Web安全不仅是互联网的核心，而且还是云计算和移动互联网的最佳载体。对于信息安全从业者而言，Web安全是一个非常重要的研究课题之一。

Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用，社交网络、聊天工具、网络购物等一系列新型产品也先后诞生，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注。此时，如果Java、PHP、ASP等程序语言的编程人员的安全意识不足，对程序参数输入检查不严格等，会导致Web应用安全问题层出不穷。

目前来看，常见的Web漏洞Top 10主要有：

1、SQL注入漏洞

2、跨站脚本漏洞

3、弱口令漏洞

4、HTTP报头追踪漏洞

5、Struts2远程命令执行漏洞

6、文件上传漏洞

7、私有IP地址泄露漏洞

8、未加密登录请求

9、敏感信息泄露漏洞

10、CSRF

对于以上常见的Web漏洞，主要从以下几个方面进行防御：

1、Web应用开发者

Web应用开发者应该树立很强的安全意识，开发中编写安全代码；对用户提交的URL、查询关键字、HTTP头、POST数据等进行严格的检测和限制，只接受一定长度范围内、采用适当格式及编码的字符，阻塞、过滤或者忽略其它的任何字符。通过编写安全的Web应用代码，可以消除绝大部分的Web应用安全问题。

2、Web网站管理员

Web网站管理员应该及时跟踪并安装最新的、支撑Web网站运行的各种软件的安全补丁，确保攻击者无法通过软件漏洞对网站进行攻击；同时Web网站管理员应该对网站各种软件配置进行仔细检测，降低安全问题的出现可能，以及应该定期审计Web服务器日志，检测是否存在异常访问，及早发现潜在的安全问题。

可以看出，Web攻击防御是一个长期持续的工作。随着Web技术的发展和更新，Web攻击手段也不断发展，针对这些最新的安全威胁，需要及时调整Web安全防护策略，确保Web攻击防御的主动性，使Web网站在一个安全的环境中为企业和客户服务。虽然信息安全的学习方向繁多，但Web安全是一个很好的入门方向，对于初学者来说，以下四点是必须要掌握的。

1、熟悉相关知识

Web知识覆盖面丰富广泛，既然是零基础，那么首先就需要了解相关知识和工具，熟悉基本概念，如sql注入、xpath注入、xss、csrf、逻辑漏洞、社会工程学攻击、webshell 、菜刀、0day 、上传漏洞、一句话木马等，了解AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan、Msf等相关工具的使用。

2、脚本编程学习

熟练掌握一门编程语言，选择脚本语言JS/Perl/Python/PHP/Go中的一种，对语法、正则、文件、网络、多线程等常用库进行编程学习，试着用Python编写漏洞的exp，然后写一个简单的网络爬虫，熟悉渗透的整个阶段并能够独立渗透小型站点。在这个阶段，要多看渗透、SQL注入、dedecms漏洞等相关视频，多思考其中的原理和思路，同时隐蔽自己搭建开发环境进行合理的实践测试。

3、关注安全动态

随时关注国内外安全圈的最新漏洞、安全事件与技术文章，多关注黑客论坛、安全技术类的网站、知乎专栏、微信公众号、博客等，参阅书籍也是必不可少的入门资料，在校大学生还可关注一些比赛，如全国大学生信息安全竞赛、腾讯信息安全争霸赛(TCTF)等。现在大部分安全圈的技术分享都集中在各个安全论坛、网站，作为入门，很多黑客网站也是值得实战学习的。

4、Web漏洞分析

熟悉源码审计的动态和静态方法，寻找开源程序的漏洞试着进行分析，发现安全问题，了解Web漏洞的形成原因，然后通过关键字进行查找分析，研究Web漏洞形成原理和如何从源码层面避免该类漏洞，建立自己的安全体系，并提出一些安全建议或者系统架构，开发一些实用的安全小工具并开源。

随着Web技术不断发展创新，Web安全已经成为信息安全中的一个重要分支，关注度也逐渐提升，对于“初学小白”而言，通过知识、经验、实战的积累与融会贯通，才能在Web安全领域走出一条属于自己的道路。

总的来说，学习 Web 安全需要一定的计算机基础和技术功底，需要耐心和努力去学习和实践。在学习过程中，要保持好奇心和求知欲，不断深入学习和探索，才能更好地成为一名优秀的 Web 安全专业人员。

1.学习路线
这个方向更符合于大部分人对“黑客”的认知，他们能够黑手机、黑电脑、黑网站、黑服务器、黑内网，万物皆可黑（当然是要有授权的，不然进橘子我可不管），这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：

学习资料工具包
压箱底的好资料，全面地介绍网络安全的基础理论，包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等，将基础理论和主流工具的应用实践紧密结合，有利于读者理解各种主流工具背后的实现机制。

面试题资料

 需要资料的小伙伴，评论区留言！