web服务器安全，我是刚入行网络安全的学生，请问Web安全的方向选择，怎么入门

我是泰瑞聊科技域名备案域名备案，很荣幸来回答此问题，希望我的回答能对你所有帮助web服务器安全！web服务器安全，我是刚入行网络安全的学生，请问Web安全的方向选择，怎么入门观点：结合我自身的经验，我给您分享一下我的学习路线、学习的课程以及在工作中的成长路径。1、给你入门学习路线：在入门学习时，建议由浅到深，而且是先学习基础课程，比如Web开发，框架设计等，然后再逐步学习Web代码规范与审计、Web渗透与审计等课程，最后结合实际案例进行代码层面的审视与演练。2、给你推荐几门课程：这几门课程是我几年前经常学习的，建议你也仔细阅读和学习。包括《白帽子讲Web安全》、《Web前端黑客技术揭秘》、《企业级Web代码安全架构》、《Web安全深度剖析》、《黑客攻防技术宝典》、《白帽子浏览器安全》、《无线电安全攻防大揭秘》、《硬件安全攻防大揭秘》、《智能硬件安全》、《Android安全攻防权威指南》、《Android软件安全与逆向分析》。3、给你未来成长路径：Web前端开发、Web前端架构、Web网络安全、Web渗透等。Web安全很吃香随着移动互联网、大数据、人工智能、物联网等创新型技术驱动时代的发展，基于Web环境的互联网应用越来越繁多，广泛涉及人们的工作与生活，同时企业信息化建设的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是Web安全威胁的凸显，黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。与此同时，安全问题的主体发生着复杂的变化，大家也越来越感觉到web安全问题带来的灾难，而传统的渗透测试的人员，已无法适应新型技术和应用的环境和要求。故而新时代下的安全问题集中爆发，于是乎，就有了Web安全等这类掌握技术较全面，应用场景见识广的新型渗透安全人员的需求。那对于刚入门Web安全的同学该如何学习和未来就业呢？Web安全常见的包括哪些对Web服务器的攻击也可以说是形形色色、种类繁多，常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。下面以其中三个典型且重要的做一下说明：SQL注入：即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。跨站脚本攻击(也称为XSS)：指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。网页挂马：把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面，再加代码使得木马在打开网页里运行。当然除了这三个典型的，还有很多，在这里就不一一赘述了。做Web安全需要掌握哪些内容1、基础网络协议/网站架构不管是C/S架构还是B/S架构都是基于网络通信，需要了解通信流程以及数据包走向等，才能使用相应手段跟工具去做渗透。Web网站常见的协议以及请求方式，这些在做渗透的时候必不可少的。甚至也是可以利用协议来做渗透测试。2、基础的编程能力一名Web渗透测试人员必须具有一定的基础编程能力的，如果不会写代码或者看不懂代码，这个是很难做好的。例如需要自己写一款适合此刻情景漏洞的工具，如果不会写会极大降低效率。再者就是关于后续进阶的代码审计问题，如果不会写代码，代码也看不懂那么就不知道怎么从源代码去审计漏洞去发现原因。对于只会利用工具的渗透人员跟会写代码的渗透测试人员来说，在遇到某种情况下，优势一下就能体现出来了。3.、渗透测试工具渗透测试工具网上开源的很多，作为渗透测试人员会使用渗透测试工具这是必不可少的。一些优秀的工具要学会利用，还有就是要学会自己写工具。例如在做渗透测试中，好比说大量的数据FUZZ，如果说人工操作将大大浪费时间跟效率。如若网上的工具不符合此漏洞的情景，这时候就需要自己手动写工具去调试。当然网上优秀的工具已不少，优先使用会极大提高我们的效率。4.、了解网站的搭建构成试着去了解一个网站的形成架构，语言，中间件容器等。如果不知道一个网站是如何搭建起来的，那么做渗透的时候根本就没有对应的渗透测试方案。例如一个网站采用了某种中间件，或者什么数据库，再或者是采用网上开源的CMS。如果对于这些不了解，那么就只能在网页上徘徊游走，甚至无从下手。了解一个网站的搭建与构成，对于自己前期做踩点与信息收集有着很大的帮助，才能事半功倍。5、漏洞原理渗透测试人员肯定是要对漏洞原理去深入探究，这样会从中发现更多有“趣”的东西。所有有“趣”的东西是可能你在原有的基础漏洞上配合其他漏洞，从而达到组合漏洞，这样效果有可能会更佳，如果不去了解漏洞原理，漏洞产生，不去从代码层出发，那就不知道漏洞起因，到后期的渗透利用以及修复方案，就会显得吃力，这时候有可能你就需要去查资料，从某种形式的降低了速度与效率，所以说，知识积累必不可少。6、报告撰写能力每次做完都需要撰写渗透测试报告，所以报告撰写能力也是不可或缺的。对于自己漏洞挖掘的梳理，网络结构印象加深，这是后期与客户沟通还有与开发对接提修复建议能起到很大的帮助，这些细小的细节决定着你服务的质量与你的责任感，所以这些都是需要不断的积累与提升的一个过程。总结总之，建议你按照我开篇的给你的建议，按照既定路线进行学习、实践以及未来走向相应岗位做出贡献，并不断提升自己，成就梦想。信息创造价值，学习使人进步。我是泰瑞聊科技，为您打开科技生活，感谢您阅读与关注！