写给大家看的 Web 安全进阶指南

Web 安全，对于一个 Web 从业人员来说，仍然是一个非常重要的课题。

每年因为网站漏洞，都为各家公司带来大量的损失，如去年的 Mirai 蠕虫病毒，最近的微信支付“0元购”漏洞。在这一背景下，Web 安全越来越受重视。除了开发人员，也出现了越来越多地 Web 安全从业者。

那么问题来了，如何进阶为一名 Web 安全高手呢？

1

基础：修炼内功

对于白帽从业者来说，一般都是从 XSS、SQL 注入等简单的漏洞研究入门的。需要对于这两大类漏洞原理，有一定数量的实践和经验。

除了了解各种相关的术语，还需要对于 Web 应用要有一个基本的认识。在这的基础上，对于 HTML、JavaScript 要有基础的了解和使用，它们是 Web 应用架构中最重要的基础元素。其直接运行在浏览器上，渲染出网页。

对于非开发人员的 Web 安全从业者来说，身边有相应的 Cookbook 也是一个不错的方式。

随后，便需要进一步了解 Web 前端应用的数据是如何通讯的——输入及输出。

比如，对于不是使用前后端技术的传统 Web 应用来说，数据可能通过 form data 或者 URL 的形式传递到后台；对于单页面应用来说，数据是通过 json 的形式传递到后台。后台处理完这些数据，再返回到前端供用户阅读。

有空了，再去深入了解诸如 HTTP 协议等一系列底层知识。

2

寻找合适的学习资料

不论是 Web 安全还是 Web 开发，他们都有着基本一致的学习体验。先找到感兴趣的知识点，学习尝试，一点点把玩。再找到一个合适的技能图谱，再按图索骥地去补充知识。

不过，对于初入 Web 安全领域的新人来说，要找到合适的资料不是一件容易的事。有这么几本书还是可以推荐一下的：

《白帽子讲Web安全》

《黑客攻防技术宝典—Web实战篇》

《Web前端黑客技术揭秘》

在学习到一定程度之后，可以按照技能图谱去了解更广泛的知识，诸如 StuQ 的安全工程师必备技能图谱。

3

学好相关工具

对于开发人员来说，最简单的安全工具是在持续集成上，集成对代码扫描、依赖检测相关的事项。

对于 Web 安全从业者来说，有一系列不同的渗透工具可以了解和使用。

当我们对一个网站进行分析时：

可以使用 sqlmap 进行渗透测试，以利用 SQL 注入漏洞；

可以使用 Wireshark + tcpdump 来进行抓包分析；

利用 Chrome 浏览器的开发者工具，来了解 API 用户是如何认证和授权等内容；

当我们对一个服务器进行分析时，可以使用 nmap 进行端口扫描；

……

早前，我使用 Wireshark + TCPdump 用来破解蓝牙通讯协议， Hack 了一个机器人，并编写了相应的应用程序。

同时，活用各种搜索引擎搜索，诸如：

网络空间的搜索引擎 ZoomEye、Shodan

常用的 Google——用来搜索知识

不过，在喜欢造轮子的我看来，最合适的工具，还是自己去造轮子。