jjnoob

WebSec-学习规划

2019-04-12
jjnoob

根据谷歌来的学习路线, 目前已经看完了 HTTP协议, HTML, CSS, JavaScript, MySQL. 我觉得目前可以去接触 Web-Sec. 当然其实还有很多 Web 方面得东西需要学习, 打算一边学 Web-Sec, 一边去补充需要的 Web 方面知识.

今天先简单接触下, 构建大体框架, 具体的学习, 明后天安排.

根据莫小西的说法–双螺旋式学习法. 即 “实践与理论双螺旋式学习”, 最后再通过一本书来复习所学知识. 目前 WEB基础除了 PHP 剩下基本都看完了. 所以虽然«白帽子讲WEB安全» 真心不错, 但是还是放一放, 先去看CTF-WIKI, 一遍学习, 一遍实践. 最后再来看这本书.

参考

参考 小西博客

一. WEB 知识基础

  • HTML
  • CSS
  • JS
  • HTTP协议
  • Python
  • PHP
  • SQL


二. 主要安全问题

  • XSS (Cross Site Script): 跨站脚本注入
  • CSRF (Cross Site Request Forge): 跨站请求伪造
  • SQL注入 (SQL injection): SQL语言注入


三. 书籍

(1) 白帽子讲Web安全

重点部分为:

  • 浏览器安全
  • 跨站脚本攻击XSS
  • 跨站请求伪造 (CSRF)
  • 注入攻击
  • 文件上传漏洞
  • 认证和会话管理
  • 访问控制
  • Web 框架安全
  • Web Server 配置安全


四. 主要工具

  • Nessus
  • Nmap
  • AWVS
  • Burp
  • Appscan

上一篇 MySQL-Studying

下一篇 PHP-Studying

Content