原标题:这半年学习 Web 安全的一点心得体会
来自公众号: 信安之路
大家好,我是 Mirror(王宇阳),专科在读的大二学生;接触信安时间不长,大佬多多指教。信安之路成长平台网站开放后我就在双十一那天积极注册、上传报告,目的就是希望自己的笔记可以和更多人分享;到目前为止我上传了 12 份报告,总共获得 106 分。这段时间可以说是我踏入信安的见证吧!
大学我的专业是“Web 前端开发”,高中我学习的是 C 语言,庆幸自己有 C 语言的基础,大一我在网络“广告”的轰击和自学自救中,先接触 Python 后接触 Java,期间 HTML+CSS+Java 都有接触;虽心向往“信安”但是没有真正意义上的学习。
随后我加入了“信安之路成长平台”,找到了适合自己的学习平台;下面是我之前学习编写的报告:
在一开始,我把学习报告当做一个“任务”去完成,报告内容拓展的很少,在实践过程中完全属于“照葫芦画瓢”的学习,这种学习方法对于提高我自身的技术能力帮助不大;后来我逐渐转变了学习方法,不再照葫芦画瓢,“先看、再研究、最后实践”,这样我就可以在完全了解知识点后,依靠自己掌握的知识去实现:文件上传、包含漏洞、SQL 漏洞环境的搭建、SQL 注入 Payload 和手工注入、XSS 漏洞环境的搭建等学习报告,结果也佐证了这种学习方法可以更好的提升学习的效率,消化吸收的知识更多;在这段时间的学习过程中,发现自己的编程能力还有所欠缺,日后我还是需要再提高自身的编程能力。
一味的学习书上的技术知识点,不实践是万万不可的,”实践是检验学习成果的方法“;当然黑网站是万万不可的,不然警察叔叔的茶会很苦的!但是可以选择 CTF,遗憾的是学校的限制,不允许这类的社团和协会的存在,无法在校内找到志同道合的小伙伴一起,去年没有参加 CTF 的机会和时间;根据大佬的建议去做了几个网站的 web 题和少部分的 CTF 比赛题库,收获很多,在 CTF 赛题中可以将平时学习到的基础知识点充分利用起来,有时候还能发现题目的一些奇葩之处,在看完别人的 WriteUp 后,感觉自己好“菜”;除此之外还通过做题学会很多书本之外的知识和思路。
对于初学者而言,“基础”还是非常的重要的,不能排斥书本上一些知识细节,也许那些内容就是一个骚套路;比如我昨天遇到一个题目是 XSS,但是每一次后台只接受 20 个字符,内容可以重复提交且保留,我一直想不出办法,于是翻开一本关于 XSS 的书《XSS 跨站脚本攻击剖析与防御》,找了很久没发现,但是当我仔细看 XSS 构造的那一章的时候看见了“拆分跨站法“,茅塞顿开呀!
知识积累和分享是必要的!写技术博客会是个很好的选择,不但可以将自己的学习经历和计划记录下来并进行积累,还可以提升自己的文笔。一开始我没有意识到博客文章的重要,但是后来我越发的认为博客是一个很好的载体。
我在 2018 年年底在“博客园”开了一个博客账号,把自己的 Python 学习、Java 学习的笔记发表在上面;接触信安之后,也开始在博客中写信安方面的文章和笔记,这是一个成长的过程,而博客就是见证这个过程最好的存在。当然信安之路成长平台也是一个很好的成长过程记录的平台。
博客地址:
https://www.cnblogs.com/wangyuyang1016
2020 年,我的学习计划和目标如下:
1、继续学习 Web 安全,争取参加 CTF 比赛积累 Web 安全的经验;同时向渗透测试的学习迈进。
2、提高代码编写能力,可以更高的学习代码审计。
3、紧跟信安之路成长平台的方向,继续学习。
—— 学习重在坚持,坚持是一种可贵的精神。
●编号1071,输入编号直达本文返回搜狐,查看更多
责任编辑:
京公网安备 11010802041100号