Web安全学习路线 | 附干货

学习基础 时间：1 ~ 2周：

① 在此期间，我们将掌握基本概念，如SQL注入、XSS、文件上传、CSRF、一句话木马及常见的后台管理系统。通过Google搜索获取相关资料，为后续的WEB渗透测试奠定基础。② 查阅论坛中的Web渗透资料，学习案例分析的思路。每个网站都有独特性，因此思路至关重要。③ 掌握提问的技巧，遇到问题时学会如何有效提问。

配置渗透环境 时间：3 ~ 4周：① 熟悉渗透测试常用工具，如AWVS、SQLMAP、NMAP、APPSCAN、BURP、中国菜刀等。② 下载并安装这些工具的无后门版本，制作工具包，推荐使用Rolan。③ 了解这些工具的应用场景，学习基本操作，建议在Secwiki或Google上查找相关资料。

渗透实战操作 时间：约6周：① 搜索并研究渗透实战案例，深入理解SQL注入、文件上传、解析漏洞等在实际操作中的应用。② 自己搭建漏洞测试环境，推荐使用DVWA、SQLi-labs、Upload-labs、bWAPP。③ 了解渗透测试的各个阶段，学习每一阶段应采取的行动，例如PTES渗透测试执行标准。④ 深入学习手工SQL注入，探索绕过WAF的方法，并编写自己的脚本。⑤ 研究文件上传的原理，学习如何进行截断、双重后缀欺骗（IIS、PHP）、解析漏洞利用（IIS、Nginx、Apache）等，参考上传攻击框架。⑥ 掌握XSS形成原理和类型，在DVWA中进行实践，使用含有XSS漏洞的CMS，安装安全狗等进行测试。⑦ 了解一句话木马，并尝试编写过狗一句话。⑧ 研究在Windows和Linux下的权限提升，Google关键词：提权。

经常浏览网络安全相关网站 时间：∞① 例如：Freebuf、i春秋、安全客、看雪、91Ri.org、Sec-wiki、安全脉搏、Sec圈子社区、T00ls论坛等。② 将有价值的文章转载到自己的博客。

熟悉Windows & Kali Linux 系统 时间：2 ~ 4周① 了解Windows系统常用命令，如：ipconfig, nslookup, tracert, net, tasklist, taskkill等。② 熟悉Linux系统常用命令，如：wget、mv、cd、rm、mkdir等。③ 掌握Kali Linux系统下的常用工具，推荐观看安全牛课堂上苑房弘老师的Kali课程（建议1.5倍速播放），可参考SecWiki、《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等。

学习服务器的安全配置 时间：约4周① 了解03、08、12系统下IIS的基本配置，学习Windows下的目录权限（例如IIS写权限），建立一个简单的站点。② 了解Linux的运行权限、跨目录、文件夹权限，学会配置Linux Web服务器，并建立一个简单的站点。③ 使用自动化工具扫描已建立的站点，并通过Google学习修补漏洞的方法。④ 学会打补丁、使用iptables限制端口、添加规则等。⑤ 下载并熟悉一款WAF软件的使用。

DeepBrain

AI视频生成工具，ChatGPT +生成式视频AI =你可以制作伟大的视频!

94

查看详情

学习一些编程知识 时间：约8周① 在w3cschool上学习HTML、PHP、数据库的基础，每种语言学习到第8节即可。② 学习Python（也可以是其他语言，但强烈推荐Python），要求学习：爬虫（基础）、多线程、文件操作、正则表达式（基础）及一些常用的第三方库，可能需要安装pip。③ 使用Python编写一个简单的PoC或Exp。④ 开发一些渗透时会用到的程序，例如：端口扫描等。⑤ 选择一个PHP框架进行学习，但不要深入研究。

学习代码审计 时间：4 ~ 6周① 了解代码审计的静态和动态方法，学习如何分析程序。② 在乌云镜像中找到开源的漏洞程序，按照学习方法进行分析，尝试自己分析3~5次代码。③ 了解Web漏洞形成的原因，熟悉常见漏洞函数。

安全体系开发 时间：∞① 开发一些安全工具，并将其开源，托管到码云或GitHub上，展示个人实力。② 建立自己的安全体系，形成独立的思路和方法。

PTES执行标准

https://www.php.cn/link/80088112c1b2f1ef9063e0f8ed2f9fe0

以上就是Web安全学习路线 | 附干货的详细内容，更多请关注php中文网其它相关文章！