余弦:聊聊 Web 安全深入的一个技巧
上个月准备发《预测 2017 中国互联网重大安全威胁》,写得差不多了,但是感觉还不够,想想还是不发了。刚刚,本来准备发《聊聊 Web 安全的深入技巧》,写了一半,就不写了,保存成草稿。
原因主要是:我不想成为啰嗦的人。真正的原因是:懒。
那么,年都过完了,那就分享其中一个技巧吧...
比如我去年这篇文章 不怕得罪人地推荐这9本黑客书籍 推荐的一本书:
《黑客攻防技术宝典:Web实战篇(第2版)》,625页这本书的第一版,当年我在入门阶段是完全细细看过的,当时的感觉是:Web 安全的知识实在太庞大了! 这本书内容涵盖:认证授权、前端漏洞(如 XSS/CSRF)、后端漏洞(如 SQL 注入、其他各种注入)、逻辑漏洞、溢出、源码审计、相关工具、渗透、等等。 是不是很多?其实还有更多(毕竟这本书都是几年前的书了)...那如何下手呢? 我的建议是这本书可以完全细细看一遍。但是不可能都记得住,没关系,保持一个印象就好,尤其是在真实实战环境下,概率很低的一些漏洞,比如:XPath 注入、LDAP 注入 等,这些漏洞在看书过程中可以和其他漏洞进行异同对比,保持个印象,如果以后真遇到,查书、查官方手册、查 Google 就好。 知识不怕多,怕的是不理解本质。对于那些很流行的漏洞,比如 SQL 注入、命令执行、XSS、CSRF、SSRF 等,还有一些比较凶猛另类的漏洞,如反序列化、XXE 注入、跨域等,这些都应该理解其本质,理解其异同,应该实战起来。 精而悟道正是这个道理。 ----------------- 微信公众号「Lazy-Thought」 几个黑客在维护,都很懒,都想改变点什么
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平会见美国国务卿布林肯 4900551
- 2 俄罗斯冻结美国最大银行在俄资产 4941973
- 3 抗癌东东胃癌晚期去世 4801929
- 4 神舟起大漠 逐梦叩苍穹 4706216
- 5 中国国航购买100架C919飞机 4660847
- 6 加油站作弊内幕:偷油又偷税 4512313
- 7 美国男子强奸14岁少女被判物理阉割 4492814
- 8 美国去死宣传册疯传美高校 4342772
- 9 网约车被路政追赶致2死1伤不实 4258682
- 10 辅警杀害新婚妻子被判死缓 4185721