『壹』 如何在線學習web安全的攻防技術
慕課網,切入點很不錯,受益匪淺
『貳』 web安全學習如何提高自己
橫向就是如圖所示,縱向就是數據流;數據流說白了就是http協議。
舉例:
1、如果在操作系統沒有處理好,就產生了OS命令執行的安全問題;
2、如果在存儲層的資料庫中沒有處理好,資料庫的sql解析引擎把這個「特殊數據」當做指令執行,就產生了SQL注入;
3、如果在web容器層如nginx中沒有處理好,nginx把特殊數據當成指令執行時,就會產生遠程溢出、DoS等各種安全問題;
4、如果在web開發框架或web應用層中沒有處理好,把特殊數據當做指令執行時,可能就產生遠程命令執行的安全問題;
5、如果在web前端層中沒有處理好,瀏覽器的JS引擎把特殊數據當做執行執行時,就可能產生XSS跨站腳本的安全問題;
總結:
一切安全問題都體現在「輸入輸出」上,一切安全問題都存在「數據流」的整個過程中;
『叄』 零基礎如何學習 Web 安全
1.學習網站構建初級教程_W3C以及HTTP協議基礎-runoob上了解Web前後端以及HTTP協議的一些基礎介紹,花半天時間對相關技術有個概念性的了解就夠了。
2. Windows下下載phpStudy或者WAMP,在本地搭建Web伺服器環境,然後自己搜索兩篇文章學習下基本的操作方法。這個本地Web伺服器也就相當於學習過程中的一個實驗環境了。
3.學習瀏覽器的開發者工具(通常快捷鍵F12調出),搜索一些教學文章,掌握Chrome或者Firefox瀏覽器開發者工具中的Network、Elements功能的常見用法,可以查看HTTP數據包以及定位頁面元素。
那學習Web安全呢,同時還要掌握一些工具:瀏覽器開發者工具與瀏覽器插件(如HackBar、ProxySwitcher)、抓包工具如Burpsuite、漏洞掃描和驗證工具如御劍、sqlmap、AWVS,工具可以在Freebuf上自行搜索下載,教程可以參考Web安全-i春秋系列教程中對應這幾款工具的章節學習。
好的工具可以幫助我們提高測試效率,擴展測試思路。除了工具的使用,通過搭建本地實戰環境練習手工技巧,也是很好的進階之路,這里建議可以搭建DVWA漏洞測試環境,然後參考DVWA系列教程_Freebuf進行學習。
學習的同時也可以在在教育行業SRC等漏洞平台上挖掘漏洞,贏得認可,也是一種動力,但挖掘漏洞的時候一定要注意規范和界限,可以參考自律方能自由,《網路安全法》實施後的白帽子行為參考,挖掘漏洞的同時也要注意保護自己。
『肆』 web安全需要學習哪些知識
這個就很多了,首先你要系統的了解互聯網的基本結構從基本的小區域網怎麼連的在怎麼把區域網通過交換機來連起來,伺服器與機器協作,各個機器的所屬范圍防火牆等,你要學很多,先從基本的掐網線開始吧
『伍』 怎樣學習雲安全知識和web安全
這個需要很深入的學習,你可以選擇培訓學習的
『陸』 如何系統學習web安全,web滲透測試
首先得清楚web安全/web滲透是什麼:模擬黑客攻擊,利用黑客技術,挖掘漏洞,提出修復建議。
涉及到的技術有:資料庫/網路技術/編程技術/操作系統/滲透技術/攻防技術/逆向技術/SRC漏洞平台/ctf經驗。。
崗位能力要求:
1、熟練使用awvs、nessus、metasploit、burpsuite等安全測試工具,並對其原理有一定了解
2、熟悉OWASP中常見的web安全漏洞、業務邏輯漏洞及其原理
3、熟悉滲透測試技術的整體流程,具備獨立開展滲透工作的能力;
4、熟悉linux系統操作,了解常見web中間件、資料庫、伺服器相關漏洞
5、至少掌握一種編程語言,能夠開發用於輔助日常工作的腳本
6、具備一定的php或java代碼審計能力,能夠對公開漏洞進行分析
7、具備良好的邏輯思維、溝通技巧及團隊協作能力
8、已取得信息安全等級測評師證書的優先。(NISP)
想要系統的學習web滲透,可以參考企業對人才的要求進行學習。
『柒』 Web安全書籍可推薦
重點推薦以下幾本書籍
《Web安全深度剖析》
《黑客攻防技術寶典—Web實戰篇》
《Web前端黑客技術揭秘》
《Web應用安全威脅與防治》
《Web之困:現代Web應用安全指南》
《XSS跨站腳本攻擊剖析與防禦》
《Web應用安全權威指南》
興趣是最好的老師,在興趣的引導下,可以在Web安全的道路上越走越遠。
『捌』 web安全測試個人閱讀心得
文章中提到的東西都是工作中實踐過的經驗,並不保證全面性.
Web測試一般包含如下內容:
功能測試
性能測試
用戶界面測試
兼容性測試
安全性測試
其實這只是大概的區分,各種不同的類別的測試之間其實是有很多交集的.比如:
當網站出現性能問題的時候,同時網站的某些功能可能會失效,比如頁面打開失敗,表單提交失敗等等
當網站在一個它不兼容的瀏覽器下運行的時候,也會導致功能失效,用戶界面出現混亂,甚至性能問題
以上的五項內容中的每一項都可以是一個大的主題做深入的分析.
另外,對於所有的web測試人員來說,學會使用Firebug以及Fiddler這樣的抓包工具絕對是必不可少的。這些工具的使用應該始終貫穿的測試工作之中
一.功能測試
對於一般被測試的軟體,我可以用"樹"來比喻一個軟體.一顆樹有主幹,分支和葉子.主幹和分支代表軟體的流程,葉子代表軟體的局部步驟(頁面). 我們測試軟體的時候既要保證軟體的流程正確,也要保證組成流程的各個分支步驟頁面的正確性.
拿淘寶來購物來說,我們可以把登錄頁面,購物車頁面之類的當成是葉子,完成一個購物流程,當成一個主幹或者分支. 軟體就是由這很多的葉子以及相對少一些的分支組成.
經典的教科書上往往會介紹如下功能測試測試用例的設計方法:
邊界值劃分
等價類
正交表
決策表
當我們測試單個頁面的時候,往往會用到這些方法.但是這些方法只是測試到了軟體的局部.
除此之外,我們還要考慮被測試軟體的工作流程,保證所有的提供給用戶的工作流程都可以跑通,這個時候,探索式測試可以派上用場.有時候,我們還需要化流程圖來輔助測試.
關於探索式測試,詳見探索式測試讀書筆記一文
另外,還有更重要的幾點:
每當打開頁面或者提交數據的時候,多打開Fiddler或者Firebug看看到底發送了哪些http請求,以及關鍵請求的http response是什麼.當發現功能異常之後,根據我們用Fiddler看到的數據,往往可以自己判斷問題到底是出在前台的JS還是後台service. 關於Fiddler,詳見Fiddler小結一文
有空多看看系統的日誌,哪裡能找到一些隱藏在頁面之外的異常
當我們在頁面上完成了一些功能之後,要徹底明白系統背後(資料庫)到底完成了什麼東西,我們提交的數據到底被存儲到哪裡去了
綜上所述,我們做功能測試的總體思路是從 點(樹葉)->面(主幹,分支)->後台(根)
二.性能測試
性能測試主要要從前端和後台兩個角度去理解,我們可以首先使用Fiddler去大概判斷網站的性能問題是出在前台還是後台.
如果Http請求的大部分時間是花在html,css,js之類的靜態資源載入上,那麼基本是前台性能有問題.如果某個後台的service特別費時,那麼後台必定存在性能問題
前台性能
除了用Fiddler看性能外,我們可以使用Yahoo的Firefox YSlow插件去檢測前端的性能.此外,關於前端性能具體的優化策略,可以參閱<High Performance Web Sites>,其中主要涉及到http協議和瀏覽器緩存機制
詳見Web前端優化14條原則一文
後台性能
對於大部分測試工程師來說是很難直接去優化後台性能的,但是依然能去發現一些有意義的線索
用Fiddler去查看http請求,如果某個請求特別耗時,則可能存在性能問題
後台代碼設計到SQL查詢的時候,往往測試員也是有基礎去測試那些SQL的查詢時間和執行時間,如果因為數據量大而導致查詢太慢的話,可以建議使用資料庫的索引
後台的cache機制: 我們的項目大量的使用了後台的cache機制
總之,做性能測試絕對不是簡單地直接拿Loadrunner或者Jmeter去錄制一下腳本,然後運行,分析結果.這一切的前提應該是充分了解了被測試系統的前台跟後台的性能
三.用戶界面測試
這點關注不多,主要如下:
字體大小顏色(主要通過修改css文件)
彈窗的風格最好保持統一
四,兼容性測試
主要考慮如下幾個因素組合:
不同的操作系統
不同的瀏覽器
瀏覽器的不同版本
顯示器的不同解析度
不同的瀏覽設備(PC,手機,平板)
五.安全性測試
安全性測試主要知道有如下幾點:
SQL注入:後台使用Preparedstatement去處理SQL
XSS攻擊:這個問題非常復雜.學習中..
做為一個測試工程師,我覺得應該記住如下3點:
前台的JS驗證是不可靠的
用戶進行任何輸入都是有可能的
Web本身似乎也是不安全的:無法解釋更多....
接下去舉一些實際的例子:
隱藏的按鈕
當我們用Firebug看頁面的HTML的時候,往往能找到一些隱藏的內容,比如某個元素的 class="gradient hide",或者類似的東西.當我們直接修改掉這些屬性之後,這些隱藏的東西就會在頁面上暴露出來,對系統的安全造成隱患.
另外如果有某些值也可能會存儲在隱藏域中
Disabled按鈕
與隱藏的按鈕類似,頁面上經常有些可見但是灰調的按鈕,也可以嘗試改變他的屬性,讓它變成可以觸發的,或許會有所發現
不該被訪問的URL
如果某個URL不該被某些人訪問,一定要在許可權上去控制.僅僅去掉某個鏈接/按鈕是不夠的
後台Service
如果網站後台的Service能被捕捉到,而且又沒有許可權控制,那將是災難性的
『玖』 關於web安全的
web伺服器的設置有關 iis有個將錯誤信息發送到瀏覽器 其他平台也都差不多 就是這些設置 可以研究看看