April 1st, 2020
web安全是安全体系里非常容易入门的一个领域。捣鼓捣鼓就算入门了。但是真想挖洞如切菜,则十分不易。另受限于国内SRC的5毛尿性,往往很影响白帽子的心情。当然,不能以偏概全,有钱的SRC还是一直都有的。
web安全是大学时比较热衷的,以下的书籍大多都是大二大三读的。主要是因为比较热衷于数据。当然,自己没有吃白帽这碗饭的命。也已经不怎么挖洞了。喜欢web安全的可以多多关注大佬们的博客。
实话说,具体内容忘了。但是好书。
当时有些内容初学的时还看不懂。建议能够了解web技术的基础上再去学习web挖洞不迟。
虽然早已经过了sqlmap跑一波就能脱裤的年代,但是还是要了解下sql的攻击注入原理,不同数据库引擎以及不同的攻击方式。如何找到根源所在?不过很大可能是你看完之后还是只会sqlmap跑一波。然后开始失望。//那就再多读几遍吧,找几个线上的环境跑一跑。注意注入攻击有风险,可能会导致生产环境出问题,以及未授权可能被追责。
真正有了一些技术功底之后看到知乎有人推荐这本书,在很长的一段时间里。这本书可以算的上市案头书。书里面讲的知识深入浅出,比较细腻。入门之选最好不过。
能玩了一些web的安全小技巧之后,一直对fuzz浏览器比较感兴趣。又由于那段时间其实经常写爬虫,但是又找不到多少讲浏览器安全的书,就买了这本来看。总的来说,黑客攻防技术宝典系列,深入浅出系列,图解系列都是好书。不过学技术的话,最新的永远是在互联网上,这些都是打底的。
这本书让我对扫描器有了一些认识,当初实习时写爬虫,无聊发现的这本书,补充了我在扫描器方面的遗漏知识。让我对如何写爬虫有了新的认识。
这本书是前几个月又翻起来看得。其实关于http的了解更多的是从网上看文章来的。时间久了记不住细节了。于是翻开这本书,书本讲的细,但又不会涩。而且作为web领域重要的通讯协议,你要是说你不去了解。那你还搞什么的web安全。而且关于http header也有不少可以利用的地方。像smuggling attack。 不过这本书里并没有
除此之外仍需要注意的是,即便提到的是web安全,首先也是脱离不了web。所以需要对web技术有着一定程度的了解。对编程语言有一定程度的了解。才能真正的去深入web安全体系。去挖洞,产出工具,分析原理等等。当你一直想赚钱的时候,可能赚不到钱。但当你学好了技术,就自然而然可以赚到钱了。 辅助安全测试的工具,有很多,精通同一类中的几个。然后尝试去造轮子,实在不会就写插件,写自动化脚本。对了,此处并没有推荐关于burpsuite、nmap、metasploit等工具的使用,因为这些工具的最新使用,应该是参考官方文档,而非书籍。任何类似这种的工具都应该第一时间阅读文档而不是书籍。