在安全的江湖之中,有一群武功高强、行侠仗义的英雄叫做:
“白帽子黑客”
他们热衷于研究网络与计算机,
善于发现安全漏洞,
但他们并不会做坏事,
而是将漏洞及时提交给企业协助修复,
在锻炼自己能力的同时也能获取企业反馈的奖励。
他们可以是医生、可以是老板,
不过大部分 “白帽子黑客”本身也是企业的安全人员
从事着安全建设与安全维护的工作。
古语有云“与其临渊羡鱼,不如退而结网。” 你是否愿意成为一名行走在信息安全江湖的“白帽子黑客”呢?
黑客需要掌握的知识很多,不是一朝一夕就能学完的,所以对于“小白”而言,Web安全容易上手,是最好的入门方向。不仅如此,随着Web技术应用广泛、发展迅速,“Web安全”已经成为信息安全中一个重要的分支,就业范围也非常广泛。
听到这里,你是不是迫不及待地想要成为一名Web安全高手?
那么问题来了
如何从安全“小白”
成为一名Web安全高手呢?
首先,让我们来听一下几位Web安全大牛的建议:
1. 首先要有一定的Web基础,才能更好的学习Web安全
Web基础知识这里我们不做详解,基本上我们可以通过W3C站点学习:
http://www.w3school.com.cn/
2. 就像武侠小说一样,学习神功通常需要一本武功秘籍
这里,给大家推荐几本非常厉害的Web安全武功秘籍:
1)《白帽子讲Web安全》
2)《黑客攻防技术宝典—Web实战篇》
3)《Web前端黑客技术揭秘》
这里暂且就先推荐这三本,大家看完这几本后如果还有兴趣阅读,可以再去搜寻其他书籍阅读参考。
回想起10年前,若想学习安全技术,就只能从《黑客X档案》、《黑客手册》的杂志中汲取,学习起来真是非常不容易。所以我们不得不感谢安全前辈们沉淀分享了这么优质的学习教材。
3. 行走江湖,除了好的武功,还需要选一件适合自己的武器
在Web安全中,使用和掌握一些常用的Web安全工具,不仅能够达到事半功倍的效果,还能够帮助我们扩展测试思路。如:
1)AWVS,综合漏扫工具
2)burpsuite、Charles、fiddler等抓包工具
3)sqlmap,注入工具
4)御剑,经典的敏感文件扫描工具
4. 在江湖中行走,侠客们都会在客栈一起聊天、讨论,获取最新的消息
在Web安全中,我们也需要了解新的咨询、技术等,我们需要关注一些常见的站点和微信公众号。如:
1)Freebuf(http://www.freebuf.com/)
2)T00ls(https://www.t00ls.net/)
3)SecWiki(https://www.sec-wiki.com/)
各类安全站点已经发展到了百家争鸣的热闹场面,优质的站点也有很多,你也可以关注一个安全圈的导航站自己去探索和发现适合自己的站点:
安全圈info:http://www.anquanquan.info/
5. 纸上得来终觉浅,绝知此事要躬行
在山上修炼的武林高手,最终都需要下山进行实战修炼。Web安全高手也是如此,不是掌握几个概念就是高手,而是需要实战,用漏洞喂出来的。
