·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
DZ插件网 门户 网站安全 查看内容

从“小白”到“白帽子黑客”的实用指南

2024-8-15 20:59| 发布者: 𝕷𝖎𝖑𝖏𝖆𝖈𝖐| 查看: 31044| 评论: 0

摘要: 当黑客很酷吗?早先,我也是半个黑客,经常在学校的教务系统看妹子。通过 URL 注入的方式,可以轻松进入别人的个人信息页。后来,又通过某种方式发现了管理员的账号,管理员又没有修改默认密码,于是就登录了管理员 ...
当黑客很酷吗?

早先,我也是半个黑客,经常在学校的教务系统看妹子。通过 URL 注入的方式,可以轻松进入别人的个人信息页。后来,又通过某种方式发现了管理员的账号,管理员又没有修改默认密码,于是就登录了管理员后台。

这件事,我就偷偷地说到了这,不能让我们家花仲马知道。

从“小白”到“白帽子黑客”的实用指南2517 作者: 来源: 发布时间:2024-8-15 20:59

后来,我更关注于构建更强壮的 Web 应用,而不是关注在安全领域上。因为我觉得创造是一件更开心的事。

然而 Web 安全,对于一个 Web 从业人员来说,仍然是一个非常重要的课题。

每年因为网站漏洞,都为各家公司带来大量的损失,如去年的 Mirai 蠕虫病毒,最近的微信支付“0元购”漏洞。在这一背景下,Web 安全越来越受重视。除了开发人员,也出现了越来越多地 Web 安全从业者。


那么问题来了,如何进阶为一名 Web 安全高手呢?


 1

基础:修炼内功

对于白帽从业者来说,一般都是从 XSS、SQL 注入等简单的漏洞研究入门的。需要对于这两大类漏洞原理,有一定数量的实践和经验。

除了了解各种相关的术语,还需要对于 Web 应用要有一个基本的认识。在这的基础上,对于 HTML、JavaScript 要有基础的了解和使用,它们是 Web 应用架构中最重要的基础元素。其直接运行在浏览器上,渲染出网页。

对于非开发人员的 Web 安全从业者来说,身边有相应的 Cookbook 也是一个不错的方式。

随后,便需要进一步了解 Web 前端应用的数据是如何通讯的——输入及输出。

比如,对于不是使用前后端技术的传统 Web 应用来说,数据可能通过 form data 或者 URL 的形式传递到后台;对于单页面应用来说,数据是通过 json 的形式传递到后台。后台处理完这些数据,再返回到前端供用户阅读。

有空了,再去深入了解诸如 HTTP 协议等一系列底层知识。

 2

寻找合适的学习资料

不论是 Web 安全还是 Web 开发,他们都有着基本一致的学习体验。先找到感兴趣的知识点,学习尝试,一点点把玩。再找到一个合适的技能图谱,再按图索骥地去补充知识。

不过,对于初入 Web 安全领域的新人来说,要找到合适的资料不是一件容易的事。有这么几本书还是可以推荐一下的:


《白帽子讲Web安全》

《黑客攻防技术宝典—Web实战篇》

《Web前端黑客技术揭秘》


在学习到一定程度之后,可以按照技能图谱去了解更广泛的知识,诸如 StuQ 的安全工程师必备技能图谱。

 3

学好相关工具

对于开发人员来说,最简单的安全工具是在持续集成上,集成对代码扫描、依赖检测相关的事项。

对于 Web 安全从业者来说,有一系列不同的渗透工具可以了解和使用。

当我们对一个网站进行分析时:

 可以使用 sqlmap 进行渗透测试,以利用 SQL 注入漏洞;

可以使用 Wireshark + tcpdump 来进行抓包分析;

利用 Chrome 浏览器的开发者工具,来了解 API 用户是如何认证和授权等内容;

当我们对一个服务器进行分析时,可以使用 nmap 进行端口扫描;

……

早前,我使用 Wireshark + TCPdump 用来破解蓝牙通讯协议, Hack 了一个机器人,并编写了相应的应用程序。

详见《我是如何Hack一个机器人的?》https://www.phodal.com/blog/how-to-hack-a-robot/

从“小白”到“白帽子黑客”的实用指南9746 作者: 来源: 发布时间:2024-8-15 20:59

同时,活用各种搜索引擎搜索,诸如:


网络空间的搜索引擎 ZoomEye、Shodan

常用的 Google——用来搜索知识

不过,在喜欢造轮子的我看来,最合适的工具,还是自己去造轮子。


 4

融入圈子

我越来越关注 Web 安全,是因为它可以带来一些额外的乐趣。并且,还能减少编写代码的 BUG。而关注也就意味着,了解最新的资讯和技术等。自去年的 MongoDB 未授权访问漏洞之后,我关注了安全相关的公号,诸如 Freebuf、安全圈等等。

随后去了解、认识、结交更多相关领域的人,以让融入这个圈子。同时关注一些在安全领域有输出的大V,诸如知乎上的 @余弦,他是网络安全、黑客 (Hacker)、信息安全话题的优秀回答者。

然而,更重要的是,保持兴趣 + 持续练习。

从“小白”到“白帽子黑客”的实用指南4653 作者: 来源: 发布时间:2024-8-15 20:59

也许你在学习的过程中,会无规划、效率低、难自律、没方向、没答疑、没时间、太孤独、没互动……

那么,网易云课堂&i春秋学院联合推出的《Web安全工程师(进阶)》微专业适合你,由一众网易安全大咖和i春秋学院资深讲师联合打造。

我们希望通过合理的引导,帮助学员在建立起Web安全基础框架的基础上,不断积累,相比于自学,Web安全工程师微专业能够帮助学员节约大量的时间与弯路。

网安大咖搭配热门干货,一锅浓浓的千年老鸡汤新鲜出炉,专治各种攻防领域疑难杂症,并且推出免费直播课《Web安全工程师职业发展规划指引》,免费附赠学习资料。

直播教师



i春秋教研部高级研究员  SinX

7月17日20:00-21:00

直播大纲



1.Web安全工程师岗位解读

2.基础进阶职业发展路线图

3.技术能力发展趋势解析

Web安全学习资料



从“小白”到“白帽子黑客”的实用指南1038 作者: 来源: 发布时间:2024-8-15 20:59

入群即可获取

 如何获取?

扫码加入QQ群

即可免费攻读《Web安全工程师职业发展规划指引》



群号:806210100

为了保证学习体验,

本次“Web安全学习群"限时开放

数量有限,欲报从速



上一篇:会议报名 | 3·7 “硬科技”专场项目路演对接会(附部分路演企业)
下一篇:《飞驰人生2》:致敬余生中,最年轻的今天

鲜花

握手

雷人

路过

鸡蛋

评论

您需要登录后才可以发表言论 登录立即注册
创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:3.12.161.151,GMT+8, 2024-11-25 16:16 , Processed in 0.232877 second(s), 42 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯
扫一扫添加微信客服
QQ客服返回顶部
返回顶部