Web安全入門建議

從0基礎開始的話，需要先掌握一些基本的技能：

1. 學習 網站構建初級教程_W3C 以及 HTTP協議基礎-runoob 上了解Web前后端以及HTTP協議的一些基礎介紹，花半天時間對相關技術有個概念性的了解就夠了。
2. Windows下下載 phpStudy 或者 WAMP ，在本地搭建Web服務器環境，然后自己搜索兩篇文章學習下基本的操作方法。這個本地Web服務器也就相當於學習過程中的一個實驗環境了。
3. 學習瀏覽器的開發者工具（通常快捷鍵F12調出），搜索一些教學文章，掌握Chrome或者Firefox瀏覽器開發者工具中的Network、Elements功能的常見用法，可以查看HTTP數據包以及定位頁面元素。

0x01 Web安全入門建議

適合初學者的Web安全書籍

1. 《白帽子講Web安全》
   道哥出品，很多人的Web安全啟蒙書。

    

2. 《Web前端黑客技術揭秘》
   前端黑客技術，余弦的作品。

對於讀書，我覺得讀書的目的是：學以致用。應該把注意力放在如何應用讀到的知識，提高自己的技術，而不是學了多少內容。
一年哪怕只學習了一本書，也要讓這本書的內容結結實實地提升自己的技能，而不是只為了多一點談資或者閱讀清單上多一個數目。這也是我這里只推薦了兩本書的原因，因為我覺得這兩本書，能夠認真學習完，並且實踐書中的案例和技能，已經很難得了，同時相比於簡單翻一遍，要多花費很多的時間和精力。

工具與實戰

那學習Web安全呢，同時還要掌握一些工具：瀏覽器開發者工具與瀏覽器插件（如HackBar、ProxySwitcher）、抓包工具如Burpsuite、漏洞掃描和驗證工具如御劍、sqlmap、AWVS，工具可以在 Freebuf上自行搜索下載，教程可以參考Web安全-i春秋系列教程中對應這幾款工具的章節學習。

好的工具可以幫助我們提高測試效率，擴展測試思路。除了工具的使用，通過搭建本地實戰環境練習手工技巧，也是很好的進階之路，這里建議可以搭建 DVWA漏洞測試環境，然后參考 DVWA系列教程_Freebuf進行學習。

學習的同時也可以在在教育行業SRC等漏洞平台上挖掘漏洞，贏得認可，也是一種動力，但挖掘漏洞的時候一定要注意規范和界限，可以參考自律方能自由，《網絡安全法》實施后的白帽子行為參考，挖掘漏洞的同時也要注意保護自己。

適合初學者的社區和資訊站點

1. 網站安全_i春秋社區
   i春秋社區聚集了很多的人氣，有好多學生，也很活躍，入門和進階的文章都有，可以多多交流。

    

2. Freebuf
   很多科普和梳理性的文章，也經常會有時下的熱點討論。

大學在校生可以關注的一些比賽

1. 全國大學生信息安全競賽
   這個和全國大學生電子設計競賽信息安全技術專題邀請賽一樣，都是做一個安全軟硬件系統來解決一些安全問題，通常有項目文檔提交、源代碼提交、現場演示答辯等幾個步驟，分為初賽復賽，全國大學生信息安全競賽為每年一次，全國大學生電子設計競賽信息安全技術專題邀請賽通常兩年一次，這兩個比賽獲獎對於大學生都有競賽加分，在鍛煉自己的同時，對評獎學金和保研也有幫助。

2. 全國大學生信息安全競賽創新實踐能力線上賽（CTF形式）
   這個是和i春秋合作的線上賽，和線下賽目前看來還沒什么關聯，CTF性質的。每年的CTF比賽很多，大家可以關注i春秋等一些站點的資訊就行了，大學生組隊參加CTF比賽的挺多，也是很好的鍛煉方式。

挖洞、博客與團隊

既然是入門了，建議就可以隨着學習的深入，在一些SRC平台上挖掘漏洞，如果你不太喜歡走這個路線，也可以整理自己的學習過程，寫一些技術博客進行分享，俗話說來“你挖洞來我拍磚”，都可以，而且一些平台如Freebuf、先知社區都有付費文章獎勵計划，這兩種都可以在學習技術的同時獲取到一些物質上的獎勵，如果你慢慢有了一些編程能力（Python、Web前后端等），除了讓自己的安全技術自動化之外，還可以再Github等平台分享一些開源項目。相關的SRC站點我隨后再說。
關於寫博客，如果自己搭建站點的話，可以考慮使用hexo+github搭建免費個人博客，或者租用一台VPS部署Wordpress博客程序。其實我覺得，初學的話，可以不在站點搭建上浪費時間，在一些比較優質的博客平台上注冊一個帳號即可，也可以有自己的個性域名。如oschina、博客園、簡書。寫博客本身就是對自己知識技能的鞏固和梳理，不要怕寫不好，博客就當是給自己看的。
有一個點要提示一下，既然想走安全這條路，那么給自己想一個個性的ID（昵稱），提交漏洞或者注冊博客時都用這個，好好維護，當做自己的個人品牌認真經營，隨着你的貢獻和分享越來越多，你的ID會被越來越多的人了解和認可。
積累的過程中，如果恰好遇到幾個志同道合的小伙伴，那就組個小團隊吧，平時技術切磋交流，或者組團挖洞，打CTF等都是極好的。也可以主動去搜尋，或者申請加入一些公開招新的安全團隊。一個人有時候可以走的更快，但一個團隊往往可以走的更遠。

一些進階的書籍和資源推薦

這部分內容按需選擇即可，等你入門了之后，有了一定的技術和經驗，你已經足夠去規划自己的發展了。

1. 《HTTP權威指南》
   平時可以當做詞典來翻閱。

    

2. 《黑客攻防技術寶典 Web實戰篇》
   深入剖析Web安全技術。

3. 《黑客秘笈 滲透測試實用指南》
   可以在虛擬機VMware中，下載運行kali Linux的VM版本進行學習和實踐。

編程技術相關的書籍和教程，W3C、菜鳥教程runoob 和現代魔法學院已經能解決很多問題了，然后語言相關的官方文檔都可以當做詞典來查，如果想找本書系統學習的話，這里推薦下Python、PHP和Web前端的書。
《Python核心編程》
《PHP和MySQL Web開發》
《Head First HTML與CSS》
《JavaScript高級程序設計》

站點可以瀏覽下 安全圈info 與 SecWiki ，前者是一個持續更新的安全圈站點導航，總能找到你想要的網站，之前說的SRC站點這里都有，后者是一個安全資訊的收錄分享平台，有什么安全問題可以搜索一些歷史文章看看。

0x02 聊聊“學習”與“實踐”

入門與進階

對於初學者來說，找一個靠譜的教程或者老師，幫助自己快速入門是非常有必要的。入門之后，雖然高手的點撥也很重要，但更多的功課其實是需要你自己來做的。這也是為什么優秀的入門教程很多，但是優質的進階版本教程卻不多。
有一句話叫“付費就是占便宜”，對於新手來說，入門階段花一點錢買一套優質的課程，讓有經驗的內行帶着自己學習，往往是最優的選擇。還有一句話叫“免費的就是最貴的”，免費的教學資源，質量參差不齊難以保證，不用花錢，但耗費的是你篩選的精力和時間。自己根據條件取舍，現在已經逐漸進入了一種知識付費的時代，這就是我給表弟買了一套雲課堂的《Web安全工程師微專業》課程作為入門學習的原因，一套優質的網課，相比於昂貴的線下班性價比很不錯。

等准備好了再“實踐”？

李笑來老師有一個觀點，學習任何一個學科的時候，都有一個概念很重要：

最少必要知識
MAKE : Minimal Actionable Knowledge and Experience

就是說，當我們在學習某項技能的時候，就要用最快的時間摸索清楚最少必要知識 （MAKE） 都有哪些？ 然后迅速地掌握它們，這樣就實現了“快速入門”，然后就可以開始動手實踐，然后在實踐中印證理論、加深理解，同時繼續擴展學習。
同樣的時間，一個用來等待，另一個用來踐行，兩者的差距可能是天壤之別。你要知道沒有任何考試是在你准備充分了才開始的。
有些人喜歡等待，等到合適的時機出現的時候，再采取行動。另一些人則喜歡邊做邊想，有不足的地方就改進，有新的問題就解決。
一段時間過去之后，后者可能已經前進了很長一段路程，而前者多半還在等待一個“恰當的時機”。
我原來就有這個問題，老想着先體系化學完某門技術...結果就是堅持不實踐，過了很久還是啥都不會，反而之前看的那些知識因為沒實踐過也都忘了。
用和學，用比學重要。用時比學時重要。“用時”是一個很好的概念。
很多人說自己“學”了那么多年英語，但現在依然說不出，聽不懂。其實他們就是在用“學時”代替“用時”來計算自己的付出的。
我們總說有效學習，其實衡量有效學習最好的方式就是：計算使用的時間。在安全技術學習上，就是：實踐的時間。

從“想到”、“學到” 到 “做到”

“用”比“學”重要；“做”比“想”重要；邊做邊想，比單純想想不知道好多少倍。只有做到了才是掌握了。“人至‘踐’則無敵”。
只要你開始做，高估或低估的困難就不僅僅是一個估計，而是一個擺在面前需要解決的現實問題。你對於它的理解不會再飄忽不定，而會變得非常具體。
很多人在做得不好的時候，總是喜歡退縮回原來的舒適區，認為是由於自己的基礎還不好所以才這么不順利，而忘記了這些踐行過程中的困難，才是真正幫他們打牢基礎的過程。

0x03 結語

很多人夢想找到一個*的*，幾天速成然后笑傲江湖。可是每一個真正練就一身武藝的人都是靠冬練三九夏練三伏這么過來的，他們靠着一種忘我的熱情持續投入進去磨練，數年如一日，最終自己也不知道怎么就發現具備了無堅不摧的實力。 同樣，就算是要開好挖掘機，或着當一個好廚師，也要在自己的技能樹上，一步一步地積累技能點，把過路點都點滿了，才能點出大招。
我們從小到大往往會聽到長輩們的建議：“戒驕戒躁”。雖然“戒驕”放在前面，但“戒驕”其實是有了一定成績之后的事情。對大多數人來說，首先要“戒躁”，才有機會“戒驕”。

一個人能獲得的最可貴的能力，都和掌握一門語言一樣，你所付出的努力不是能夠獲得即時回饋的，甚至在很長的一段時間內沒有任何收獲，直到積累到了一定的階段后，忽然爆發出驚人的力量，連你自己都不清楚這一切是如何發生的。比如鍛煉身體，讀書寫作。當你經歷了足夠的量變終於引起質變時擁有的技能，大部分人是終身難以企及的，不是因為他們太笨，恰恰相反，因為他們都太聰明了。選擇一個正確的方向，對那些無法立即獲得回報的事情，依然能付出十年如一日的專注和熱情，最終的結果也許不足以讓你獨孤求敗，但足以出類拔萃。

轉載自 ：sosly 菜鳥筆記
https://sosly.me/index.php/2017/07/17/studywebsec/