程序员,想学习 web 安全,从 owasp 入手怎么样?有有经验的大佬给点建议吗?
wwhontheway · 2021-08-29 20:06:46 +08:00 via Android · 2777 次点击这是一个创建于 1183 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
onice 2021-08-29 22:52:32 +08:00
|
 |
2
lneoi 2021-08-29 22:57:12 +08:00
挖 src 开始?
|
 |
3
triplelift 2021-08-29 23:30:32 +08:00
web 安全有搞头吗,现在成熟的框架不会给你太多机会了吧。不如做逆向工程,小到普通的加密加壳破解,恶意软件行为分析,大到 cfg recovery, obfuscation 之类偏学术的东西,可以钻研深入的太多了。
|
 |
4
darknoll 2021-08-30 08:42:36 +08:00
@triplelift 都没什么人做桌面应用了
|
 |
5
User9901 2021-08-30 11:56:26 +08:00  1
理论基础:
TCP/IP 学透 HTML+JavaScript+php+java+python 等等等等 读得懂、改的动 B/S+C/S 架构整明白 经验积累: 大量阅读漏洞复现文章、跟着动手本地做复现 大量阅读代码审计文章、记住重点自己尝试审计 大量阅读 hackerone 挖掘 SRC 公开案例、记住重点自己尝试挖掘 大量实战(SRC 挖掘(学习还能赚钱)、CTF(玩玩就好))+笔记(好记性不如烂笔头) 安全分支这么多,想集中精力在一个点上并且精准输出高质量成果以达到最大化效益的目的? 学代码审计、做代码审计。其他都是弟弟。 毕竟安全的饭,就是开发的锅。 有兴趣可以加好友,一起学习。 |
|
6
onice 2021-08-31 20:59:08 +08:00
@darknoll 只要有人用操作系统,就一定会有人写恶意代码。只要有恶意代码,逆向工程就有用处。我是搞 web 的,觉得 web 才是真的没搞头了,现代开发框架已经从设计上,就避免了很多安全问题了。以后想学习逆向。
|
 |
10
wwhontheway OP @onice 主要是觉得二进制安全门槛有点高。想了解一些安全方面的,可能 web 入门简单一些。
|
|
11
triplelift 2021-09-02 12:09:13 +08:00
@darknoll 现在逆向工程主要场景是移动端
@wwhontheway 二进制分析不是难,只是非常繁琐,而且体系庞大,知识面广,没耐心的人可能搞几天就砸键盘了 web 安全真没搞头,我做前端的我都看不上,和前端沾边的东西总是有一群水平一般的人在那里自嗨 |
Select Language