Web安全入門建議

從0基礎開始的話，須要先掌握一些基本的技能：

1. 學習 網站構建初級教程_W3C 以及 HTTP協議基礎-runoob 上了解Web先後端以及HTTP協議的一些基礎介紹，花半天時間對相關技術有個概念性的瞭解就夠了。
2. Windows下下載 phpStudy 或者 WAMP ，在本地搭建Web服務器環境，而後本身搜索兩篇文章學習下基本的操做方法。這個本地Web服務器也就至關於學習過程當中的一個實驗環境了。
3. 學習瀏覽器的開發者工具（一般快捷鍵F12調出），搜索一些教學文章，掌握Chrome或者Firefox瀏覽器開發者工具中的Network、Elements功能的常見用法，能夠查看HTTP數據包以及定位頁面元素。

0x01 Web安全入門建議

適合初學者的Web安全書籍

1. 《白帽子講Web安全》
   道哥出品，不少人的Web安全啓蒙書。

    

2. 《Web前端黑客技術揭祕》
   前端黑客技術，餘弦的做品。

對於讀書，我以爲讀書的目的是：學以至用。應該把注意力放在如何應用讀到的知識，提升本身的技術，而不是學了多少內容。
一年哪怕只學習了一本書，也要讓這本書的內容結結實實地提高本身的技能，而不是隻爲了多一點談資或者閱讀清單上多一個數目。這也是我這裏只推薦了兩本書的緣由，由於我以爲這兩本書，可以認真學習完，而且實踐書中的案例和技能，已經很可貴了，同時相比於簡單翻一遍，要多花費不少的時間和精力。

工具與實戰

那學習Web安全呢，同時還要掌握一些工具：瀏覽器開發者工具與瀏覽器插件（如HackBar、ProxySwitcher）、抓包工具如Burpsuite、漏洞掃描和驗證工具如御劍、sqlmap、AWVS，工具能夠在 Freebuf上自行搜索下載，教程能夠參考Web安全-i春秋系列教程中對應這幾款工具的章節學習。

好的工具能夠幫助咱們提升測試效率，擴展測試思路。除了工具的使用，經過搭建本地實戰環境練習手工技巧，也是很好的進階之路，這裏建議能夠搭建 DVWA漏洞測試環境，而後參考 DVWA系列教程_Freebuf進行學習。

學習的同時也能夠在在教育行業SRC等漏洞平臺上挖掘漏洞，贏得承認，也是一種動力，但挖掘漏洞的時候必定要注意規範和界限，能夠參考自律方能自由，《網絡安全法》實施後的白帽子行爲參考，挖掘漏洞的同時也要注意保護本身。

適合初學者的社區和資訊站點

1. 網站安全_i春秋社區
   i春秋社區彙集了不少的人氣，有好多學生，也很活躍，入門和進階的文章都有，能夠多多交流。

    

2. Freebuf
   不少科普和梳理性的文章，也常常會有時下的熱點討論。

大學在校生能夠關注的一些比賽

1. 全國大學生信息安全競賽
   這個和全國大學生電子設計競賽信息安全技術專題邀請賽同樣，都是作一個安全軟硬件系統來解決一些安全問題，一般有項目文檔提交、源代碼提交、現場演示答辯等幾個步驟，分爲初賽複賽，全國大學生信息安全競賽爲每一年一次，全國大學生電子設計競賽信息安全技術專題邀請賽一般兩年一次，這兩個比賽獲獎對於大學生都有競賽加分，在鍛鍊本身的同時，對評獎學金和保研也有幫助。

2. 全國大學生信息安全競賽創新實踐能力線上賽（CTF形式）
   這個是和i春秋合做的線上賽，和線下賽目前看來還沒什麼關聯，CTF性質的。每一年的CTF比賽不少，你們能夠關注i春秋等一些站點的資訊就好了，大學生組隊參加CTF比賽的挺多，也是很好的鍛鍊方式。

挖洞、博客與團隊

既然是入門了，建議就能夠隨着學習的深刻，在一些SRC平臺上挖掘漏洞，若是你不太喜歡走這個路線，也能夠整理本身的學習過程，寫一些技術博客進行分享，俗話說來「你挖洞來我拍磚」，均可以，並且一些平臺如Freebuf、先知社區都有付費文章獎勵計劃，這兩種均可以在學習技術的同時獲取到一些物質上的獎勵，若是你慢慢有了一些編程能力（Python、Web先後端等），除了讓本身的安全技術自動化以外，還能夠再Github等平臺分享一些開源項目。相關的SRC站點我隨後再說。
關於寫博客，若是本身搭建站點的話，能夠考慮使用hexo+github搭建免費我的博客，或者租用一臺VPS部署Wordpress博客程序。其實我以爲，初學的話，能夠不在站點搭建上浪費時間，在一些比較優質的博客平臺上註冊一個賬號便可，也能夠有本身的個性域名。如oschina、博客園、簡書。寫博客自己就是對本身知識技能的鞏固和梳理，不要怕寫很差，博客就當是給本身看的。
有一個點要提示一下，既然想走安全這條路，那麼給本身想一個個性的ID（暱稱），提交漏洞或者註冊博客時都用這個，好好維護，當作本身的我的品牌認真經營，隨着你的貢獻和分享愈來愈多，你的ID會被愈來愈多的人瞭解和承認。
積累的過程當中，若是剛好遇到幾個志同道合的小夥伴，那就組個小團隊吧，平時技術切磋交流，或者組團挖洞，打CTF等都是極好的。也能夠主動去搜尋，或者申請加入一些公開招新的安全團隊。一我的有時候能夠走的更快，但一個團隊每每能夠走的更遠。

一些進階的書籍和資源推薦

這部份內容按需選擇便可，等你入門了以後，有了必定的技術和經驗，你已經足夠去規劃本身的發展了。

1. 《HTTP權威指南》
   平時能夠當作詞典來翻閱。

    

2. 《黑客攻防技術寶典 Web實戰篇》
   深刻剖析Web安全技術。

3. 《黑客祕笈 滲透測試實用指南》
   能夠在虛擬機VMware中，下載運行kali Linux的VM版本進行學習和實踐。

編程技術相關的書籍和教程，W3C、菜鳥教程runoob 和現代魔法學院已經能解決不少問題了，而後語言相關的官方文檔均可以當作詞典來查，若是想找本書系統學習的話，這裏推薦下Python、PHP和Web前端的書。
《Python核心編程》
《PHP和MySQL Web開發》
《Head First HTML與CSS》
《JavaScript高級程序設計》

站點能夠瀏覽下 安全圈info 與 SecWiki ，前者是一個持續更新的安全圈站點導航，總能找到你想要的網站，以前說的SRC站點這裏都有，後者是一個安全資訊的收錄分享平臺，有什麼安全問題能夠搜索一些歷史文章看看。

0x02 聊聊「學習」與「實踐」

入門與進階

對於初學者來講，找一個靠譜的教程或者老師，幫助本身快速入門是很是有必要的。入門以後，雖然高手的點撥也很重要，但更多的功課實際上是須要你本身來作的。這也是爲何優秀的入門教程不少，可是優質的進階版本教程卻很少。
有一句話叫「付費就是佔便宜」，對於新手來講，入門階段花一點錢買一套優質的課程，讓有經驗的內行帶着本身學習，每每是最優的選擇。還有一句話叫「免費的就是最貴的」，免費的教學資源，質量良莠不齊難以保證，不用花錢，但耗費的是你篩選的精力和時間。本身根據條件取捨，如今已經逐漸進入了一種知識付費的時代，這就是我給表弟買了一套雲課堂的《Web安全工程師微專業》課程做爲入門學習的緣由，一套優質的網課，相比於昂貴的線下班性價比很不錯。

等準備好了再「實踐」？

李笑來老師有一個觀點，學習任何一個學科的時候，都有一個概念很重要：

最少必要知識
MAKE : Minimal Actionable Knowledge and Experience

就是說，當咱們在學習某項技能的時候，就要用最快的時間摸索清楚最少必要知識 （MAKE） 都有哪些？ 而後迅速地掌握它們，這樣就實現了「快速入門」，而後就能夠開始動手實踐，而後在實踐中印證理論、加深理解，同時繼續擴展學習。
一樣的時間，一個用來等待，另外一個用來踐行，二者的差距多是天壤之別。你要知道沒有任何考試是在你準備充分了纔開始的。
有些人喜歡等待，等到合適的時機出現的時候，再採起行動。另外一些人則喜歡邊作邊想，有不足的地方就改進，有新的問題就解決。
一段時間過去以後，後者可能已經前進了很長一段路程，而前者多半還在等待一個「恰當的時機」。
我原來就有這個問題，老想着先體系化學完某門技術...結果就是堅持不實踐，過了好久仍是啥都不會，反而以前看的那些知識由於沒實踐過也都忘了。
用和學，用比學重要。用時比學時重要。「用時」是一個很好的概念。
不少人說本身「學」了那麼多年英語，但如今依然說不出，聽不懂。其實他們就是在用「學時」代替「用時」來計算本身的付出的。
咱們總說有效學習，其實衡量有效學習最好的方式就是：計算使用的時間。在安全技術學習上，就是：實踐的時間。

從「想到」、「學到」 到 「作到」

「用」比「學」重要；「作」比「想」重要；邊作邊想，比單純想一想不知道好多少倍。只有作到了纔是掌握了。「人至‘踐’則無敵」。
只要你開始作，高估或低估的困難就不只僅是一個估計，而是一個擺在面前須要解決的現實問題。你對於它的理解不會再飄忽不定，而會變得很是具體。
不少人在作得很差的時候，老是喜歡退縮回原來的溫馨區，認爲是因爲本身的基礎還很差因此才這麼不順利，而忘記了這些踐行過程當中的困難，纔是真正幫他們打牢基礎的過程。

0x03 結語

不少人夢想找到一個*的*，幾天速成而後笑傲江湖。但是每個真正練就一身武藝的人都是靠冬練三九夏練三伏這麼過來的，他們靠着一種忘個人熱情持續投入進去磨練，數年如一日，最終本身也不知道怎麼就發現具有了無堅不摧的實力。 一樣，就算是要開好挖掘機，或着當一個好廚師，也要在本身的技能樹上，一步一步地積累技能點，把過路點都點滿了，才能點出大招。
咱們從小到大每每會聽到長輩們的建議：「戒驕戒躁」。雖然「戒驕」放在前面，但「戒驕」實際上是有了必定成績以後的事情。對大多數人來講，首先要「戒躁」，纔有機會「戒驕」。

一我的能得到的最難得的能力，都和掌握一門語言同樣，你所付出的努力不是可以得到即時回饋的，甚至在很長的一段時間內沒有任何收穫，直到積累到了必定的階段後，突然爆發出驚人的力量，連你本身都不清楚這一切是如何發生的。好比鍛鍊身體，讀書寫做。當你經歷了足夠的量變終於引發質變時擁有的技能，大部分人是終身難以企及的，不是由於他們太笨，偏偏相反，由於他們都太聰明瞭。選擇一個正確的方向，對那些沒法當即得到回報的事情，依然能付出十年如一日的專一和熱情，最終的結果也許不足以讓你獨孤求敗，但足以出類拔萃。

轉載自 ：sosly 菜鳥筆記
https://sosly.me/index.php/2017/07/17/studywebsec/