我这里就直接切入主题了,不跟大家废话了!
首先是我们该具备的基础知识,为自己打造一个知识金字塔
既然我们学习web安全,我们必须知道他整个框架,也就是我们要说的开发了
短期学习的快速开发,php mysql 包括网站基本的传输协议 http https 以及一些状态码 做一些了解
为什么推荐php呢,它的优点在于学习,快速开发
当你有了以上的基础,这个时候我们就可以参考下面的了
开始安全之路
1.明确目标
2.不断的实践
3.抽出自己的思维
1.明确目标阶段性
在学习一个漏洞之前,你需要明白漏洞的原理,并且要去复现它,然后去思考该如何去防御,什么样的防御方式最简单直接,什么样的防御方式能用在应急修复
明确自己的出发点:
1.热爱技术系列
2.为了高工资系列
3.感觉很炫酷
。。。。。。
先从owasp top 10 漏洞慢慢的一个一个去理解,去复现
学习的小秘诀:保持着对每一个漏洞的好奇心,以及对web安全的兴趣
2.不断的实践
理论谈的再多也只是纸上谈兵,不如真刀真枪干一把,当然不是让你们去随意脱裤,撸站那些。
也许你网上教学视频看的再多,但那也只是靶场
到后面还是得靠你自己,他们在视频上只是教你们怎么去捕鱼,
但到真正的海上,捕鱼的方式,捕鱼的技巧都是靠自己的经验,不断的总结不断的完善。
也就是不断的实践,你才能收获自己的经验
在这里我还是想说一下:挖洞不是为了赚钱,是为了在挖洞的历程中形成自己的安全思维,形成一套自己的独立体系,形成属于自己的思路,
找到自己的缺点和需要学习的方向,然后一步一步实现,一步一步的突破,让自己不断的去接近大佬
3.抽出自己的思维
如果你经过了上面两次洗脑,那么看到这里的你,收获会很大
插入一个小故事:
在两年以前,我有一个现在你们会觉得特别好笑的想法,那就是我常常思考的是,我学的这么慢,是不是我学完了其他人都把漏洞挖完了,那么我学这些有什么用?
直到后来,也是现在的我回头望去才发现自己那时候的想法多么天真幼稚,如果没有一套自己的体系,自己的独特方式,属于自己的一套安全思维,
那么我挖的漏洞也只是曾经有的
黑客跟程序员最大的区别是什么?
黑客在不断的去发现没有问题,并提前预防。
而程序员不断的在解决已存在的问题。
当然说到这了,我只是希望大家能有喝完一碗鸡汤之后的恍然大悟
试着去总结一套自己的思维,借助他人的思维不断的去完善自己的安全体系,你也可以叫它 "绝对防御" "军用刺刀" 等等一些试着站在巨人的肩上去看向远方,再看向自己的时候,问自己我叫的"绝对防御"这套安全体系 真的够安全吗?
如果不安全?我该用什么方法去完善?
这个时候该你的思维出场了,去请教一些前辈,当然有一些人虽然技术不是很好,但他的思维不错的时候,年龄小。 我也希望各位不要去小看他们学会不耻下问本人文采有限,写的不好的地方各位多多见谅,也希望各位能提供一些宝贵的意见。
顺便附上一份关于sql注入的ppt目录介绍
这篇日志的 t.cn 短域名为:http://t.cn/Ew1ADz9
文章转自:华盟网