前言

web安全是安全体系里非常容易入门的一个领域。捣鼓捣鼓就算入门了。但是真想挖洞如切菜，则十分不易。另受限于国内SRC的5毛尿性，往往很影响白帽子的心情。当然，不能以偏概全，有钱的SRC还是一直都有的。

书单

web安全是大学时比较热衷的，以下的书籍大多都是大二大三读的。主要是因为比较热衷于数据。当然，自己没有吃白帽这碗饭的命。也已经不怎么挖洞了。喜欢web安全的可以多多关注大佬们的博客。

实话说，具体内容忘了。但是好书。

当时有些内容初学的时还看不懂。建议能够了解web技术的基础上再去学习web挖洞不迟。

虽然早已经过了sqlmap跑一波就能脱裤的年代，但是还是要了解下sql的攻击注入原理，不同数据库引擎以及不同的攻击方式。如何找到根源所在？不过很大可能是你看完之后还是只会sqlmap跑一波。然后开始失望。//那就再多读几遍吧，找几个线上的环境跑一跑。注意注入攻击有风险，可能会导致生产环境出问题，以及未授权可能被追责。

真正有了一些技术功底之后看到知乎有人推荐这本书，在很长的一段时间里。这本书可以算的上市案头书。书里面讲的知识深入浅出，比较细腻。入门之选最好不过。

能玩了一些web的安全小技巧之后，一直对fuzz浏览器比较感兴趣。又由于那段时间其实经常写爬虫，但是又找不到多少讲浏览器安全的书，就买了这本来看。总的来说，黑客攻防技术宝典系列，深入浅出系列，图解系列都是好书。不过学技术的话，最新的永远是在互联网上，这些都是打底的。

这本书让我对扫描器有了一些认识，当初实习时写爬虫，无聊发现的这本书，补充了我在扫描器方面的遗漏知识。让我对如何写爬虫有了新的认识。

这本书是前几个月又翻起来看得。其实关于http的了解更多的是从网上看文章来的。时间久了记不住细节了。于是翻开这本书，书本讲的细，但又不会涩。而且作为web领域重要的通讯协议，你要是说你不去了解。那你还搞什么的web安全。而且关于http header也有不少可以利用的地方。像smuggling attack。 不过这本书里并没有

后语

除此之外仍需要注意的是，即便提到的是web安全，首先也是脱离不了web。所以需要对web技术有着一定程度的了解。对编程语言有一定程度的了解。才能真正的去深入web安全体系。去挖洞，产出工具，分析原理等等。当你一直想赚钱的时候，可能赚不到钱。但当你学好了技术，就自然而然可以赚到钱了。 辅助安全测试的工具，有很多，精通同一类中的几个。然后尝试去造轮子，实在不会就写插件，写自动化脚本。对了，此处并没有推荐关于burpsuite、nmap、metasploit等工具的使用，因为这些工具的最新使用，应该是参考官方文档，而非书籍。任何类似这种的工具都应该第一时间阅读文档而不是书籍。