想学习Web安全，如何入门？

开始前的思考

1. 我真的喜欢搞安全吗?
2. 我想通过安全赚钱钱?
3. 我不知道做什么就是随便?
4. 一辈子做安全吗？

这些不想清楚会对你以后的发展很不利，与其盲目的学习web安全，不如先做一个长远的计划。否则在我看来都是浪费时间。

【Web安全学习路线&资料】

首先你得了解Web

Web分为好几层，一图胜千言：

事实是这样的：如果你不了解这些研究对象是不可能搞好安全研究的。

这样看来，Web有八层（如果把浏览器也算进去，就九层！每层都有几十种主流组件！！！）这该怎么办？

一法通则万法通，这是横向的层，纵向就是数据流！搞定好数据流：从横向的层，从上到下→从下到上，认真看看这些数据在每个层是怎么个处理的。

\

零基础web安全学习计划

2.1 HTTP协议请求 (TIME: 一周)

对以下下知识点做了解学习http协议请求 http状态码              post / get 区别       

可以使用Chrome浏览器中F12查看“Network”标签中的HTTP请求响应,来了解HTTP协议请求.

2.2.危险的HTTP头参数 (TIME: 一周)

HTTP请求时需对一些必要的参数做一些了解,这些参数也会造成很严重的安全安全问题如下：

user_agent 
X-Forwarded-For
Referer
clien_ip
Cookie   

2.3 专业术语 (TIME: 一天)

了解如下专业术语的意思

• webshell
• 菜刀
• 0day
• SQL注入
• 上传漏洞
• XSS
• CSRF
• 一句话木马

2.4 专业黑客工具使用 (TIME: 10天)

熟悉如何渗透测试安全工具，掌握这些工具能大大提高你在工作的中的效率。

sqlmap     
Burpsuite  
nmap      
w3af       
nessus  
Appscan 
AWVS

2.5 脚本语言＋代码审计入门 (TIME: 10天)

推荐php不用学的太灵通，我们又不是搞开发，了解基本语法和一些危险函数即可如：open exec 等函数会造成什么漏洞,了解了php中的危险函数会造成那些漏洞可举一反三套用到别的脚本当中 asp aspx java这些语言的危险函数可能只是写法不一样功能是相同的,了解这些后就可以来做一些web漏洞的代码审计了.

php入门学习  
php代码审计   

2.6 Sql注射 (TIME: 3天)

零基础就先用最有效的办法注入推荐注入工具 sqlmap如何使用？

如果你不想只停留在使用工具的层面，那么你需要学习一下数据库，mysql sqlserver 随便先学一个前期学会 selsct 就行，php尝试自己写一个查询数据库的脚本来了解手工sql注入的原理，这样进步会很快,如果想深入可以把各种数据库注入都温习一边。关于需要掌握的技术点：

1. 数字型注入 
2.字符型注入 
3.搜索注入 
4.盲注(sleep注入) 
5.sqlmap使用 
6.宽字节注入
mysql入门  
Sqlmap     
sleep原理    
盲注sleep函数执行sql注入攻击

【Web安全学习路线&资料】

2.7 CSRF 跨站点请求 (TIME: 3天)

为什么会造成csrf，GET型与POST型CSRF 的区别, 如何防御使用 token防止 csrf？

2.8 XSS (TIME: 7天)

要研究xss首先了解同源策略 ，Javascript 也要好好学习一下 ，以及html实体 html实体的10 或16进制还有javascript 的8进制和16进制编码，

xss     
进制编码  
同源策略  

2.9 文件上传漏洞 (TIME: 7天)

了解下开源编辑器上传都有那些漏洞，如何绕过系统检测上传一句话木马

上传绕过

2.10 php-远程/本地 文件包含 (TIME: 10天)

去学习下include() include_once() require() require_once() fopen() readfile()这些php函数是如何产生文件包含漏洞, 本地包含与远程包含的区别。

以及利用文件包含时的一些技巧如：截断 /伪url/超长字符截断 等 等等等等。因为篇幅原因，我就不一一展示了如果你对黑客知识感兴趣。

    网络安全学习资源免费分享，保证100%免费！！！（黑客入门教程）

如果你对网络安全入门感兴趣，那么你需要的话可以

点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

 👉网安（黑客）全套学习视频👈
我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。

👉网安（黑客红蓝对抗）所有方向的学习路线👈
对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

👉黑客必备开发工具👈
工欲善其事必先利其器。学习黑客常用的开发软件都在这里了，给大家节省了很多时间。

这份完整版的网络安全（黑客）全套学习资料已经上传至CSDN官方，朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】 

 如果你有需要可以点击👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！