前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >web前端也想做黑客?别逗我,先学好web安全再说

web前端也想做黑客?别逗我,先学好web安全再说

作者头像
闰土大叔
发布2018-12-24 15:57:59
2.3K0
发布2018-12-24 15:57:59
举报
文章被收录于专栏:闰土大叔

听说,看土哥的文章会上瘾

我司前端话题多

昨天,我司有前端同事跟我闲聊,问我,“土哥,你懂web前端黑客技术吗?” What?听完我吃了一惊,“怎么突然问我这个问题?” 他说他最近在看一本书,叫web前端黑客技术揭秘,封面就是下面这张图,这两天都入迷了。

我说,那你懂Web前端安全跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持吗?他摇了摇头,表示之前只是有所耳闻。我跟他讲,别闹哥们,真想学web前端黑客技术,你得先搞懂Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些就够你琢磨一阵了。

说完这些,然后我同事陷入了沉思...... 说实话,每一个从事编程的码农心中,几乎都有一个「当黑客」的梦。土哥也不例外,从入行之日起,土哥就梦想着有朝一日,能像电影「黑客帝国」里面的hacker一样,游走于互联网的另一个世界。那个世界,我叫它暗网

既然喜欢,有空就去研究

互联网进入下半场,竞争越发的激烈,能与人工智能比肩的热门职业已然不多。而互联网越发达,各大企业所面临着各种网络安全问题会越发的严峻,Web安全工程师的人才缺口仍在不断扩大。经济理论揭示了需求大于供给时,供给方必然涨价的市场定论,也为此奠定了Web安全工程师高薪资的市场基础。

安全技术是一个完全可量化的技能,随着Web安全技能的不断提升,可预见的月均薪资水准也将水涨船高。

图1: Web安全工程师整体月均薪资分布

Web安全工程师必备技能

一名合格的Web安全工程师是要具备很多的知识点,不但要对网站架构熟悉,通讯协议,测试流程与测试工具使用,漏洞利用脚本编写,还有需要经验的积累等,每一项能力中都是需要精心细琢,深度研究,才能进阶到一个更高的程度,过程中少不了前辈的引导、个人的努力和坚持。

1、基础网络协议/网站架构

互联网的本质也就是一系列的网络协议,不管是C/S架构还是B/S架构都是基于网络通信,渗透人员需要了解到通信流程以及数据包走向等,才能使用相应手段跟工具去做渗透。Web网站常见的协议以及请求方式,这些在做渗透的时候必不可少的。甚至也是可以利用协议来做渗透测试。所有的知识都是息息相关的,必不可少。

2、基础的编程能力

一名Web渗透测试人员必须具有有一定的基础编程能力的,每天都跟代码打交道,如果不会写代码或者看不懂代码,十分吃亏。例如需要自己写一款适合此刻情景漏洞的工具,如果不会写会极大降低效率。再者就是关于后续进阶的代码审计问题,如果不会写代码,代码也看不懂那么就不知道怎么从源代码去审计漏洞去发现原因。对于只会利用工具的渗透人员跟会写代码的渗透测试人员来说,在遇到某种情况下,优势一下就能体现出来了。

3、渗透测试工具

渗透测试工具网上开源的很多,作为渗透测试人员会使用渗透测试工具这是必不可少的。一些优秀的工具要学会利用,还有就是要学会自己写工具。例如在做渗透测试中,好比说大量的数据FUZZ,如果说人工操作将大大浪费时间跟效率。如若网上的工具不符合此漏洞的情景,这时候就需要自己手动写工具去调试。当然网上优秀的工具已不少,优先使用会极大提高我们的效率。

4、了解网站的搭建构成

试着去了解一个网站的形成架构,语言,中间件容器等。如果不知道一个网站是如何搭建起来的,那么做渗透的时候根本就没有对应的渗透测试方案。例如一个网站采用了某种中间件,或者什么数据库,再或者是采用网上开源的CMS。如果对于这些不了解,那么就只能在网页上徘徊游走,甚至无从下手。了解一个网站的搭建与构成,对于自己前期做踩点与信息收集有着很大的帮助,才能事半功倍。

5、漏洞原理(重要)

渗透测试人员肯定是要对漏洞原理去深入研究探究,这样会从中发现更多有“趣”的东西。所有有“趣”的东西是可能你在原有的基础漏洞上配合其他漏洞,从而达到组合漏洞,这样效果有可能会更佳,不过不去了解漏洞原理,漏洞产生,不去从代码层出发,那就不知道漏洞起因,到后期的渗透利用以及修复方案,就会显得吃力,这时候有可能你就需要去查资料,从某种形式的降低了速度与效率,所以,知识与积累必不可少。

6、报告撰写能力

每次做完渗透测试之后,都是需要一个渗透测试报告,所以报告撰写能力也是不可缺。对于自己漏洞挖掘的梳理,网络结构印象加深,这是后期与客户沟通还有与开发对接提修复建议能起到很大的帮助,这些细小的细节决定着你服务的质量与你的责任感,所以这些都是需要不断的积累与提升的一个过程。

入门Web安全工程师的学习建议

对于想要入门Web安全的同学来说,学习过程中,尤其是前期学习千万不要放弃。同时,学习的过程中要记录图文并茂的笔记。作为知识的积累,最重要的进行实践,实践,实践!在实践中发现问题,解决问题,安全非一朝一夕之事。

如果你有兴趣入门Web安全,以下的几本书籍资源可以推荐给你:

1.《白帽子讲Web安全》

2.《白帽子讲浏览器安全》

3.《Sql注入攻击与防御》

4.《XSS跨站脚本攻击剖解与防御》

5.《一本书读懂TCP/IP》

6.《Metasploit渗透测试指南》

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-12-04,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 闰土小叔 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
网站渗透测试
网站渗透测试(Website Penetration Test,WPT)是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权,采用可控制、非破坏性质的方法和手段发现目标和网络设备中存在弱点,帮助管理者知道自己网络所面临的问题,同时提供安全加固意见帮助客户提升系统的安全性。腾讯云网站渗透测试由腾讯安全实验室安全专家进行,我们提供黑盒、白盒、灰盒多种测试方案,更全面更深入的发现客户的潜在风险。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档