Web安全入门建议

从0基础开始的话，须要先掌握一些基本的技能：

1. 学习 网站构建初级教程_W3C 以及 HTTP协议基础-runoob 上了解Web先后端以及HTTP协议的一些基础介绍，花半天时间对相关技术有个概念性的了解就够了。
2. Windows下下载 phpStudy 或者 WAMP ，在本地搭建Web服务器环境，而后本身搜索两篇文章学习下基本的操做方法。这个本地Web服务器也就至关于学习过程当中的一个实验环境了。
3. 学习浏览器的开发者工具（一般快捷键F12调出），搜索一些教学文章，掌握Chrome或者Firefox浏览器开发者工具中的Network、Elements功能的常见用法，能够查看HTTP数据包以及定位页面元素。

0x01 Web安全入门建议

适合初学者的Web安全书籍

1. 《白帽子讲Web安全》
   道哥出品，不少人的Web安全启蒙书。

    

2. 《Web前端黑客技术揭秘》
   前端黑客技术，余弦的做品。

对于读书，我以为读书的目的是：学以至用。应该把注意力放在如何应用读到的知识，提升本身的技术，而不是学了多少内容。
一年哪怕只学习了一本书，也要让这本书的内容结结实实地提高本身的技能，而不是只为了多一点谈资或者阅读清单上多一个数目。这也是我这里只推荐了两本书的缘由，由于我以为这两本书，可以认真学习完，而且实践书中的案例和技能，已经很可贵了，同时相比于简单翻一遍，要多花费不少的时间和精力。

工具与实战

那学习Web安全呢，同时还要掌握一些工具：浏览器开发者工具与浏览器插件（如HackBar、ProxySwitcher）、抓包工具如Burpsuite、漏洞扫描和验证工具如御剑、sqlmap、AWVS，工具能够在 Freebuf上自行搜索下载，教程能够参考Web安全-i春秋系列教程中对应这几款工具的章节学习。

好的工具能够帮助咱们提升测试效率，扩展测试思路。除了工具的使用，经过搭建本地实战环境练习手工技巧，也是很好的进阶之路，这里建议能够搭建 DVWA漏洞测试环境，而后参考 DVWA系列教程_Freebuf进行学习。

学习的同时也能够在在教育行业SRC等漏洞平台上挖掘漏洞，赢得承认，也是一种动力，但挖掘漏洞的时候必定要注意规范和界限，能够参考自律方能自由，《网络安全法》实施后的白帽子行为参考，挖掘漏洞的同时也要注意保护本身。

适合初学者的社区和资讯站点

1. 网站安全_i春秋社区
   i春秋社区汇集了不少的人气，有好多学生，也很活跃，入门和进阶的文章都有，能够多多交流。

    

2. Freebuf
   不少科普和梳理性的文章，也常常会有时下的热点讨论。

大学在校生能够关注的一些比赛

1. 全国大学生信息安全竞赛
   这个和全国大学生电子设计竞赛信息安全技术专题邀请赛同样，都是作一个安全软硬件系统来解决一些安全问题，一般有项目文档提交、源代码提交、现场演示答辩等几个步骤，分为初赛复赛，全国大学生信息安全竞赛为每一年一次，全国大学生电子设计竞赛信息安全技术专题邀请赛一般两年一次，这两个比赛获奖对于大学生都有竞赛加分，在锻炼本身的同时，对评奖学金和保研也有帮助。

2. 全国大学生信息安全竞赛创新实践能力线上赛（CTF形式）
   这个是和i春秋合做的线上赛，和线下赛目前看来还没什么关联，CTF性质的。每一年的CTF比赛不少，你们能够关注i春秋等一些站点的资讯就好了，大学生组队参加CTF比赛的挺多，也是很好的锻炼方式。

挖洞、博客与团队

既然是入门了，建议就能够随着学习的深刻，在一些SRC平台上挖掘漏洞，若是你不太喜欢走这个路线，也能够整理本身的学习过程，写一些技术博客进行分享，俗话说来“你挖洞来我拍砖”，均可以，并且一些平台如Freebuf、先知社区都有付费文章奖励计划，这两种均可以在学习技术的同时获取到一些物质上的奖励，若是你慢慢有了一些编程能力（Python、Web先后端等），除了让本身的安全技术自动化以外，还能够再Github等平台分享一些开源项目。相关的SRC站点我随后再说。
关于写博客，若是本身搭建站点的话，能够考虑使用hexo+github搭建免费我的博客，或者租用一台VPS部署Wordpress博客程序。其实我以为，初学的话，能够不在站点搭建上浪费时间，在一些比较优质的博客平台上注册一个账号便可，也能够有本身的个性域名。如oschina、博客园、简书。写博客自己就是对本身知识技能的巩固和梳理，不要怕写很差，博客就当是给本身看的。
有一个点要提示一下，既然想走安全这条路，那么给本身想一个个性的ID（昵称），提交漏洞或者注册博客时都用这个，好好维护，当作本身的我的品牌认真经营，随着你的贡献和分享愈来愈多，你的ID会被愈来愈多的人了解和承认。
积累的过程当中，若是刚好遇到几个志同道合的小伙伴，那就组个小团队吧，平时技术切磋交流，或者组团挖洞，打CTF等都是极好的。也能够主动去搜寻，或者申请加入一些公开招新的安全团队。一我的有时候能够走的更快，但一个团队每每能够走的更远。

一些进阶的书籍和资源推荐

这部份内容按需选择便可，等你入门了以后，有了必定的技术和经验，你已经足够去规划本身的发展了。

1. 《HTTP权威指南》
   平时能够当作词典来翻阅。

    

2. 《黑客攻防技术宝典 Web实战篇》
   深刻剖析Web安全技术。

3. 《黑客秘笈 渗透测试实用指南》
   能够在虚拟机VMware中，下载运行kali Linux的VM版本进行学习和实践。

编程技术相关的书籍和教程，W3C、菜鸟教程runoob 和现代魔法学院已经能解决不少问题了，而后语言相关的官方文档均可以当作词典来查，若是想找本书系统学习的话，这里推荐下Python、PHP和Web前端的书。
《Python核心编程》
《PHP和MySQL Web开发》
《Head First HTML与CSS》
《JavaScript高级程序设计》

站点能够浏览下 安全圈info 与 SecWiki ，前者是一个持续更新的安全圈站点导航，总能找到你想要的网站，以前说的SRC站点这里都有，后者是一个安全资讯的收录分享平台，有什么安全问题能够搜索一些历史文章看看。

0x02 聊聊“学习”与“实践”

入门与进阶

对于初学者来讲，找一个靠谱的教程或者老师，帮助本身快速入门是很是有必要的。入门以后，虽然高手的点拨也很重要，但更多的功课实际上是须要你本身来作的。这也是为何优秀的入门教程不少，可是优质的进阶版本教程却很少。
有一句话叫“付费就是占便宜”，对于新手来讲，入门阶段花一点钱买一套优质的课程，让有经验的内行带着本身学习，每每是最优的选择。还有一句话叫“免费的就是最贵的”，免费的教学资源，质量良莠不齐难以保证，不用花钱，但耗费的是你筛选的精力和时间。本身根据条件取舍，如今已经逐渐进入了一种知识付费的时代，这就是我给表弟买了一套云课堂的《Web安全工程师微专业》课程做为入门学习的缘由，一套优质的网课，相比于昂贵的线下班性价比很不错。

等准备好了再“实践”？

李笑来老师有一个观点，学习任何一个学科的时候，都有一个概念很重要：

最少必要知识
MAKE : Minimal Actionable Knowledge and Experience

就是说，当咱们在学习某项技能的时候，就要用最快的时间摸索清楚最少必要知识 （MAKE） 都有哪些？ 而后迅速地掌握它们，这样就实现了“快速入门”，而后就能够开始动手实践，而后在实践中印证理论、加深理解，同时继续扩展学习。
一样的时间，一个用来等待，另外一个用来践行，二者的差距多是天壤之别。你要知道没有任何考试是在你准备充分了才开始的。
有些人喜欢等待，等到合适的时机出现的时候，再采起行动。另外一些人则喜欢边作边想，有不足的地方就改进，有新的问题就解决。
一段时间过去以后，后者可能已经前进了很长一段路程，而前者多半还在等待一个“恰当的时机”。
我原来就有这个问题，老想着先体系化学完某门技术...结果就是坚持不实践，过了好久仍是啥都不会，反而以前看的那些知识由于没实践过也都忘了。
用和学，用比学重要。用时比学时重要。“用时”是一个很好的概念。
不少人说本身“学”了那么多年英语，但如今依然说不出，听不懂。其实他们就是在用“学时”代替“用时”来计算本身的付出的。
咱们总说有效学习，其实衡量有效学习最好的方式就是：计算使用的时间。在安全技术学习上，就是：实践的时间。

从“想到”、“学到” 到 “作到”

“用”比“学”重要；“作”比“想”重要；边作边想，比单纯想一想不知道好多少倍。只有作到了才是掌握了。“人至‘践’则无敌”。
只要你开始作，高估或低估的困难就不只仅是一个估计，而是一个摆在面前须要解决的现实问题。你对于它的理解不会再飘忽不定，而会变得很是具体。
不少人在作得很差的时候，老是喜欢退缩回原来的温馨区，认为是因为本身的基础还很差因此才这么不顺利，而忘记了这些践行过程当中的困难，才是真正帮他们打牢基础的过程。

0x03 结语

不少人梦想找到一个*的*，几天速成而后笑傲江湖。但是每个真正练就一身武艺的人都是靠冬练三九夏练三伏这么过来的，他们靠着一种忘个人热情持续投入进去磨练，数年如一日，最终本身也不知道怎么就发现具有了无坚不摧的实力。 一样，就算是要开好挖掘机，或着当一个好厨师，也要在本身的技能树上，一步一步地积累技能点，把过路点都点满了，才能点出大招。
咱们从小到大每每会听到长辈们的建议：“戒骄戒躁”。虽然“戒骄”放在前面，但“戒骄”实际上是有了必定成绩以后的事情。对大多数人来讲，首先要“戒躁”，才有机会“戒骄”。

一我的能得到的最难得的能力，都和掌握一门语言同样，你所付出的努力不是可以得到即时回馈的，甚至在很长的一段时间内没有任何收获，直到积累到了必定的阶段后，突然爆发出惊人的力量，连你本身都不清楚这一切是如何发生的。好比锻炼身体，读书写做。当你经历了足够的量变终于引发质变时拥有的技能，大部分人是终身难以企及的，不是由于他们太笨，偏偏相反，由于他们都太聪明了。选择一个正确的方向，对那些没法当即得到回报的事情，依然能付出十年如一日的专一和热情，最终的结果也许不足以让你独孤求败，但足以出类拔萃。

转载自 ：sosly 菜鸟笔记
https://sosly.me/index.php/2017/07/17/studywebsec/