小猿圈浅析web安全学习方法

小猿圈002

只是学习也要掌握一定的方法，比如最近接到很多网络安全小白的咨询，说想要学习web安全，但是又认为自己所学专业以及从事工作与web安全无关，会不会在学习的道路上太过艰难。下面小猿圈web安全讲师就给你讲讲web安全学习方法。

诚然，web安全中的知识繁多且复杂，再加上专业不相关带来的阻碍，会让很多小伙伴在初学web安全时走不少弯路。

那么，今天就来介绍一下入门web安全的正确“姿势”！

一、注重基础知识的学习

想要学习web安全，就一定要对基础漏洞知识的学习重视起来，不能认为渗透测试掌握了一堆工具就可以。单单看书看视频是不够的，在学习web安全的过程中实战是一个很重要的环节，多多寻找靶场进行练习，对快速入门web安全很有帮助。

二、了解漏洞产生原因和防御手段

在学习web安全的过程中，可能大多数小伙伴接触的第一种漏洞类型是xss，那么对于xss的类型有哪几种？各自可能存在于什么样的功能之中？当我们执行一个payload时，浏览器是怎样解析它的？网站对一些特殊符号进行了过滤，要怎么绕过？等等这些问题的解决，就需要先掌握JavaScript的相关知识，最起码要能看懂代码。这也是我们常说的“知其然还要知其所以然”，否则只是盲目看书对学习进度没有任何帮助。

三、学会使用搜索引擎

高级搜索技巧可以说是学习过程中必备的一个技能，它可以提高你寻找学习资料的效率，而且在渗透测试实战的信息搜集阶段也会用到。比如测试某SRC，在使用: site: *.xxx.com查询它被搜索引擎爬到的二级域名时，发现了一个不应该被爬到的内部后台，还含有大量数据。这样通过搜索引擎，就成功的“捡”到一枚高危漏洞。(这里的搜索引擎包括专用的zoomeye、shodan、fofa、exp-db等)。

四、至少熟练掌握一门编程语言

python、C、C++、Java这些编程语言，对从事web安全的人来说是能够提高挖掘漏洞效率的工具，所以建议学习web安全的小白，至少要熟练掌握其中的一门编程语言，不管哪一种都会派上用场的。

五、使用且能够修改自动化测试工具

Sqlmap，burpsuite，nmap,Metasploit以上这些是每个Web安全研究人员都离不开的工具，但有一个问题件就是大多数人只掌握了它们的基本用法，却忽视了工具的开源性。具备开源意味着我们可以对工具进行开发，可以使功能贴合特殊环境下的使用，让自己工作起来更加得心应手。

说了这么多入门web安全的学习姿势，接下来再说说学习Web安全可以获得的好处。

1.全面理解、掌握互联网相关技术

Web安全是一个涵盖方面很广的技术，一个成熟的Web安全研究人员需要掌握前端开发、后端开发、服务器运维、数据库存储等技术，在学习的过程中，可以让你对网络、对Web程序的安全运行有更深层次的理解。

2.个人收益更多

很多公司对自家产品的安全防护都很重视，漏洞报告平台和安全响应平台应运而生，作为白帽子可以在发现漏洞后上报给各家平台，根据危害程度会得到一定的金钱奖励，即便在业余时间挖挖漏洞，也能有不错的收入。

以上就是小猿圈web安全讲师对于web安全学习方法的一个讲解，记住一定要练习，多学多看多练这才是学习一门新技术好的开始，如果没有系统的视频可以观看小猿圈，里面有更完善更全的视频。