웹 보안을 배우려면 웹 보안 관련 개념, 테스트 도구 침투, 실제 운영 침투, Windows/Kali Linux, 미들웨어 및 서버의 보안 구성, 스크립트 프로그래밍 학습, 소스 코드 감사 및 취약성 분석, 보안 시스템 설계 및 개발 등을 숙지해야 합니다.
간단하게 학습 계획을 세우다.
단계 1: 네트워크 보안 관련 개념
권장 학습 시간: 2 주.
학습 내용은 다음과 같습니다.
1, 기본 개념 (SQL 주입, 업로드, XSS, CSRF, 트로이 목마 등) 에 익숙합니다. ).
2. 구글은 키워드 (SQL 주입, 업로드, XSS, CSRF, 트로이마 등) 를 통해 ).
3.' 웹 안전 심도 분석' 을 입문 학습으로 읽어도 된다.
4. 침투 노트/비디오를 보고 침투의 전 과정을 알아보세요. 구글 (침투 노트, 침투 과정, 침입 과정 등) 이 가능합니다. ).
두 번째 단계: 침투 관련 도구에 익숙합니다.
권장 학습 시간: 3 주.
학습 내용은 다음과 같습니다.
1, AWVS, Sqlmap, Burpsuite, Nessus, China chopper, Nmap, Appscan 등 관련 도구의 사용에 익숙합니다.
2. 이러한 도구의 용도와 사용 시나리오를 이해합니다.
이 소프트웨어의 다운로드 및 설치에는 뒷문이 없습니다.
4, 학습과 사용, 구체적인 교재는 인터넷에서 검색할 수 있습니다. 예를 들면 Burpsuite 자습서, Sqlmap 입니다.
5. 자주 사용하는 소프트웨어를 모두 배우면 sonic startup 을 설치하여 침투 공구상자를 만들 수 있다.
세 번째 단계: 실제 전투 작업에 침투.
권장 학습 시간: 5 주.
학습 내용은 다음과 같습니다.
1, 침투 전 단계를 파악하여 소규모 사이트에 독립적으로 침투할 수 있습니다.
2. 인터넷에서 침투 영상을 찾아 사고와 원리, 키워드 (침투, SQL 주입 비디오, 파일 업로드 침입, 데이터베이스 백업, Dedecms 취약점 활용 등) 를 생각해 본다.
3. 직접 장소를 찾아/테스트 환경을 만들어 테스트해 보세요. 자신을 숨기는 것을 잊지 마세요.
4. 사고의 침투는 주로 몇 단계로 나뉘며, 각 단계마다 어떤 작업을 해야 하는지, 예를 들면, PTES 침투 테스트 시행 기준.
5. SQL 주입의 종류, 원리 및 수동 주입 기술을 배웁니다.
6. 문건 업로드 원리, 어떻게 자르는지, 허점분석 등을 연구한다. 업로드 공격 프레임 참조.
7. XSS 형성의 원리와 유형을 배우고, 구체적인 학습 방법은 구글이 될 수 있다.
8. Windows/Linux 전원 상승 방법 및 구체적인 사용을 연구하기 위해 다음을 참조할 수 있습니다. 전원 상승.
9, 참고할 수 있습니다: 오픈 소스 침투 테스트 깨지기 쉬운 시스템.
네 번째 단계: 안전 서클 역학에 중점을 둡니다.
권장 학습 시간: 1 주.
학습 내용은 다음과 같습니다.
1. 보안권의 최신 취약점, 보안 이벤트, 기술 문장 등을 주시하고 있습니다.
2. 일일 보안 기술 문장/이벤트를 탐색하십시오.
3. 웨이보, 위챗 안보권에 주목하는 직원 (큰 소의 관심이나 친구의 과감한 관심 발생) 을 통해 매일 시간을 내어 솔질한다.
4. feedly/ 신선한 과일을 통해 국내외 안전기술 블로그를 구독합니다 (자신을 국내에 제한하지 말고 축적에 더욱 신경을 써야 합니다).
5. 매일 보안기술 문장 자발적으로 제출하고 춘추지역 사회에 연결하여 축적하는 습관을 길렀다.
6. 최신 허점 목록을 많이 살펴보시면 춘추운경을 볼 수 있습니다. Com, 공개적인 허점을 만나면 연습해 보세요.
7. 국내외 안전회의 의제나 동영상에 주목한다.
8. 기술교류군에 가입하여, 군내 거장에게 경험과 기교를 좀 가르쳐 주십시오.
5 단계: Windows/Kali Linux 를 익히십시오.
권장 학습 시간: 3 주.
학습 내용은 다음과 같습니다.
1. Windows/Kali Linux 의 기본 명령과 공통 도구를 배웁니다.
2. ipconfig, nslookup, tracert, NET, Tasklist 등 Windows 에서 일반적으로 사용되는 cmd 명령에 익숙해집니다.
3. ifconfig, LS, CP, MV, VI, WGET, 서비스, Sudo 등 Linux 에서 일반적으로 사용되는 명령에 익숙합니다.
4. 칼리리눅스 시스템에서 많이 사용하는 도구에 익숙해서 칼리눅스의 웹 침투 테스트, 칼리의 해커 등을 참고할 수 있습니다.
5. Metasploit 도구에 익숙해지려면 metasploit 침투 테스트 안내서를 참조하십시오.
6 단계: 미들웨어 및 서버 보안 구성
권장 학습 시간: 3 주.
학습 내용은 다음과 같습니다.
1, 서버 환경 구성을 배우고 사고를 통해 구성에서 보안 문제를 발견합니다.
2.Windows server20 12 환경에서 IIS 구성, 보안 및 운영 권한 구성에 특별한주의를 기울입니다.
3. 리눅스 환경에서 램프 보안 구성은 주로 실행 권한, 디렉토리 간, 폴더 권한 등을 고려합니다.
4. 원격 보안 강화, 사용자 이름 암호 로그인 제한, iptables 를 통한 포트 제한 소프트웨어 Waf 를 구성하여 시스템 보안을 강화하고 서버에 mod_security 와 같은 시스템을 구성합니다.
5. Nessus 소프트웨어를 통해 구성 환경의 보안을 점검해 알 수 없는 보안 위협을 발견합니다.
7 단계: 스크립트 프로그래밍 학습
권장 학습 시간: 4 주.
학습 내용은 다음과 같습니다.
1. Perl/Python/PHP/Go/Java 스크립트 언어 중 하나를 선택하여 공통 라이브러리에서 프로그래밍을 배웁니다.
2. 개발 환경을 구축하고 IDE 를 선택합니다. PHP 환경에서는 Wamp 와 XAMPP 를, IDE 에서는 Sublime 을 강력히 추천합니다.
3, 파이썬 프로그래밍 학습, 학습 내용 포함: 구문, 정규화, 파일, 네트워크, 멀티 스레드 등 자주 사용되는 라이브러리, 파이썬 코어 프로그래밍 권장.
4. 파이썬으로 허점의 exp 를 쓰고 간단한 웹 파충류를 쓴다.
5. PHP 의 기본 문법을 배우고 간단한 블로그 시스템을 작성합니다. PHP 및 MySQL 프로그래밍 (제 4 판) 및 비디오를 참조하십시오.
6. MVC 아키텍처에 익숙하고 PHP 프레임워크 또는 파이썬 프레임워크 (선택 사항) 를 학습해 보십시오.
7. Bootstrap 또는 CSS 의 레이아웃을 이해합니다.
8 단계: 소스 코드 감사 및 취약성 분석
권장 학습 시간: 3 주.
학습 내용은 다음과 같습니다.
1, 스크립트 소스 프로그램을 독립적으로 분석하여 보안 문제를 찾아낼 수 있습니다.
2, 소스 코드 감사의 동적 및 정적 방법에 익숙하고 프로그램 분석 방법을 알고 있습니다.
3. 웹 취약점의 원인을 이해하고 키워드를 통해 찾아 분석합니다.
4. 웹 취약점의 형성 원리와 소스 코드 수준에서 이러한 취약점을 피하는 방법을 연구하여 체크리스트로 정리한다.
학습 주소: 봄과 가을 공식 웹 사이트 (카이 안당)
9 단계: 안전 시스템 설계 및 개발
권장 학습 시간: 5 주.
학습 내용은 다음과 같습니다.
1, 자체 보안 시스템을 구축하고 몇 가지 보안 권장 사항이나 시스템 아키텍처를 만들 수 있습니다.
2, 실용적인 안전가젯을 개발하고 오픈소스를 열어 개인의 실력을 구현한다.
3. 자신의 안전체계를 세우고, 회사 안전에 대한 자신의 이해와 견해를 가지고 있다.
대규모 보안 시스템의 아키텍처 또는 개발을 제안하거나 참여하십시오.