web安全防护技术,web安全知识

　　了解基础知识《计算机网络》 《html学两天 段落、文本 js三四天》 《脚本语言 python php asp》 《apache等服务器搭建》 《sql语法》 《windows linux语法 安全设置 权限设置 用户管理 文件管理》 0755-79000

　　学习w3school基础知识，收集常用手册，并了解owasp top10

　　Web渗透侧重于sql注入、xss和csrf。

　　工具主要需要了解sqlmap、nmap、xray等。

　　Web安全入门

　　第一，多看，多收，多做。

　　第二，多和安全圈大佬交流(自己实践后尽量问思路，不要问太多细节)

　　三、从以下五层基础开始了解。

　　第一静态层

　　这个层次包括JS、html等。我们遇到的。可以横向延伸到漏洞方向：XSS、CSRF、jsonp跨域、clickjacking问题等。横向到组件方向：JQuery，vue。Js，node.js，angular.js…，等等。

　　第二个脚本层

　　这个层次包括asp，aspx，php，jsp，perl，cgi…等等。可横向扩展的漏洞包括：远程代码执行、文件包含、文件上传、逻辑漏洞、SQL注入……等等。可以横向扩展到组件的漏洞有：Zend Framework、ThinkPHP、CI、Strtus…等等。

　　第三层服务器(服务)层

　　这个层面包括Apache、Nginx、IIS…等等，可以横向扩展到漏洞方向：远程代码执行、文件解析漏洞、拒绝服务攻击、权限配置不当…等等。水平延伸的组件方向是每个服务器的扩展。

　　第四层DB(数据)层

　　这个层次包括SQL Server、Access、MySQL、Oracle、Postgresql…等等，可以延伸到漏洞方向：缓冲区溢出、未授权操作、配置不当、拒绝服务攻击…等等。水平延伸到分量方向是每个数据的特征。

　　第五层，OS(操作系统)层

　　上述所有模型前提都是通过操作系统建立服务来工作的。系统平台大致分为Windows和Linux，横向延伸的漏洞包括：本地权限提升、缓冲区溢出、远程代码执行、拒绝服务攻击等等。

　　第四，指定由浅入深的学习计划。

　　第五，多了解课程和思维导图，形成自己的知识体系。