網站***測試到底怎麼入門

網站***測試到底怎麼入門

分類專欄： ***測試公司 網站安全漏洞檢測 網站***測試 文章標籤： 網站***測試
版權
從大學畢業的時候開始簡單入門，寫寫網站程序代碼，搞搞sql注入以及安全測試，到如今Sinesafe當安全工程師，差很少在安全行業成長了11年，發現不懂得問題隨着實戰***測試中很是多，仍是學到老幹到老纔是成功之道。當今時代的安全發展不少都是依靠大數據去確保，而人工手動網站安全測試卻被忽略了，只有當客戶出了安全漏洞問題，纔想起找人工進行全面的漏洞測試。

如何入門安全***測試 ，本質上是如何入門一個新的領域。我的的看法是你能夠從三個步驟來遞進學習。

1.明確目標，學以至用

你首先要明確學習安全***測試的目標，你是想打CTF比賽，仍是當個白帽挖CVE洞，仍是想寫個安全的代碼，或是開源個安全軟件等，目標不一樣，你的學習路徑也是不一樣的。

不建議當即從基礎學起，確定有人給你說學c，學數據結構，學算法，學彙編等等，其實這是不聰明的，目標導向：以前說的每一門都是個大學科，其實用到安全上的 並很少，若是你在暫時用的很少的內容上花費了不少時間，那麼你何時才能實現本身的目標呀，人的精力是有限的。

2.細化你的目標，制定具體的學習內容

例如我們定個目標，寫一個PE的保護殼，那你首先要作的是什麼呢？

先去google 搜索 PE的保護殼有哪些種？好比壓縮殼，加密殼，虛擬機等等，難度高低怎麼樣？

對於入門者來講，壓縮殼相對簡單，那就從這個開始學。

接着去github或者google搜索 開源的PE壓縮殼和相應的教程。發現PE壓縮殼有用匯編寫的，有用C,C++寫的，這個時候我們能夠先選擇彙編來寫。

而後就查詢一下壓縮殼原理的教程和書籍，好比書籍推薦《加密與解密》，對比着開源殼的代碼去理解，若是彙編不懂，找到一本彙編書，好比王爽的彙編入門書籍，不要全看完，對比着殼代碼 看到哪去學哪。

總體的學習過程變成了：

PE保護殼 -》 壓縮殼 -》 彙編壓縮殼 -》搜索開源代碼和原理教程 -》 對比着殼代碼，看彙編書籍理解

將目標愈來愈細化，你就越清楚本身作什麼。

3. 反饋

學習是一個不斷反饋的過程，你在第2步的學習過程當中，做爲初學者確定不會這麼順利，看看開源代碼也會遇到不懂得地方，本身寫的代碼的時候確定也會調試不通，這時候就接着去找資料，看書，調試，搞懂。

正常的學習過程通常是：

學習 -》應用-》反饋-》接着學習

4. 推薦CTF
   

CTF比賽仍是很是推薦的，爲啥這麼說呢？有兩點吧。

1. 接近實戰的機會。如今網絡安全法很嚴格，不像以前你們能瞎搞
2. 題目緊跟技術前沿，而書籍不少落後了。
   若是你想打CTF比賽，直接去看賽題，賽題看不懂，根據不懂的地方接着去看資料。

若是你們想要對本身的網站或平臺以及APP進行全面的***測試服務的話能夠去網站安全公司看看，國內推薦SINESAFE,啓明星辰，綠盟，鷹盾安全等等這些安全公司。