最近总有一些网友问我web渗透应该怎么学习,web代码审计应该怎么做?针对这样的问题小猿圈web安全讲师今天就为你解答一下,渗透和代码审计虽然是两个方向,但是对于做安全的朋友是一回事。
两条途径最终结果是一样的:
只有看得懂代码了解漏洞原理才能随机应变在复杂的环境下做好渗透测试,也只有具备了一定黑盒渗透测试经验才能更快更准确的发现问题点并能在代码审计后写出完美的poc把漏洞利用的淋漓尽致。
所以说学好web安全就一定要渗透测试方法和代码原理都要学习。
那到底web安全该怎么入门呢建议是:
1、先了解一个web系统是怎么运行的,比如一个新闻发布系统(cms)、在线商城系统、网络办公系统是如何搭建并运行起来的。
2、然后了解这些系统都有哪些功能和业务逻辑,这些功能和业务逻辑的大概实现原理。
3、对常见web系统漏洞要熟知其原理、成因、危害、测试方法等
4、结合具体系统的各个功能和环节匹配可能存在的漏洞,并进行测试,最终形成测试报告或技术总结
其中呢:1、2属于基础,3、4需要积累。
有的小伙伴可能会说我是要做web安全的,了解“网络设备、操作系统、中间件、数据库”这些有必要么?
咱们先不说答案,先来看看一个web系统是咱们运行的。
首先呢,这个web系统得有他的功能,也就是有他的业务逻辑,比如是一个新闻发布系统还是一个商城系统……
其次呢,要实现这个业务逻辑就必须要靠编写web脚本程序的应用代码来实现,光有代码还是不够的,必要的时候还要有数据库来存放业务数据,比如,你用php实现了一个留言本系统,那么用户的留言信息就可以存放在mysql数据库中。
第三呢,web程序要运行起来必须有运行环境,不管是iis,还是Apache,还是tomcat得有一个web中间件来运行web脚本。
第四呢,不管是什么中间件或者数据库要运行起来就不能没有操作系统环境,比如你在windows上搭建iis+SQL Server的web环境,或者在centos上搭建Apache+php+mysql的web环境,都要有操作系统作为基础。
第五呢,有个操作系统搭建好了web系统,那么要联网运行,就必须通过网络设备接入到互联网中,所以呢,网络设备及环境是必不可少的。
看了上面这些,我不说你也知道答案了,web系统安全在广义上是比较全面的。因为任何一个环节出了问题,都会影响整个系统的安全。
所以说,不管你现在是在做黑盒渗透测试的,还是在做代码审计的,只要我们的目标是做WEB安全,那么上面说的这些就都需要掌握。
总结一下:入坑小白要做到
1、对常见web应用程序漏洞owasp top 10的原理要深入了解
2、常见web扫描器要熟练使用
3、对http协议各个字段及参数要数量掌握
4、对于常见web漏洞要能结合不同测试环境进行手工测试及验证
5、收集并分析常见web应用程序(cms、shop、oa等)的漏洞利用poc并掌握其原理
说这些也只是小猿圈web安全讲师的一点经验,希望能帮到刚入坑的小白,后面会继续和大家分享常见漏洞的一些具体见检测方法和利用技巧,想要了解更多关于web安全方面内容的小伙伴,请关注小猿圈官网希望大家支持。
网友评论