freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Web安全学习图径——系列课程推荐
2018-02-07 17:38:46

本文作者:i春秋作家 大哥哥团长

       相比对逆向方面的入门Web安全真的不难,逆向要是想了解一个简单的什么叫jmp esp溢出需要的基础知识不是一点点,如果是计算机专业的还好,不然通过自己去学习真的不是那么简单,不说太多,下面我就给大家推荐一个前期学习知识的路径和资源链接。

       首先是我给大家推荐的是前端的html/css/js + php进行学习,前端的这些都是肯定需要学习的知识,至于后端的编程语言我建议还是php,主要是因为入门学习快、目的呢就是更快的接触到php+mysql开发,这样前前后后的知识加起来才能在知识链上完整构成一个网站,这样做的好处的就是快速了解一个网站如何开发,什么是前端和后端?什么是http?什么是数据库,网站的数据都存储在哪?

首先推荐一批课程>>>>>.

1、Metasploit介绍<<<点开学习

通过本课程的学习,学者能够较为熟练的使用DVWA和Metasploit这两大渗透测试工具,在代码分析和渗透实战的过程中,深入理解漏洞产生的原理,整体把握漏洞利用的方法。

2、Web安全学习规划指南<<<点开学习 

他将会围绕web安全方向讲解常见的漏洞类型以及需要学习的基础知识,并简单介绍如何组合利用各种低危类型漏洞达到高危漏洞的效果,带你探索跟电影中不一样的白帽黑客进攻秘密。

3、XSS介绍及原理<<<点开学习 

本门课程面向所有Web安全爱好者,讲师王松_Striker将从XSS基础讲起,第一章主要科普基础知识,包括XSS的原理及存储型XSS、反射型XSS、DOM型XSS的实战详解以及XSS辅助工具的学习;第二章主要学习多种XSS不同场景下不同的方法及Bypass技巧详解;第三章属于补充章节,主要讲一些XSS相关有趣的技术,如:Electron跨平台XSS执行系统命令、变种XSS:持久控制、以及MVVM模式下的XSS场景等,该章节不定期更新,有好玩的技术则会补充。


4、渗透技术分析之 敏感信息泄露<<<点开学习 

通过对本课程的学习,学者能够熟悉敏感信息泄露的原因;掌握如何防止信息泄露; 熟悉暴力破解的原理;掌握高效率破解的手段和一些主流破解工具的使用和防御方法;了解拒绝服务的原理;掌握相关手段的防御。

5、Web漏洞讲解之Web应用程序安全与风险<<<点开学习 

Web应用基础、常见漏洞,最后详细的对漏洞实例进行了分析。SQL注入、XSS、CSRF等这些对于Web开发人员来说耳熟能详的,但可能一知半解的术语都将在这个课程里得到详细的剖析。


第一部分资源链接如下:

这套PHP的教程包含了html/css/js和php+mysql保证一天看一课时的一个月就可以掌握,文件中的“就业班”的文件夹包括了一些后续的jquery+ajax+xml等等, 在前期的学习过程中这些后续知识可以选择性学习

链接: https://pan.baidu.com/s/1pMZqRaF 密码:st4m

下面这个链接是HTTP协议的教程来源自燕十八php教程中,我觉得这个http讲解的非常好

链接: https://pan.baidu.com/s/1pNgIyNp 密码:kfi7

在学习了上面教程恭喜你已经简单的入门了Web,接下来了就是进行安全的学习,这方面我就给大家一个教程就是小迪的,剩下的网络上的教程个人觉得都不太适 合入门,除了个别的不错,大部分都是直入主题之家讲怎么利用,不适合学习!

链接: https://pan.baidu.com/s/1pMbc4XH 密码: 9i59

教程中工具连接

链接: https://pan.baidu.com/s/1pLfx8Sz 密码:sfsd

注:在学习完成以上知识后就可以在各大漏洞平台找一些目标来实际的挖洞一下,前期肯定是花大量的时间也不一定的够挖到,所以可以加i春秋的聊天群问问大佬!

第二部分资源链接如下:

好了,在学习上面的教程中已经可以算是安全入门了,不过接下来还需要在一部进行学习

这部分是没有什么教程的,需要自己去百度学习,学习的内容就是2003、2008操作系统听着很简单对不对?

我需要大家使用以上的操作系统使用网上的已有的CMS(如:discuz,WordPress,phpcms,dedecms等)大家一个站点,从在服务器上安装和配置php+apache+mysql等环 境开始,不要使用集成工具偷懒,去体会一个网站的搭建流程,知道是什么ftp,什么是空间,在网上买的虚拟主机和服务器,vps是个什么区别?什么是CMS目标站点?

我建议是自行在空间商购买一个服务器,价格一个月在100以内就可以了! 注:如果是不能购买那么请学习安装虚拟机本地使用镜像搭建服务器环境

以上的内容的最好通过百度自己完成,这些小问题都是百度都可以解决,要学会使用百度,不要什么问题都去问别人!!!


172312sgn0zcpgjjfucgfc.png.thumb.jpg

接下来肯定是一部分的linux知识学习了

是一个在线的教程

http://study.163.com/course/courseMain.htm?courseId=983014

接着可以学习一门可以方便我们写exploit利用工具的编程语言,首选肯定是python 优点:入门快,网络编程拥有强大的各种库做支持,更易编写工具

一套的简易的在线教程,来自于中谷python,学习完毕后写一些简单的GET/POST型工具练练手不是问题

http://www.icoolxue.com/album/show/113

注:第二部分的同样的很重要,了解网站的搭建构成,什么是CMS,对渗透很有帮助,现在大多数的网站基本上都是使用的CMS建站,因为安全,方便,模板样式也多,通常在渗透过程中我们对目标的信息收集就要着重关注这些程序的版本是不是最新的?如果不是有没有漏洞呢?

第三部分资源链接如下:

这部分是一大块,我不打算在细分了,之前的内容几个月就可以完成,下面的内容能1年内完成都可以说是很不错的!

这部分我认为应该需要掌握TCP/IP原理以及进一步的提升编程技术。

教主的TCP/IP教程

链接: https://pan.baidu.com/s/1dEMM8t7 密码:ybmm

传智的前端的教程,非常推荐学习!

链接: https://pan.baidu.com/s/1bqy18Ur 密码:hsyf

传智的的Java教程,选择性学习,如果感兴趣Java的可以学习。如果不学习也可以看看里面的oracle数据库教程!

链接: https://pan.baidu.com/s/1jJJmbDc 密码:r7tb

有两套Python的教程,都是系统的pythonWeb开发,选择一套学习即可
链接: https://pan.baidu.com/s/1jKf6Fxs 密码: 2mes

结语:
其实在接触了Web安全1年之后大家都自己也能知道自己以后的学习目标,第三部分主要还是推荐些好的资源!
学习过程中,尤其是前期学习千万不要放弃,三天两头的进行学习,同时学习的过程中要记录图文并茂的笔试,最重要的进行实践,实践,实践!
在实践中发现问题,解决问题!
安全非一朝一夕之事

解密密码请看压缩包注释,谢谢


>>>>>>  黑客入门必备技能  带你入坑和逗比表哥们一起聊聊黑客的事儿,他们说高精尖的技术比农药都好玩~




# web安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者