余弦：聊聊 Web 安全深入的一个技巧

上个月准备发《预测 2017 中国互联网重大安全威胁》，写得差不多了，但是感觉还不够，想想还是不发了。刚刚，本来准备发《聊聊 Web 安全的深入技巧》，写了一半，就不写了，保存成草稿。 原因主要是：我不想成为啰嗦的人。真正的原因是：懒。 那么，年都过完了，那就分享其中一个技巧吧... 比如我去年这篇文章 不怕得罪人地推荐这9本黑客书籍 推荐的一本书：

《黑客攻防技术宝典:Web实战篇（第2版）》，625页

这本书的第一版，当年我在入门阶段是完全细细看过的，当时的感觉是：Web 安全的知识实在太庞大了！ 这本书内容涵盖：认证授权、前端漏洞（如 XSS/CSRF）、后端漏洞（如 SQL 注入、其他各种注入）、逻辑漏洞、溢出、源码审计、相关工具、渗透、等等。 是不是很多？其实还有更多（毕竟这本书都是几年前的书了）...那如何下手呢？ 我的建议是这本书可以完全细细看一遍。但是不可能都记得住，没关系，保持一个印象就好，尤其是在真实实战环境下，概率很低的一些漏洞，比如：XPath 注入、LDAP 注入 等，这些漏洞在看书过程中可以和其他漏洞进行异同对比，保持个印象，如果以后真遇到，查书、查官方手册、查 Google 就好。 知识不怕多，怕的是不理解本质。对于那些很流行的漏洞，比如 SQL 注入、命令执行、XSS、CSRF、SSRF 等，还有一些比较凶猛另类的漏洞，如反序列化、XXE 注入、跨域等，这些都应该理解其本质，理解其异同，应该实战起来。 精而悟道正是这个道理。 ----------------- 微信公众号「Lazy-Thought」 几个黑客在维护，都很懒，都想改变点什么

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/