学习路线

如果你是Web安全的新手,可能很难知道从哪里开始入手。这就是为什么我们创建了这个建议的学习路径,目的是为你指明正确的方向。我们建议你边学边完成实验,如果你遇到困难,不要害怕转到下一个主题。一旦你的技能得到进一步的发展,就可以到更有挑战性的实验中去。

服务器端主题

对于完全的初学者,我们建议从服务器端主题开始。这些漏洞通常更容易学习,因为你只需要了解服务器上发生的事情即可。我们的材料和实验将帮助你建立一些核心知识和技能,这些知识和技能将在以后的实践中起到重要作用。

  1. SQL注入

  2. 认证

  3. 目录遍历

  4. 命令注入

  5. 业务逻辑漏洞

  6. 信息泄露

  7. 访问控制

  8. 文件上传漏洞

  9. 条件竞争

  10. 服务器端请求伪造(SSRF)

  11. XXE注入

客户端主题

客户端漏洞引入了额外的复杂性,这可能会使它们略微更具挑战性。这些材料和实验将帮助你在已经学到的服务器端技能的基础上,教你如何识别和利用一些复杂的客户端载体。

  1. 跨站脚本(XSS)

  2. 跨站请求伪造(CSRF)

  3. 跨域资源共享(CORS)

  4. 点击劫持

  5. 基于DOM的漏洞

  6. WebSocket

进阶主题

这些主题并不一定较难掌握,但通常需要更深入的理解和更广泛的知识面。我们建议在解决这些实验之前,先掌握基础知识,其中一些是基于我们世界级研究团队发现的开创性技术。

  1. 不安全的反序列化

  2. GraphQL API漏洞

  3. 服务器端模版注入

  4. Web缓存投毒

  5. HTTP Host标头攻击

  6. HTTP请求走私

  7. OAuth认证

  8. JWT攻击

  9. 原型污染

  10. 基本技能

Previous译序NextWeb应用程序安全测试

Last updated