V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shrimp929
V2EX  ›  信息安全

想学 Web 安全,请教学习路径

  •  
  •   shrimp929 · 2018-11-05 11:02:01 +08:00 · 6686 次点击
    这是一个创建于 1970 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我是 985 渣硕一枚,女孩子一枚,本科学的是信息安全专业,学了防火墙、入侵检测、密码学等这些基本的安全课程,但是都已经忘完了,研究生没有接触安全,目前面临毕业,找的工作是 C++研发助理,但是个人对安全有兴趣,工作据说比较轻松,周末双休,想一边自己学习下 Web 安全,应该怎么去学习?有些什么推荐的网站。 感谢各位

    第 1 条附言  ·  2018-11-05 15:17:20 +08:00
    前面表述有点问题,我并不是想从事安全行业,我现在找了一份工作,并不是安全的,但是这份工作周末双休,也基本不加班,因此会有很多空余时间,想利用空余时间学习一下
    43 条回复    2024-02-23 11:27:50 +08:00
    fcoolish
        1
    fcoolish  
       2018-11-05 11:10:19 +08:00
    方向性问题应该问知乎,大二搞过一下信息安全,网站无非是 i 春秋,合天网安,实验楼这类在线学习实践的,还有些安全社区,很多我都忘了,所以建议去知乎看专业人士回答。
    hx1997
        2
    hx1997  
       2018-11-05 11:57:38 +08:00 via Android
    同楼上,知乎搜索一下,我记得有些不错的回答。

    CTF Wiki 可以看看: https://ctf-wiki.github.io/ctf-wiki/web/introduction/
    zzNucker
        3
    zzNucker  
       2018-11-05 12:32:08 +08:00
    我记得余弦有张技能图 里面写的挺详细的。
    然后之前知乎长短短有个 live
    llllllLllll
        4
    llllllLllll  
       2018-11-05 12:32:43 +08:00 via Android
    看书 /网课,自己搭环境多练练手😄
    llllllLllll
        5
    llllllLllll  
       2018-11-05 12:35:54 +08:00 via Android
    平时追一些 cve 和新漏洞,有机会复现一下,提高蛮大的
    t6attack
        6
    t6attack  
       2018-11-05 12:37:41 +08:00
    我知道的有三类:
    第一类:面向大众网民的。提供大量入侵教程、黑客工具、教学动画。
    代表性网站:黑客基地、华夏黑客同盟、黑鹰基地、黑软基地、黑客动画吧。。。
    代表性漏洞形式:SQL 注入漏洞。
    ZF 对这类网站很反感,其中黑客基地、华夏黑客同盟,都被公安数次施压。黑客基地两任站长都在监狱里。黑鹰基地直接被公安查抄,全员被捕,服务器拎走。
    https://www.aliyun.com/zixun/content/2_6_77974.html

    第②类:面向专业人士的。需要你了解操作系统原理,汇编语言、软件分析逆向。
    看雪、邪恶八进制、

    第三类:漏洞报告平台。以乌云为代表。嗯。。。
    wongskay
        7
    wongskay  
       2018-11-05 12:38:59 +08:00
    小姐姐要不要我教你,刚好我自己在整理这方面的东西。
    easylee
        8
    easylee  
       2018-11-05 12:40:29 +08:00
    楼上推荐的都很不错,在此推荐 91 日。
    t6attack
        9
    t6attack  
       2018-11-05 12:41:27 +08:00
    没编辑完不小心发出来了。。唉,不写了。基本意思应该已经表达清楚了。
    zzNucker
        10
    zzNucker  
       2018-11-05 12:45:20 +08:00
    @t6attack 你上面说的这些基本上不是被关就是停更了。。。。。。。。
    Sanko
        11
    Sanko  
       2018-11-05 12:48:17 +08:00 via Android
    最近刚发现的 bugku
    yiranHZT
        12
    yiranHZT  
       2018-11-05 12:49:46 +08:00
    V2EX 里通常提到知乎都是在黑的,但不得不说你这类问题去看知乎的质量回答比在这里提问有用多了。
    sfree2005
        13
    sfree2005  
       2018-11-05 12:55:42 +08:00 via Android
    平时做 web app,服务器安全方面基本是运维搞掂,单纯安全的话就业开始可能比较窄。不如你可以先往运维方向,然后越做越专,有一定经验后,后期你基本就是可以做安全顾问了,那时候你就是指挥别人做,可能你就写写文档偶尔敲下命令了。
    visonme
        14
    visonme  
       2018-11-05 13:05:27 +08:00
    基本的 web 开发和数据库知识这块需要了解下
    可以去 owasp 学到很多关于 web 安全的基础知识,攻击方式等等~
    pediy 比较偏向系统安全,web 是后期起来的,所以这块知识可能不够丰富
    phrack,最著名的黑客杂志,也可以看看,反正以前看的时候很少看到 web 这块的东西~
    t6attack
        15
    t6attack  
       2018-11-05 13:18:30 +08:00
    @zzNucker 这正是我想表达的。一方面,ZF 对这类网站极不友好,甚至直接动用公安查抄做的最大的几家。导致剩下的网站风声鹤唳,要么主动关停、要么不再更新。入侵教程也大量删除。
    另一方面,分享的时代已经过去了。技术趋于垄断和封闭。这导致网上能学到的东西很少了。
    关于 web 安全知识,最新最全的,其实就是乌云,其历史漏洞列表,几乎囊括了所有的 web 漏洞形式。可惜也没有然后了。

    想学习,建议买书看。比如《白帽子讲 Web 安全》。
    phpinfos
        16
    phpinfos  
       2018-11-05 13:52:10 +08:00
    web 安全入门很快的,杂乱点的话,去乌云镜像站刷刷别人提交的漏洞,同时打好编码的基础。
    来这里看看,Github 上搜:Web-Security-Learning
    p 牛的 vulhub 练手很方便,Github 上搜:vulhub
    或者更系统的去学习。
    Greenm
        17
    Greenm  
       2018-11-05 15:01:43 +08:00
    楼上说都都很多了,安全从业者来给你泼瓢凉水。

    你说自己本科就是安全专业,如果真的有兴趣为什么那个时候不学呢,研究生根本没接触,现在才开始有点晚了。
    另外,你提到安全行业好像轻松很多,有双休,所以你才想做安全,我就恶意的揣测一下你的动机,你并不是真的喜欢安全,你只是不想做开发那么累的工作(猜的不对的话我道歉)。

    俗话说,光看贼吃肉,没看贼挨打。要是有这样轻松的工作,为啥安全行业人才还是那么少呢,为啥工资还高呢?

    我建议你把安全当个爱好还是不错的,临时抱佛脚找安全工作还是算了吧,没戏。
    bk201
        18
    bk201  
       2018-11-05 15:13:07 +08:00
    安全这领域不是业界有点名气的,我估计很难吧,而且知识面要求是相当的广.
    shrimp929
        19
    shrimp929  
    OP
       2018-11-05 15:13:24 +08:00
    @Greenm 可能我表述有点问题,我现在找的工作是周末双休,比较轻松的,因此有空余时间,对于安全想当个爱好去学。研究生阶段搞实验等等去了,我是学硕,我们毕业对论文要求很严格的。本科的时候学了一点,都忘记的差不多了。
    shrimp929
        20
    shrimp929  
    OP
       2018-11-05 15:15:49 +08:00
    @t6attack 现在国家对网络安全这块管的越来越严格了,最近正在看《白帽子将 Web 安全》
    wongskay
        21
    wongskay  
       2018-11-05 15:17:56 +08:00
    @shrimp929 同意 17 楼说的,况且你一年前也问过类似的问题,一年过去了还在问这样的问题。真的是无语了
    Greenm
        22
    Greenm  
       2018-11-05 15:21:33 +08:00
    @shrimp929 抱歉,有点误解了。

    如果是这样的话,那我还是首先推荐你看一些书,能够打好基础,对你本身开发工作也有帮助。

    不推荐上论坛,没有基础的人上论坛也是一脸懵,学不到东西。
    batman2010
        23
    batman2010  
       2018-11-05 16:09:51 +08:00 via Android
    可以先玩一下 webgoat,内容都是最常见的 Web 漏洞,你有基础应该很快能捡起来。
    Cukuyo
        24
    Cukuyo  
       2018-11-05 17:38:26 +08:00
    看到这个话题,突然心悸了下。和楼主不一样,我只是个普通本科的信息安全专业,刚毕业一年多。目前在做开发工作,也经常对未来的路感到迷茫
    feverzsj
        26
    feverzsj  
       2018-11-05 17:41:47 +08:00
    网络安全是你对建网站本身有一定了解后,才能开始学的
    hymxm
        27
    hymxm  
       2018-11-05 17:49:35 +08:00
    @zzNucker #3 http://blog.knownsec.com/Knownsec_RD_Checklist/ 大兄弟应该说的是这个吧
    zzNucker
        28
    zzNucker  
       2018-11-05 17:54:34 +08:00
    @hymxm 是的
    shrimp929
        30
    shrimp929  
    OP
       2018-11-05 18:38:55 +08:00
    @wongskay 好啊
    shrimp929
        31
    shrimp929  
    OP
       2018-11-05 18:39:25 +08:00
    @zzNucker 恩,知道创宇的技能图,这个我也知道,感觉知识好多啊
    SP00F
        32
    SP00F  
       2018-11-05 18:51:08 +08:00
    - - 搞安全并不轻松啥周末双休。。。。

    一个安全响应的时候,得加班得爬起来。。苦逼的时候就老苦逼了,而且做安全有很多方向,做渗透呢还是做安全研发呢等等。
    zzNucker
        33
    zzNucker  
       2018-11-05 19:08:25 +08:00
    whwq2012
        34
    whwq2012  
       2018-11-05 19:14:35 +08:00 via Android
    985 硕士还这么迷茫吗。。。。
    realfreesky
        35
    realfreesky  
       2018-11-05 19:22:27 +08:00 via iPhone
    安全真的很累,并不是想象中的那么轻松
    exhades
        36
    exhades  
       2018-11-05 19:28:08 +08:00 via Android
    搞安全很累的说。。。
    shrimp929
        37
    shrimp929  
    OP
       2018-11-05 19:53:31 +08:00
    @whwq2012 我不迷茫啊,我的工作已经找好了,只是想把安全当做兴趣,来这里提问是想得到更多的建议
    io123
        38
    io123  
       2018-11-05 20:45:13 +08:00 via Android
    一杯茶一包烟,一个破站盯一天
    yw9381
        39
    yw9381  
       2018-11-06 04:11:56 +08:00 via Android
    当前安全行业半自由。以前搞渗透做服务的。现在偶尔做点渗透方面的事情。主要精力在 CTF 比赛方面。给个我在 17 年知乎上的一个回答。希望能够给你一点启发
    https://www.zhihu.com/question/67765799/answer/259845720
    hu5ky
        40
    hu5ky  
       2018-11-08 22:30:56 +08:00   ❤️ 1
    目前为止所有的社会圈子,,特别信息安全并没有特别好的地方,所有圈子都在 wooyun 倒后,开始了私有化,几个熟悉技术好的人凑在一起交流。对新手而言会很难受,如果真的想搞,就多看看书《白帽子讲 web 安全》《代码审计》多看看 wooyun 镜像的案例。
    onice
        41
    onice  
       2018-11-10 19:02:33 +08:00   ❤️ 1
    建议先学下如何建站,至少要理解前端和后端以及数据库。然后买一本《白帽子讲 web 安全》作为入门。
    学习路线可以参考如下链接: https://www.sec-wiki.com/skill/2
    Kepha
        42
    Kepha  
       228 天前
    可以半工半读一个线上的网络安全硕士学位,虽然现在国家不承认了,但老美还是认的,和线上上的具有同等效力。刚工作,正是学习扎根的好时候,祝福你!
    badbay
        43
    badbay  
       34 天前
    请问楼主现在是从事安全行业吗
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   4511 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 10:07 · PVG 18:07 · LAX 03:07 · JFK 06:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.