热搜:
 
当前位置: 首页 » 资讯 » 正文

学习 Web 安全之前一定要精通 Web 开发吗?

放大字体  缩小字体 发布日期:2018-04-08  来源:seo优化培训  浏览次数:8
核心提示:「Web 开发」与「Web 安全」这两大技能根本没先后关系,开发往往是创造思维,安全却更偏向于破坏思维,这有如 DNA 双链纠缠前进
 「Web 开发」与「Web 安全」这两大技能根本没先后关系,开发往往是创造思维,安全却更偏向于破坏思维,这有如 DNA 双链纠缠前进,在创造中搞破坏,在破坏中搞创造,终极目的都是创造,到这个层面,就意味着这两大技能都深熟于心了。

首先说html和js一定要懂,而且要熟练,这是最基本的,不然web前端安全做不了,xss和csrf写不出来,同源策略和各种垮域也很难理解。

至于3p脚本么,明白一种你就算是入门了,所谓一通百通,学好一种以后再学其它的就容易很多。例如asp和php就有很多共同点。如果你想搞某种语言的代码审计,那就去尽可能的精通它,要比程序员还要精通,例如黑哥的php以及空虚浪子的java,那都是逆天的本事。

至于数据库么,mysql,mssql,access,oracle是最基本的,其它的多多益善。前期遇到注射一定尝试要手工注射,对理解sql很有帮助,依赖于工具是很被动的。

主要是增加Web基础的学习,再了解一下漏洞原理

  1. 开发

  1. 书籍

  1. 《Javascript DOM编程艺术》

  2. PHP 官方手册

  3. 可以从自己熟悉的开发语言的 Web 框架入手,资料的话建议看文档,Web 开发技术变化很快。比如 Pyhton 的 Django,NodeJS 的

    express 和 koa,Java 就更多了。

  1. 实践

  1. 写一个 Blog

  1. 用户系统

  2. 内容系统

  1. 安全

  1. 书籍

  1. 《XSS 跨站脚本攻击剖析与防御》

  2. 《SQL 注入攻击与防御》

  3. 《Web安全深度剖析》

  1. 实践

  1. XSS 实例模拟,了解 XSS 实际挖掘中的一些要害 http://xsst.sinaapp.com/xss

  2. MySql注入科普 MySql注入科普 - 瞌睡龙

  1. 工具

  1. Namp

  2. Burpsuite

  1. Proxy

  2. Spider

  3. Scanner

  4. Intruder

  5. Repeater

合适的工具可以让你事半功倍,挑一个好看的工具主题也是。但自学阶段应该尽可能少的把精力放在资源和工具的收集上,把更多的时间用来探索一个好的工具上是非常有必要的。不管是技术还是工具都得自己试试,合适的是试出来的,工具用能解决问题的,自己喜欢的就好。

企业级的Web开发项目一般是按模块划分到团队或者个人,真正优秀的Web开发者逐渐会深挖需求及业务或者架构方面的知识。

一个Web安全研究人员不一定熟悉Web开发的方方面面,但是后期至少有一门拿得出手的Web编程语言,编程语言跟你的研究方向有关,看是服务端还是客户端。还有一些基本的安全测评手法也是需要了解的。后期参与到企业级的项目里面有可能是为安全产品提供技术支持,提供一些防御规则或者提供建设性意见。或者参与到开发团队为他们提供代码安全审计以及安全开发规范等。满山红seo培训:www.seofuwu.com

Web安全研究--方法论--解决Web项目或者产品需求。

 
 
[ 资讯搜索 ]  [ 加入收藏 ]  [ 告诉好友 ]  [ 打印本文 ]  [ 违规举报 ]  [ 关闭窗口 ]

 

 
推荐图文
推荐资讯
点击排行
 
网站首页 | 关于我们 | 联系方式 | 使用协议 | 版权隐私