# 学习路线 如果你是Web安全的新手,可能很难知道从哪里开始入手。这就是为什么我们创建了这个建议的学习路径,目的是为你指明正确的方向。我们建议你边学边完成实验,如果你遇到困难,不要害怕转到下一个主题。一旦你的技能得到进一步的发展,就可以到更有挑战性的实验中去。 ## 服务器端主题 对于完全的初学者,我们建议从服务器端主题开始。这些漏洞通常更容易学习,因为你只需要了解服务器上发生的事情即可。我们的材料和实验将帮助你建立一些核心知识和技能,这些知识和技能将在以后的实践中起到重要作用。 1. [**SQL注入**](/wsa/server-side/sql-injection.md) 2. [**认证**](/wsa/server-side/authentication.md) 3. [**目录遍历**](/wsa/server-side/file-path-traversal.md) 4. [**命令注入**](/wsa/server-side/os-command-injection.md) 5. [**业务逻辑漏洞**](/wsa/server-side/logic-flaws.md) 6. [**信息泄露**](/wsa/server-side/information-disclosure.md) 7. [**访问控制**](/wsa/server-side/access-control.md) 8. [**文件上传漏洞**](/wsa/server-side/file-upload.md) 9. [**条件竞争**](/wsa/server-side/race-conditions.md) 10. [**服务器端请求伪造(SSRF)**](/wsa/server-side/ssrf.md) 11. [**XXE注入**](/wsa/server-side/xxe.md) ## 客户端主题 客户端漏洞引入了额外的复杂性,这可能会使它们略微更具挑战性。这些材料和实验将帮助你在已经学到的服务器端技能的基础上,教你如何识别和利用一些复杂的客户端载体。 12. [**跨站脚本(XSS)**](/wsa/client-side/cross-site-scripting.md) 13. [**跨站请求伪造(CSRF)**](/wsa/client-side/csrf.md) 14. [**跨域资源共享(CORS)**](/wsa/client-side/cors.md) 15. [**点击劫持**](/wsa/client-side/clickjacking.md) 16. [**基于DOM的漏洞**](/wsa/client-side/dom-based.md) 17. [**WebSocket**](/wsa/client-side/websockets.md) ## 进阶主题 这些主题并不一定较难掌握,但通常需要更深入的理解和更广泛的知识面。我们建议在解决这些实验之前,先掌握基础知识,其中一些是基于我们世界级研究团队发现的开创性技术。 18. [**不安全的反序列化**](/wsa/advanced/deserialization.md) 19. [**GraphQL API漏洞**](https://github.com/0xf4n9x/Web_Security_Academy-zh/blob/master/advanced/graphql/README.md) 20. [**服务器端模版注入**](/wsa/advanced/server-side-template-injection.md) 21. [**Web缓存投毒**](/wsa/advanced/web-cache-poisoning.md) 22. [**HTTP Host标头攻击**](/wsa/advanced/host-header.md) 23. [**HTTP请求走私**](/wsa/advanced/request-smuggling.md) 24. [**OAuth认证**](/wsa/advanced/oauth.md) 25. [**JWT攻击**](/wsa/advanced/jwt.md) 26. [**原型污染**](/wsa/advanced/prototype-pollution.md) 27. [**基本技能**](/wsa/advanced/essential-skills.md) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://web-sec.gitbook.io/wsa/learning-path.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.