前言
Web安全是一个非常庞大的体系,范围非常之大,被分为很多种类型,web安全就是其中之一,也是Web安全技术中非常重要的领域。那么本篇文章将从:
web安全是什么?如何系统地学习Web安全呢?Web安全资料分享
一、web安全是什么?
随着web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在web平台上,web业务的迅速发展也引起黑客们的强烈关注,接踵而来的就是web安全威胁的凸显。黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞等得到web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对web应用安全的关注度也逐渐升温。
web安全主要就是在上网用户访问互联网时,保证信息的保密性、完整性、真实性。web安全常见的攻击手段有:SQL注入、XSS跨站脚本、文件包含文件上传、网页挂马等。
二、如何成为一名web安全工程师?
这里据我多年经验整理,包括有web安全工程师需要掌握哪些技能,职位要求以及如何入门,给大家做了一些小小规划,也希望给同样想成为web安全工程师的同仁们一些参考。
第一部分:基础学习
1#web安全工程师职位描述与要求:
2#需要掌握基础分层图:
3#基础学习——静态层
根据上面的分层学习,第一步进行静态层的学习,包括HTML和javascript。
关于入门掌握的程度:
一般2-3天学习入门即可,懂得编各个标签的意思和写简单的静态网站就成,后期有用到别的就查查手册即可。
javascript的学习也可以在w3school上先入门,学习到dom部分即可,然后参考书籍《javascript dom编程艺术》进行学习,
javascript还是有必要学习深入些的,有利于后面进行xss漏洞的学习。(5天入门)
还有需要学习学习http协议的相关内容,要知道状态码什么意思,http头部都有什么信息。
HTTP协议™(1-2天)
4#基础学习——脚本层(动态层)
关于编程的学习的话大部分认为建议学习php,其他的编程语言有推荐java的还有其他,这个以后再学,
先学习简单的php(毕竟开源),还有安全工程师必备的脚本语言python。
关于php和python的学习我是买了两本书(文末有领取方式)
涉嫌版权这里就不做展示了
5#基础学习——数据库层
关于数据库的学习,可以先掌握些sql语句,然后再发点时间学习学习一门就好,我选择mysql来学习。
6# 基础学习——服务器层
一,这个过程主要是要开始学习学习如何搭建环境,了解各个服务器中间件的概念。
目前常见web服务器:
大型:Microsoft IIS、IBM WebSphere、BEA WebLogic、Apache、Tomcat
小型:nginx、 micro_httpd、mini_httpd、thttpd、 lighttpd、Shttpd
主要了解下先,也不需要掌握特别深,只要部分常用的话的时候就多去深入。
环境都有了,就可以开始实战了!
资料分享
开始介绍前,我想给大家分享一套Web安全的资料包!有需要的小伙伴可以扫描下方免费获取哦!
首先是学习路线图,方向不对,努力白费!
再就是建议零基础的小伙伴通过视频教程来学习,其中这里给大家分享一份与上面成长路线&学习计划相对应的视频教程。
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,这里也分享一份我学习期间整理的Web安全入门书籍。
涉嫌版权这里就不做展示了
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
最后,我们所有的作为都是为就业服务的,所以关键的临门一脚就是咱们的面试题内容,所以面试题板块是咱们不可或缺的部分,这里我给大家准备的就是我在面试期间准备的资料。
感谢每一个认真阅读我文章的人,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走:
【一一帮助安全学习,所有资源获取处一一】
①Web安全学习路线
②20份渗透测试文籍
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥Web安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频