余弦:聊聊 Web 安全深入的一个技巧

观点 作者:余弦 2017-02-02 08:47:57 阅读:580
上个月准备发《预测 2017 中国互联网重大安全威胁》,写得差不多了,但是感觉还不够,想想还是不发了。刚刚,本来准备发《聊聊 Web 安全的深入技巧》,写了一半,就不写了,保存成草稿。 原因主要是:我不想成为啰嗦的人。真正的原因是:懒。 那么,年都过完了,那就分享其中一个技巧吧... 比如我去年这篇文章 不怕得罪人地推荐这9本黑客书籍 推荐的一本书:
《黑客攻防技术宝典:Web实战篇(第2版)》,625页
这本书的第一版,当年我在入门阶段是完全细细看过的,当时的感觉是:Web 安全的知识实在太庞大了! 这本书内容涵盖:认证授权、前端漏洞(如 XSS/CSRF)、后端漏洞(如 SQL 注入、其他各种注入)、逻辑漏洞、溢出、源码审计、相关工具、渗透、等等。 是不是很多?其实还有更多(毕竟这本书都是几年前的书了)...那如何下手呢? 我的建议是这本书可以完全细细看一遍。但是不可能都记得住,没关系,保持一个印象就好,尤其是在真实实战环境下,概率很低的一些漏洞,比如:XPath 注入、LDAP 注入 等,这些漏洞在看书过程中可以和其他漏洞进行异同对比,保持个印象,如果以后真遇到,查书、查官方手册、查 Google 就好。 知识不怕多,怕的是不理解本质。对于那些很流行的漏洞,比如 SQL 注入、命令执行、XSS、CSRF、SSRF 等,还有一些比较凶猛另类的漏洞,如反序列化、XXE 注入、跨域等,这些都应该理解其本质,理解其异同,应该实战起来。 精而悟道正是这个道理。 ----------------- 微信公众号「Lazy-Thought」 几个黑客在维护,都很懒,都想改变点什么

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

图库
关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接