程序员,想学习 web 安全,从 owasp 入手怎么样?有有经验的大佬给点建议吗?

2021-08-29 20:06:46 +08:00
 wwhontheway
2734 次点击
所在节点    信息安全
13 条回复
onice
2021-08-29 22:52:32 +08:00
lneoi
2021-08-29 22:57:12 +08:00
挖 src 开始?
triplelift
2021-08-29 23:30:32 +08:00
web 安全有搞头吗,现在成熟的框架不会给你太多机会了吧。不如做逆向工程,小到普通的加密加壳破解,恶意软件行为分析,大到 cfg recovery, obfuscation 之类偏学术的东西,可以钻研深入的太多了。
darknoll
2021-08-30 08:42:36 +08:00
@triplelift 都没什么人做桌面应用了
User9901
2021-08-30 11:56:26 +08:00
理论基础:

TCP/IP 学透
HTML+JavaScript+php+java+python 等等等等 读得懂、改的动
B/S+C/S 架构整明白

经验积累:
大量阅读漏洞复现文章、跟着动手本地做复现
大量阅读代码审计文章、记住重点自己尝试审计
大量阅读 hackerone 挖掘 SRC 公开案例、记住重点自己尝试挖掘
大量实战(SRC 挖掘(学习还能赚钱)、CTF(玩玩就好))+笔记(好记性不如烂笔头)

安全分支这么多,想集中精力在一个点上并且精准输出高质量成果以达到最大化效益的目的?

学代码审计、做代码审计。其他都是弟弟。

毕竟安全的饭,就是开发的锅。

有兴趣可以加好友,一起学习。
onice
2021-08-31 20:59:08 +08:00
@darknoll 只要有人用操作系统,就一定会有人写恶意代码。只要有恶意代码,逆向工程就有用处。我是搞 web 的,觉得 web 才是真的没搞头了,现代开发框架已经从设计上,就避免了很多安全问题了。以后想学习逆向。
echome
2021-08-31 23:33:23 +08:00
@onice 老哥先要吃透,不要快速换航道
echome
2021-08-31 23:33:42 +08:00
@User9901 你这些话是不是之前给我说过!
echome
2021-08-31 23:34:29 +08:00
@User9901 dalao 加个好友 ?
wwhontheway
2021-09-01 12:55:28 +08:00
@onice 主要是觉得二进制安全门槛有点高。想了解一些安全方面的,可能 web 入门简单一些。
triplelift
2021-09-02 12:09:13 +08:00
@darknoll 现在逆向工程主要场景是移动端
@wwhontheway 二进制分析不是难,只是非常繁琐,而且体系庞大,知识面广,没耐心的人可能搞几天就砸键盘了

web 安全真没搞头,我做前端的我都看不上,和前端沾边的东西总是有一群水平一般的人在那里自嗨
User9901
2021-09-06 15:24:41 +08:00
@echome 你发吧,我加你
echome
2021-09-07 22:39:03 +08:00
@User9901 WU9MT19TdGFydHI0Y2s=

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/798696

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX