想学 Web 安全，请教学习路径

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 2192 天前的主题，其中的信息可能已经有所发展或是发生改变。

我是 985 渣硕一枚，女孩子一枚，本科学的是信息安全专业，学了防火墙、入侵检测、密码学等这些基本的安全课程，但是都已经忘完了，研究生没有接触安全，目前面临毕业，找的工作是 C++研发助理，但是个人对安全有兴趣，工作据说比较轻松，周末双休，想一边自己学习下 Web 安全，应该怎么去学习？有些什么推荐的网站。感谢各位

第 1 条附言 · 2018-11-05 15:17:20 +08:00

前面表述有点问题，我并不是想从事安全行业，我现在找了一份工作，并不是安全的，但是这份工作周末双休，也基本不加班，因此会有很多空余时间，想利用空余时间学习一下

安全

Web

密码学

渣硕

43 条回复 • 2024-02-23 11:27:50 +08:00

fcoolish

2018-11-05 11:10:19 +08:00

方向性问题应该问知乎，大二搞过一下信息安全，网站无非是 i 春秋，合天网安，实验楼这类在线学习实践的，还有些安全社区，很多我都忘了，所以建议去知乎看专业人士回答。

hx1997

2018-11-05 11:57:38 +08:00 via Android

同楼上，知乎搜索一下，我记得有些不错的回答。

CTF Wiki 可以看看： https://ctf-wiki.github.io/ctf-wiki/web/introduction/

zzNucker

2018-11-05 12:32:08 +08:00

我记得余弦有张技能图里面写的挺详细的。
然后之前知乎长短短有个 live

llllllLllll

2018-11-05 12:32:43 +08:00 via Android

看书 /网课，自己搭环境多练练手😄

llllllLllll

2018-11-05 12:35:54 +08:00 via Android

平时追一些 cve 和新漏洞，有机会复现一下，提高蛮大的

t6attack

2018-11-05 12:37:41 +08:00

我知道的有三类：
第一类：面向大众网民的。提供大量入侵教程、黑客工具、教学动画。
代表性网站：黑客基地、华夏黑客同盟、黑鹰基地、黑软基地、黑客动画吧。。。
代表性漏洞形式：SQL 注入漏洞。
ZF 对这类网站很反感，其中黑客基地、华夏黑客同盟，都被公安数次施压。黑客基地两任站长都在监狱里。黑鹰基地直接被公安查抄，全员被捕，服务器拎走。
https://www.aliyun.com/zixun/content/2_6_77974.html

第②类：面向专业人士的。需要你了解操作系统原理，汇编语言、软件分析逆向。
看雪、邪恶八进制、

第三类：漏洞报告平台。以乌云为代表。嗯。。。

wongskay

2018-11-05 12:38:59 +08:00

小姐姐要不要我教你，刚好我自己在整理这方面的东西。

easylee

2018-11-05 12:40:29 +08:00

楼上推荐的都很不错，在此推荐 91 日。

t6attack

2018-11-05 12:41:27 +08:00

没编辑完不小心发出来了。。唉，不写了。基本意思应该已经表达清楚了。

zzNucker

2018-11-05 12:45:20 +08:00

@t6attack 你上面说的这些基本上不是被关就是停更了。。。。。。。。

Sanko

2018-11-05 12:48:17 +08:00 via Android

最近刚发现的 bugku

Everyman

2018-11-05 12:49:46 +08:00

V2EX 里通常提到知乎都是在黑的，但不得不说你这类问题去看知乎的质量回答比在这里提问有用多了。

sfree2005

2018-11-05 12:55:42 +08:00 via Android

平时做 web app，服务器安全方面基本是运维搞掂，单纯安全的话就业开始可能比较窄。不如你可以先往运维方向，然后越做越专，有一定经验后，后期你基本就是可以做安全顾问了，那时候你就是指挥别人做，可能你就写写文档偶尔敲下命令了。

visonme

2018-11-05 13:05:27 +08:00

基本的 web 开发和数据库知识这块需要了解下
可以去 owasp 学到很多关于 web 安全的基础知识，攻击方式等等~
pediy 比较偏向系统安全，web 是后期起来的，所以这块知识可能不够丰富
phrack，最著名的黑客杂志，也可以看看，反正以前看的时候很少看到 web 这块的东西~

t6attack

2018-11-05 13:18:30 +08:00

@zzNucker 这正是我想表达的。一方面，ZF 对这类网站极不友好，甚至直接动用公安查抄做的最大的几家。导致剩下的网站风声鹤唳，要么主动关停、要么不再更新。入侵教程也大量删除。
另一方面，分享的时代已经过去了。技术趋于垄断和封闭。这导致网上能学到的东西很少了。
关于 web 安全知识，最新最全的，其实就是乌云，其历史漏洞列表，几乎囊括了所有的 web 漏洞形式。可惜也没有然后了。

想学习，建议买书看。比如《白帽子讲 Web 安全》。

phpinfos

2018-11-05 13:52:10 +08:00

web 安全入门很快的，杂乱点的话，去乌云镜像站刷刷别人提交的漏洞，同时打好编码的基础。
来这里看看，Github 上搜：Web-Security-Learning
p 牛的 vulhub 练手很方便，Github 上搜：vulhub
或者更系统的去学习。

Greenm

2018-11-05 15:01:43 +08:00

楼上说都都很多了，安全从业者来给你泼瓢凉水。

你说自己本科就是安全专业，如果真的有兴趣为什么那个时候不学呢，研究生根本没接触，现在才开始有点晚了。
另外，你提到安全行业好像轻松很多，有双休，所以你才想做安全，我就恶意的揣测一下你的动机，你并不是真的喜欢安全，你只是不想做开发那么累的工作（猜的不对的话我道歉）。

俗话说，光看贼吃肉，没看贼挨打。要是有这样轻松的工作，为啥安全行业人才还是那么少呢，为啥工资还高呢？

我建议你把安全当个爱好还是不错的，临时抱佛脚找安全工作还是算了吧，没戏。