本文目录
零基础如何学习Web安全
web基础知识
web安全,意为web的安全,web即万维网,是由超文本和HTTP构造,就是我们常说的网站。那么要学习web安全,必要先要了解web的知识,不然何谈渗透,网站是由程序,空间,域名三大部分组成。我们渗透的目标一般就是网站的程序,能编写网站的编程语言非常多,然而最最适合我们的还是PHP它的优点在于:入门学习时间短快速开发,可以说非常的适合我们的学习。
漏洞学习
安全学习就要掌握各种漏洞原理比如注入漏洞:将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。要明白漏洞形成的过程和原因,从而可以在以后安全风险挖掘过程中随机应变。漏洞学习可以参考OWASP来源项目,项目中不仅包涵漏洞原理,测试工具,还有其他的来源目标系统供你练手(当然也有很多其他平台,需要你进入圈子慢慢挖掘)。下面是登录模块可能存在的问题点:
合适的武器
“工欲善其事,必先利其器“,好的工具可以大大的提供效率。当然利用工具的目的是为了提高效率,而不是让自己变成脚本小子。所以不仅要会用工具,而且要知道其中的原理,最好能够在原工具的基础上进行二次开发。下图是一些渗透测试工具
融入圈子
结交一些白帽子像博客、论坛、qq、安全沙龙、CTF比赛等,不仅可以与时俱进学习到新的知识,而且还可以认识到一群一起成长的朋友。
想要从事网络安全或者渗透测试这方面的工作,需要考什么证吗
第一,在网安这块,技能培训与证书的培训是独立的,网安行业主要是以学习技术为主,证书更多的是在有技术的前提上才会起到更好的加持作用,如果单单是靠证书的话,作用是不大的
第二,你要考网安相关的证书的话,你这边不如考cisp或者pte,这两个都是网络安全最常用与含金量高的国家认证的,但是网安是近几年才被国家重视起来的并且发展趋势一片走好,目前各高校开设网安专业的也是极少,也正是因为行业人才输送与人才缺口的比例问题,网络安全对从业者经验要求偏低,且多数对从业者学历不严格设限,大部分公司对这个没有硬性的要求,而且像cisp.cissp.cisa 等证书考试培训各费用大概5天时间就要过万,这些证书一般你工作后企业会出这个钱让你去考,这样自己省下一笔费用~
第三,网安nisp和cisp和cissp的这三个证书考试都是考培一体的,学到的知识也都是偏理论的,考试形式也全部都是选择题。nisp的含金量你可以去查一下,nisp二级的报考费大概是4800左右,然后你之后可以换cisp证书,但是需要你加4000元才可以。下面附上考试和换cisp的官方截图
分享一个不错的学习链接:
0基础学习web安全,点击链接报名mp.weixin.qq.com/s/QdknA9zY13_-FyoT5zAHuA
第四,cisp的含金量是很高的,你在学校可以先考cisp-pte,这个是在校生可以考的。但是cisp的报考费比较高,大概是1w多,而且是要有工作经验才能考的。以下是cisp的官方截图
第五,网安行业的就业岗位都是技术岗,证书是加分项,但是更多的是需要技术的。网安比较主流的是web安全和渗透测试。你这两个技术都学的还不错的话,你可以去src漏洞平台上挖漏洞钻取赏金和积分,或者你可以参加每年六七月的国家hvv,这个是每日薪资,而且是根据技术定薪,不设上限。如果要学的话,可以先学习web安全,再学渗透测试哦,证书的话,可以在那你有技术之后,再去考取都是没有关系的哦~
最后,好好学习,天天向上!!!
