Web安全工程师路线
2018/6/9
0x01:写在前面
推荐安全学习网站:
https://www.sec-wiki.com/index.php
https://paper.tuisec.win/
http://www.hetianlab.com
http://www.anquanke.com
学习HTML:w3cschool
软件下载:吾爱破解,看雪论坛
渗透测试实战:CTF学习:i春秋,实验吧,合天网安实验室,xctf,sniper oj等。
资料查找:要学会使用高级语法迅速查找内容,知乎,wiki,github,掘金,freebuf,csdn,........
视频课程:ichunqiu,安全牛课堂,豌豆学院,合天网安,慕课网,网易公开课。
0x02正文
首先说下何为web安全工程师:作为一个web安全工程师:关键字--渗透,攻防,编程,挖掘。如下:
1. 对公司网站、业务系统进行安全评估测试(黑盒、白盒测试);
2. 对公司各类系统进行安全加固;
3. [endif]对公司安全事件进行响应,清理后门,根据日志分析攻击途径;
4. 安全技术研究,包括安全防范技术,黑客技术等;
5. 跟踪最新漏洞信息,进行业务产品的安全检查。
那什么是web服务器?
提供网上信息浏览服务当Internet上运行其他计算机中的浏览器发出的请求时,服务器才会响应。主流web服务器:Apache,IIS,Nginx,kangle,Tomcat。Web服务器不仅能够存储信息,还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。
0x03需要学习的知识:
1.计算机网络
1)计算机网络体系结构(物理层,数据链路,网络层,传输层,应用层)
2)tcp/ip的体系结构
3)物理层工作原理,复用技术
4)链路层工作原理
5)网络层的服务(IP协议),分类的ip地址(ABC类地址)
6)理解ARP协议(地址解析协议),
7)学会划分子网,可变长划分子网
8)了解ICMP协议(tcp/ip子协议),错误侦测与回报机制(比如ping,tracert命令)
9)了解路由器,交换机,路由网关协议(RIP,ospf)
10)虚拟专用网VPN,网络地址转关机制NAT
11)传输层协议(TCP协议),三次握手机制
12)应用层协议(DNS协议,FTP,telnet,http-超文本传送协议(重点)),统一资源定位符(URL)
注:TCP/IP协议其实是两层协议,TCP属于传输层,IP协议是网络层协议,运用计算机系统知识,搭建web服务器,DHCP服务器等等..
2.操作系统基础知识。
比如进程和线程,内存管理,文件管理,死锁,主流操作系统(Windows,linux,Unix),熟悉各种系统安装,环境搭建。熟练掌握dos命令,linux下的命令。
3.熟悉http权威指南(有这本书,建议下来看看)
你需要去了解http协议,以及它如何工作的。
比如基本的:
HTTP方法、首部以及状态码 优化代理和缓存的方法 设计Web机器人和爬虫的策略 Cookies、认证以及安全HTTP
4.熟悉主流的WEB前端后端技术
包括HTML、JS、CSS及一些前端框架技术;Java编程基础,掌握JavaEE基础,为检测JSP网站漏洞提供代码安全审查基础;PHP编程基础,掌握PHP网站编程基础,为检测PHP网站漏洞提供代码安全审查基础;ASP.NET编程基础,掌握ASP.NET网站编程基础,为检测Aspx网站漏洞提供代码安全审查基础;
5.数据库基础
掌握Mysql和SqlServer数据库基本SQL语句,以便在检测应用的数据库漏洞时提供Sql脚本基础;
6.Web安全
比如WEB架构基础;常见的WEB漏洞检测分析;常见的WEB漏洞加固;WEB应用业务分析;WEB应用的渗透测试流程;WEB渗透高级应用技术;
7.了解OWASP Top 10
安全案例分析,10个最重要的安全风险案例及防御措施,比如sql注入,xss,csrf等等。
8.了解一些安全产品以及安全服务技术:
比如防火墙(邮件,数据库,抗ddos,),waf,漏扫系统,vpn,网闸(GAP),堡垒机,审计系统,杀软,防毒墙,入侵检测与防御系统(IDPS),加密机,运维管理平台
了解应急响应,风险评估,渗透测试,安全加固,运维服务,软件测试
0x04补充知识:
引用安全wiki上的知识作为本文的补充:
一、Web安全相关概念
· 熟悉主流的Web安全技术,包括SQL注入、XSS、CSRF、一句话木马等安全风险;
· 熟悉国内外主流安全产品和工具,如:Nessus、Nmap、AWVS、Burp、Appscan等;
· 熟悉windows、linux平台渗透测试、后门分析、加固;
· 至少掌握一门编程语言C/C++/Perl/Python/PHP/Go/Java等;
· 熟悉渗透测试的步骤、方法、流程,具有Web安全实战经验;
· 熟悉常见安全攻防技术,对网络安全、系统安全、应用安全有深入的理解和自己的认识;
· 对Web安全整体有深刻理解,具备代码审计和独立漏洞挖掘能力;
二、熟悉渗透相关工具
熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用。(为了学习这些工具,请做好打开很多网页的准备)
了解该类工具的用途和使用场景,先用软件名字Google/SecWiki;
下载无后门版的这些软件进行安装;(一般来说,,因为软件没给MD5码校验,可能很多软件都有后门,最好是在虚拟机里面进行相关操作)
学习并进行使用,具体教材可以在各大论坛上搜索,例如:Brup的教程、sqlmap;
能够使用并写下日志文档,做好实验记录,方便以后查看巩固。
三、渗透实战操作
掌握渗透的整个阶段并能够独立渗透小型站点。(ichunqiu 上面的渗透测试入门合适我们学习,像一些常见的CMS(dedecms,xdcms等)漏洞,Discuz漏洞,你可以参考大佬们的日志,进行学习,深入思考),当然不要随意使用工具攻击别人的网站,除非你有合法权利,所以自己要学会搭建测试环境。
传送门:https://www.ichunqiu.com/racing/54399
网上找渗透视频看并思考其中的思路和原理,关键字(渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用、暴力破解、文件包含等等);
自己找站点/搭建测试环境(建议DVWA)进行测试,反复学习,深入理解,有很多有漏洞的应用程序,我们可以用来以学习为目的练习渗透测试。下面是一些应用程序:
Damn Vulnerable Web Applications (DVWA):基于PHP, Apache以及MySQL,需要安装到本地。
OWASP WebGoat: J2EE web 应用程序,需要在本地运行。
四、关注安全圈动态
(说实话要使用手机天天干这些事,你离大佬已经不远了)
关注安全圈的最新漏洞、安全事件与技术文章。
通过SecWiki浏览每日的安全技术文章/事件;
通过Weibo/twitter关注安全圈的从业人员(遇到大牛的关注或者好友果断关注),天天抽时间刷一下;
通过feedly/鲜果订阅国内外安全技术博客(不要仅限于国内,平时多注意积累),没有订阅源的可以看一下SecWiki的聚合栏目;
养成习惯,每天主动提交安全技术文章链接到SecWiki进行积淀;
多关注下最新漏洞列表,推荐几个:exploit-db、CVE中文库等,遇到公开的漏洞都去实践下。
关注国内国际上的安全会议的议题或者录像,推荐SecWiki-Conference。
我个人用的是:https://paper.tuisec.win/index.jsp
学习Windows/Kali Linux基本命令、常用工具;
熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill等;
熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等;
熟悉Kali Linux系统下的常用工具,可以参考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等;
熟悉metasploit工具,可以参考《Metasploit渗透测试指南》。
学习服务器环境配置,并能通过思考发现配置存在的安全问题。
Windows2003/2008环境下的IIS配置,特别注意配置安全和运行权限,可以参考:SecWiki-配置;
Linux环境下(比较喜欢kali)的LAMP的安全配置,主要考虑运行权限、跨目录、文件夹权限等,可以参考:SecWiki-配置;
远程系统加固,限制用户名和口令登陆,通过iptables限制端口;
配置软件Waf加强系统安全,在服务器配置mod_security等系统,参见SecWiki-ModSecurity;
通过Nessus软件对配置环境进行安全检测,发现未知安全威胁。
[if !supportLists]七、[endif]脚本编程学习
(推荐php和python,学php是方便看后台代码,学py是要写脚本)
选择脚本语言Perl/Python/PHP/Go/Java中的一种,对常用库进行编程学习。
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime,一些Sublime的技巧:SecWiki-Sublime;
Python编程学习,学习内容包含:语法、正则、文件、网络、多线程等常用库,推荐《Python核心编程》,不要看完;
用Python编写漏洞的exp,然后写一个简单的网络爬虫,可参见SecWiki-爬虫、视频;
PHP基本语法学习并书写一个简单的博客系统,参见《PHP与MySQL程序设计(第4版)》、视频;
熟悉MVC架构,并试着学习一个PHP框架或者Python框架(可选);
了解Bootstrap的布局或者CSS,可以参考:SecWiki-Bootstrap;
能独立分析脚本源码程序并发现安全问题。
熟悉源码审计的动态和静态方法,并知道如何去分析程序,参见SecWiki-审计;
从Wooyun上寻找开源程序的漏洞进行分析并试着自己分析;(不幸的是乌云关闭了,但是还是有些文档被人mark下来了)
了解Web漏洞的形成原因,然后通过关键字进行查找分析,参见SecWiki-代码审计、高级PHP应用程序漏洞审核技术;
研究Web漏洞形成原理和如何从源码层面避免该类漏洞,并整理成checklist。
能建立自己的安全体系,并能提出一些安全建议或者系统架构。
开发一些实用的安全小工具并开源,体现个人实力;
建立自己的安全体系,对公司安全有自己的一些认识和见解;
提出或者加入大型安全系统的架构或者开发;
附:本文引用了sec-wiki.com上的,写的挺好,我只是加了一点我暂时想到东西,不定期更新,欢迎各位大佬指正