解 API 用戶是如何認證和授權等內容；

當我們對一個伺服器進行分析時，可以使用 nmap 進行埠掃描；

……

早前，我使用 Wireshark + TCPdump 用來破解藍牙通訊協議， Hack 了一個機器人，並編寫了相應的應用程序。

詳見《我是如何Hack一個機器人的？》https://www.phodal.com/blog/how-to-hack-a-robot/

同時，活用各種搜索引擎搜索，諸如：

網路空間的搜索引擎 ZoomEye、Shodan

常用的 Google——用來搜索知識

不過，在喜歡造輪子的我看來，最合適的工具，還是自己去造輪子。

4

融入圈子

我越來越關注 Web 安全，是因為它可以帶來一些額外的樂趣。並且，還能減少編寫代碼的 BUG。而關注也就意味著，了解最新的資訊和技術等。自去年的 MongoDB 未授權訪問漏洞之後，我關注了安全相關的公號，諸如Freebuf、安全圈等等。

隨後去了解、認識、結交更多相關領域的人，以讓融入這個圈子。同時關注一些在安全領域有輸出的大V，諸如知乎上的@餘弦，他是網路安全、黑客 (Hacker)、信息安全話題的優秀回答者。

然而，更重要的是，保持興趣 + 持續練習。

也許你在學習的過程中，會無規劃、效率低、難自律、沒方向、沒答疑、沒時間、太孤獨、沒互動……

那麼，網易雲課堂&i春秋學院聯合推出的《Web安全工程師（進階）》微專業適合你，由一眾網易安全大咖和i春秋學院資深講師聯合打造。

我們希望通過合理的引導，幫助學員在建立起Web安全基礎框架的基礎上，不斷積累，相比於自學，Web安全工程師微專業能夠幫助學員節約大量的時間與彎路。

網安大咖搭配熱門乾貨，一鍋濃濃的千年老雞湯新鮮出爐，專治各種攻防領域疑難雜症，並且推出免費直播課《Web安全工程師職業發展規劃指引》，免費附贈學習資料。

直播教師

▼

i春秋教研部高級研究員 SinX

7月17日20:00-21:00

直播大綱

▼

1.Web安全工程師崗位解讀

2.基礎進階職業發展路線圖

3.技術能力發展趨勢解析

Web安全學習資料

▼

入群即可獲取

如何獲取？

掃碼加入QQ群

即可免費攻讀

《Web安全工程師職業發展規劃指引》

為了保證學習體驗，

本次「Web安全學習群"限時開放

數量有限，欲報從速

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！