网站***测试到底怎么入门

网站***测试到底怎么入门

分类专栏： ***测试公司 网站安全漏洞检测 网站***测试 文章标签： 网站***测试
版权
从大学毕业的时候开始简单入门，写写网站程序代码，搞搞sql注入以及安全测试，到如今Sinesafe当安全工程师，差很少在安全行业成长了11年，发现不懂得问题随着实战***测试中很是多，仍是学到老干到老才是成功之道。当今时代的安全发展不少都是依靠大数据去确保，而人工手动网站安全测试却被忽略了，只有当客户出了安全漏洞问题，才想起找人工进行全面的漏洞测试。

如何入门安全***测试 ，本质上是如何入门一个新的领域。我的的看法是你能够从三个步骤来递进学习。

1.明确目标，学以至用

你首先要明确学习安全***测试的目标，你是想打CTF比赛，仍是当个白帽挖CVE洞，仍是想写个安全的代码，或是开源个安全软件等，目标不一样，你的学习路径也是不一样的。

不建议当即从基础学起，确定有人给你说学c，学数据结构，学算法，学汇编等等，其实这是不聪明的，目标导向：以前说的每一门都是个大学科，其实用到安全上的 并很少，若是你在暂时用的很少的内容上花费了不少时间，那么你何时才能实现本身的目标呀，人的精力是有限的。

2.细化你的目标，制定具体的学习内容

例如我们定个目标，写一个PE的保护壳，那你首先要作的是什么呢？

先去google 搜索 PE的保护壳有哪些种？好比压缩壳，加密壳，虚拟机等等，难度高低怎么样？

对于入门者来讲，压缩壳相对简单，那就从这个开始学。

接着去github或者google搜索 开源的PE压缩壳和相应的教程。发现PE压缩壳有用汇编写的，有用C,C++写的，这个时候我们能够先选择汇编来写。

而后就查询一下压缩壳原理的教程和书籍，好比书籍推荐《加密与解密》，对比着开源壳的代码去理解，若是汇编不懂，找到一本汇编书，好比王爽的汇编入门书籍，不要全看完，对比着壳代码 看到哪去学哪。

总体的学习过程变成了：

PE保护壳 -》 压缩壳 -》 汇编压缩壳 -》搜索开源代码和原理教程 -》 对比着壳代码，看汇编书籍理解

将目标愈来愈细化，你就越清楚本身作什么。

3. 反馈

学习是一个不断反馈的过程，你在第2步的学习过程当中，做为初学者确定不会这么顺利，看看开源代码也会遇到不懂得地方，本身写的代码的时候确定也会调试不通，这时候就接着去找资料，看书，调试，搞懂。

正常的学习过程通常是：

学习 -》应用-》反馈-》接着学习

4. 推荐CTF
   

CTF比赛仍是很是推荐的，为啥这么说呢？有两点吧。

1. 接近实战的机会。如今网络安全法很严格，不像以前你们能瞎搞
2. 题目紧跟技术前沿，而书籍不少落后了。
   若是你想打CTF比赛，直接去看赛题，赛题看不懂，根据不懂的地方接着去看资料。

若是你们想要对本身的网站或平台以及APP进行全面的***测试服务的话能够去网站安全公司看看，国内推荐SINESAFE,启明星辰，绿盟，鹰盾安全等等这些安全公司。