我的web安全工程師學習之路——規划篇

據網上收集的web安全工程師需要掌握哪些技能，職位要求以及如何入門，加上學習網易推出的web安全工程師微專業課程，為了進一步學習，所以給自己做了一些小小規划，也希望給同樣想成為web安全工程師的同仁們一些參考。

第一部分--基礎學習

 1#web安全工程師職位描述與要求：

 2#需要掌握基礎分層圖：

！——首先在我們入門前，肯定需要知道什么是web，一個網站是怎么搭建的？——！
3#基礎學習——靜態層
根據上面的分層學習，第一步進行靜態層的學習，包括HTML和javascript。
關於入門掌握的程度：
HTML學習可以在w3school上（http://www.w3school.com.cn/html/index.asp）
一般2-3天學習入門即可，懂得編各個標簽的意思和寫簡單的靜態網站就成，后期有用到別的就查查手冊即可。
javascript的學習也可以在w3school上先入門，學習到dom部分即可，然后參考書籍《javascript dom編程藝術》進行學習，
javascript還是有必要學習深入些的，有利於后面進行xss漏洞的學習。（5天入門）

還有需要學習學習http協議的相關內容，要知道狀態碼什么意思，http頭部都有什么信息。

HTTP協議™ http://www.yiibai.com/http/   ##學起來吧，騷年。（1-2天）

 

4#基礎學習——腳本層（動態層）
關於編程的學習的話大部分認為建議學習php，其他的編程語言有推薦java的還有其他，這個以后再學，
先學習簡單的php（畢竟開源，嘻嘻），還有安全工程師必備的腳本語言python。
關於php和python的學習我是買了兩本書（后續會把讀書筆記發到博客上，嘻嘻）：

！——關於python的學習之前有聽了一個live，僅供參考——！
【python學習鏈接：電子版- [ 笨辦法學Python ] http://www.kancloud.cn/kancloud/learn-python-hard-way/49863
Crossin的編程教室 - Python http://res.crossincode.com/wechat/python.html
Python 2.7教程 - 廖雪峰的官方網站 http://www.liaoxuefeng.com/wiki/001374738125095c955c1e6d8bb493182103fac9270762a000

Python3教程 http://www.yiibai.com/python3/ --如果想學python3的就看看這個吧，我是先學2的然后后面在慢慢學3的。】
改天如果有聽php的live有推薦在分享給大家，嘻嘻。        --關於python和php貴在堅持學習，挺住，堅持下去。

5#基礎學習——數據庫層

 

關於數據庫的學習，可以先掌握些sql語句，然后再發點時間學習學習一門就好，我選擇mysql來學習。

SQL教程_w3cschool http://www.w3cschool.cn/sql/

MySQL教程_w3cschool http://www.w3cschool.cn/mysql/

 21分鍾 MySQL 入門教程 - wid - 博客園 http://www.cnblogs.com/mr-wid/archive/2013/05/09/3068229.html（個人覺得學了sql語句在看看這個還是OK的）

6#基礎學習——服務器層

一，這個過程主要是要開始學習學習如何搭建環境，了解各個服務器中間件的概念。

    目前常見web服務器：
　　                        大型：Microsoft IIS、IBM WebSphere、BEA WebLogic、Apache、Tomcat
　　                        小型：nginx、 micro_httpd、mini_httpd、thttpd、 lighttpd、Shttpd

    中間件：

                             

###主要了解下先，也不需要掌握特別深，只要部分常用的話的時候就多去深入。

二，滲透環境的搭建

php的集合環境軟件：phpstudy

jsp的集合環境軟件：jspstudy

asp的集合環境軟件：小旋風ASP服務器

###環境都有了，那現在就開搞吧。。。

【新手指南：手把手教你如何搭建自己的滲透測試環境 - FreeBuf.COM | 關注黑客與極客

http://www.freebuf.com/sectool/102661.html 】

除了 FreeBuf這篇文章搭建的環境，最近看到個不錯的環境也可以推薦給大家：

webug漏洞環境-官方 http://www.webug.org/#page1

!--關於環境搭建還是可以學學Docker的，了解具體的戳下面鏈接。--!

Docker 教程 | 菜鳥教程 http://www.runoob.com/docker/docker-tutorial.html

#7基礎學習——系統層

現在來到了我們的神奇系統層，主要是linux系統和Windows系統，主要了解相關的命令。

DOS技巧100例_w3cschool http://www.w3cschool.cn/dosmlxxsc1/cudkrf.html

Linux 教程 | 菜鳥教程 http://www.runoob.com/linux/linux-tutorial.html

!--關於的學習就多敲命令，多玩玩。我決定了搭建個Ubuntu和windows2012來玩玩，嘻嘻嘻--!

linux學習的差不多了，可以玩轉起kali喲，耶！

玄魂kali鏈接: https://pan.baidu.com/s/1ccTB7S 密碼: bp4y（失效的話在聯系我，我在補吧）

###第一部分都是基礎，打江山必備一些基礎技能，燥起來吧，為江山，學好基礎，耶。

第二部分web常見漏洞原理

基礎學習的差不多了，先來學習學習web相關的漏洞原理吧，owasp top 10 這個要好好了解哦，現在已經出2017版了，耶。

【

【2017 OWASP Top 10十大安全漏洞候選出爐，你怎么看？ - FreeBuf.COM | 關注黑客與極客 http://www.freebuf.com/news/131778.html】

【WEB安全】常見WEB漏洞 - moshenglv的專欄 - 博客頻道 - CSDN.NET http://blog.csdn.net/moshenglv/article/details/53439579

網絡安全漏洞科普及概念認識 - 網絡安全焦點 http://www.chncto.com/0day/16091.html

Web安全測試中常見邏輯漏洞解析（實戰篇） - FreeBuf.COM | 關注黑客與極客 http://www.freebuf.com/vuls/112339.html

 

『安全科普』WEB安全之滲透測試流程 - Anka9080 - 博客園 http://www.cnblogs.com/anka9080/p/shentouliucheng.html

                                                                                                                                                                          】

差不多就這些先了解了解吧，其他的平時多上論壇，大佬博客逛逛，看看漏洞案例，學習學習漏洞原理以及如何發現漏洞的。

推薦網站：

           【漏洞銀行：http://www.bugbank.cn/skills.html

            FreeBuf.COM | 關注黑客與極客 http://www.freebuf.com/

            MottoIN http://www.mottoin.com

           i春秋論壇|白帽黑客論壇|網絡滲透技術|網站安全|移動安全|通信安全 https://bbs.ichunqiu.com/portal.php

           安全脈搏 https://www.secpulse.com/

           91Ri.org http://www.91ri.org

           漏洞研究 - 安全技術社區 https://xianzhi.aliyun.com/forum/thread/4.html

           一葉知安 - 知乎專欄 https://zhuanlan.zhihu.com/leafsec（知乎還有其他不錯的專欄可以去找找看）】 

第三部分web安全工具

正所謂工欲善其事，必先利其器。

工具太多了，就不過多介紹了，去找找自己得心應手的工具就好，等python學精通了，也可以自己寫工具來。

就說說比較神器的幾個工具吧，

1，火狐瀏覽器，谷歌瀏覽器

2，nmap（端口掃描+其他）

3，awvs（漏洞掃描）

4，御劍（后台目錄掃描）

5,sqlmap(注入神器)

6，burpsuite（神器）

7，WebRobot（爬蟲，看文件結構等，挺不錯的）

8，subDomainsBrute和Layer子域名挖掘機

其他的自己去發現了。。。

附上：

安全行業從業人員自研開源掃描器合集（2017/01/11更新）-MottoIN http://www.mottoin.com/94492.html

burpsuite實戰指南 https://t0data.gitbooks.io/burpsuite/content/?q=

米斯特白帽培訓講義 - 下載頻道 - CSDN.NET http://download.csdn.net/detail/wizardforcel/9728354

書籍推薦：

Web安全書籍推薦 - 知乎專欄 https://zhuanlan.zhihu.com/p/23065460

就這樣吧，后面可以慢慢建立自己的

    WEB安全體系建設

接下來就結合搭建的環境，實戰去吧。。。

參考：
Web安全工程師-安全技能 -SecWiki https://www.sec-wiki.com/skill/2
Web安全入門心法 - 知乎專欄 https://zhuanlan.zhihu.com/p/26053309
零基礎如何學習 Web 安全？ - 知乎 https://www.zhihu.com/question/21606800
Web 安全入門-書籍及建議 - 簡書 http://www.jianshu.com/p/6dcebd54fb24