web安全基础入门书籍推荐
作者:猫叔(tratraus)
猫叔闲谈
这篇文章是猫叔总结的web安全入门部分书籍,根据猫叔自己初学入门以及这几年教导的上百个学生总结出来的一点经验。
另外请大家一定要记住,自学不是老师一步步的教你,肯定会走很多弯路,希望大家坚持下来,不要看了看几集所谓的教学视频,看几篇浅显的文章就觉得能像电影黑客一样敲起键盘噼里啪啦响。猫叔花三个月时间带着学生能从入门到进阶,但是猫叔当初自学摸爬滚打花了差不多一年的时间才达到同样的水平,当中的滋味实在是不好说,不过还是坚持下来了。这就是老师带和自学最大的区别,各有优劣。
书籍推荐
0x01 网站入侵与脚本攻防修炼
很老的一本书,也是很经典的一本书,给猫叔留下了很深的印象,因为猫叔就是通过这本书踏上安全这条路的,几百页而已,花两天认认真真翻一遍就行了,能让你对web漏洞有个基本的了解。
看完这本书,希望你能学会:
(1)什么是web漏洞 (2)什么是sql注入漏洞 (3)什么是数据库 (4)什么是文件上传漏洞 (5)什么是跨站脚本攻击0x02 PHP基础教程
PHP重要性就不用多说了,顶起web开发的半边天,这本书是PHP基础入门的书籍,很简单,一看就懂,但是一定要把书上的代码认认真真的敲一遍,不要觉得自己看懂了就行,对于编程类学习一定要多动手实践。
看完这本书,希望你学会:
(1)什么是PHP (2)什么是变量 (3)使用数值和字符串 (4)使用数组 (5)创建函数 (6)使用PHP读写文件 (7)使用PHP操作MySql数据库 (8)PHP常见函数0x03 MySql数据库入门教程
MySql是现在使用最多的数据库,大部分网站apache+php+mysql架构。这是17页的MySql数据基础入门教程,边看边操作,认认真真两个小时学会MySql的基本操作。
看完这本书,希望你学会:
(1)什么是MySql数据库 (2)如何使用MySql数据库 (3)如何向数据库添加数据 (4)如何删除数据库的数据 (5)如何修改数据库的数据 (6)如何查询数据库的数据0x04 计算机网络
这本书是谢希仁教授写的大学课本,重中之重的基础,只要你踏入了IT这个行业,不管是开发、运维、前端、安全你都必须掌握计算机网络的知识,你说你会渗透,那我问你什么是TCP、什么是UDP,它们能用在什么地方,一定要重视,最少看三遍。零基础千万不要看《TCP/IP详解》这本书。
看完这本书,希望你学会:
(1)什么五层体系结构 (2)什么是物理层 (3)什么是数据链路层,有哪些常用的协议 (4)什么是网络层,有哪些常用的协议,如何划分IP网段 (5)什么是运输层,有哪些常用的协议,TCP连接工作原理 (6)什么是应用层,有哪些常用的协议0x05 web渗透实例
看到这里,如果每天都在坚持学,估计已经过去了一个月时间,万丈高楼平地起,希望大家一定要重视基础。这本书是以前某安全论坛制作的渗透实例,教你如何进行渗透,六百多页、五十多个记录了详细渗透过程的例子,第一遍大部分看不懂很正常,当成小说看,没事就拿出来研究一下,专业名词不明白就去翻书、百度。
看完这本书,希望你学会:
(1)什么是web渗透 (2)什么是webshell (3)常规的web渗透思路是什么 (4)web渗透经常使用的工具有哪些0x06 图解HTTP
这本书讲解与web渗透密不可分的HTTP协议,通俗易懂,完全零基础讲解,但是要真正学会,还是要花时间和精力认真研究。
看完这本书,希望你学会:
(1)什么是HTTP协议 (2)HTTP数据包由哪些部分构成 (3)HTTP状态码 (4)HTTP头部值都有哪些,都有什么作用 (5)学会利用抓包工具分析HTTP数据包0x07 HTML+CSS+JavaScript前端基础教程
这本书讲解的都是前端的基础知识,学XSS必须会前端,和学数学必须会加减乘除一样的道理。第一遍初看,看完下面推荐的书籍,再带着问题细看第二遍。
看完这本书,希望你学会:
(1)什么是HTML,能简单看懂HTML (2)什么是CSS (3)什么是JavaScript,能简单编写JS代码0x08 XSS跨站脚本攻击剖析与防御
学习XSS的经典入门书籍,但不是零基础入门书籍,你需要学会前端HTML、CSS、JavaScript基础知识。第一遍很痛苦,看不懂多问、多看、多想、多查。
看完这本书,希望你学会:
(1)什么是XSS (2)XSS如何利用 (3)XSS如何防御0x09 xss漏洞实战文章
80页的xss漏洞利用集合,看完理论,看别人web渗透的时候如何利用xss进行攻击。
看完这本书,希望你学会:
(1)xss在不同场景下的利用 (2)能在自己实践的时候用上XSS0x10 web安全深度解析
到了这一步很不容易,恭喜大家离成功只差最后几步了,猫叔估计百分之九十的人已经放弃。这本书综合了常见的web漏洞,从全局让你明白有常见web漏洞的分类、原理、利用。
看完这本书,希望你学会:
(1)基本的信息收集方法 (2)漏洞扫描工具的使用 (3)SQL注入漏洞,sqlmap使用 (4)上传漏洞 (5)XSS跨站 (6)命令执行漏洞 (7)文件包含漏洞 (8)CSRF漏洞 (9)逻辑漏洞 (10)代码注入漏洞0x11 白帽子讲web安全
先强调一下,这本书不适合零基础看,猫叔看到很多学生买了这本书经常拿着看,就很纳闷,现在学生这么厉害吗,后面一问都说前期看就像看天书,上完所有课程之后,再回过头看才能看懂。所以大家不要什么都不懂的时候,拿着这本书天天看,浪费时间。
0x12 PHP代码审计
代码审计,俗称挖洞,就是自己在一套网站系统中挖掘常见的web漏洞,web渗透必备的能力。
看完这本书,希望你学会:
(1)在代码层面,常见web漏洞是如何产生的 (2)如何修复漏洞 (3)尝试下载一个简单CMS进行漏洞挖掘0x13 鸟哥的私房菜-linux基础篇
linux是一种操作系统,和windows操作系统一样,只不过windows在日常办公、娱乐领域很受欢迎,而linux系统更多是安装在服务器上。 在web渗透中,经常会遇到Linux操作系统,搭建在linux服务器上的网站,基于linux系统的渗透测试系统Kail linux,linux在我们学习渗透测试的时候非常非常重要。
这本书比较厚,一千页,需要大家慢慢看,最好多看几次,以后当作工具书。配套的还有一本《鸟哥的私房菜-服务器篇》,有余力可以看看。
看完这本书,希望你学会:
(1)什么是linux操作系统 (2)如何安装linux操作系统 (3)linux操作系统常用命令0x14 写在结尾
上面一共提到了十三本书籍,仅仅是web安全入门书籍而已,学安全没有想象中的那么简单,学会之后也不会像电影里面那么炫酷,如果你真正热爱,就希望你无论如何也要坚持下去。最后提一句:纸上得来终觉浅,觉知此事要躬行。实践、实践、不停的实践,成为大牛没有捷径。当然你可以跟着猫叔一起学安全,关注公众号,每天一篇文章,成为大牛只是时间问题。
所有书籍按照顺序均已上传,谢谢大家的关注,以后不定期更新,这类资料很容易被和谐,所以分享的时候设置了密码,在公众号回复“web入门”可以获得密码。
下载链接: https://pan.baidu.com/s/1cHqJN6sXQjtxsKXU-XQilA如果有什么问题可以公众号后台留言,或者添加猫叔的个人微信号tratraus。
——————————————————————
更多文章
猫叔个人公众号(搜索:猫叔讲安全)
原文链接:https://zhuanlan.zhihu.com/p/38751188
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/17881
