비교적으로 쉬운 웹보안 입문부터 시작하실 수 있습니다.
웹 보안을 배우려면 웹 보안 관련 개념, 침투 테스트 관련 도구, 실제 침투 작업, Windows/Kali Linux에 대한 익숙함, 미들웨어 및 서버의 보안 구성, 스크립트 프로그래밍 학습, 소스 코드 감사 및 취약점 분석이 필요합니다. , 보안시스템 설계 및 개발 등
간단한 학습 계획 세우기:
1단계: 웹 보안 관련 개념
권장 학습 시간: 2주
학습 내용 다음:
1. 기본 개념(SQL 삽입, 업로드, XSS, CSRF, 한 문장 트로이 목마 등)을 숙지하세요.
2. 키워드(SQL 삽입, 업로드, XSS, CSRF, 한 문장 트로이목마 등)를 통해 Google에 검색합니다.
3. 입문 연구로 "웹 보안 심층 분석"을 읽어보세요.
4. 실제 침투의 전체 과정을 이해하려면 침투 노트/비디오를 시청하세요(침투 노트, 침투 프로세스, 침입 프로세스 등).
2단계: 침투 관련 도구 익히기
권장 학습 시간: 3주
학습 내용은 다음과 같습니다.
1. AWVS, Sqlmap, Burpsuite, Nessus, China Chopper, Nmap, Appscan 및 기타 관련 도구에 익숙합니다.
2. 이러한 유형의 도구의 목적과 사용 시나리오를 이해합니다.
3. 백도어가 없는 소프트웨어 버전을 다운로드하여 설치하세요.
4. 학습하고 사용하세요. Burpsuite 튜토리얼, Sqlmap과 같은 특정 교육 자료를 i Chunqiu에서 검색할 수 있습니다.
5. 일반적으로 사용되는 소프트웨어를 익힌 후 Sonic Startup을 설치하여 침투 도구 상자를 만들 수 있습니다.
3단계: 실용적인 침투 작업
제안 학습 시간 : 5주
학습 내용은 다음과 같습니다.
1. 침투의 전체 단계를 마스터하고 소규모 사이트를 독립적으로 침투할 수 있습니다.
2. 온라인에서 침투 영상을 찾아보고 아이디어와 원리, 키워드(침투, SQL 주입 영상, 파일 업로드 침입, 데이터베이스 백업, Dedecms 취약점 악용 등)를 생각해 보세요.
3. 자신의 사이트를 찾고 테스트를 위한 테스트 환경을 구축하세요.
4. PTES 침투 테스트 실행 표준과 같이 침투의 주요 단계와 각 단계에서 수행해야 하는 작업에 대해 생각해 보세요.
5. SQL 주입의 유형, 주입 원리 및 수동 주입 기술을 학습합니다.
6. 파일 업로드 원리, 취약점 잘라내기, 구문 분석 및 악용 방법 등을 연구하고 업로드 공격 프레임워크를 참조하세요.
7. XSS 형성의 원리와 유형을 연구합니다. 구체적인 학습 방법은 i Chunqiu에서 검색할 수 있습니다.
8. Windows/Linux 권한 상승의 방법과 구체적인 용도를 알아보려면 권한 상승을 참조하세요.
9. 참고할 수 있는 내용: 취약한 시스템에 대한 오픈소스 침투 테스트.
4단계: 안전 서클의 역학에 주목
권장 학습 시간: 1주
학습 내용은 다음과 같습니다.
1. 안전에 주의하세요. 서클의 최신 취약점, 보안 사고 및 기술 기사를 살펴보세요.
2. 일일 보안 기술 기사/이벤트를 찾아보세요.
3. 웨이보와 위챗을 통해 보안계 실무자들에게 주의를 기울이고(전문가의 관심을 받거나 친구들의 결정적인 관심을 받는 경우) 매일 시간을 내어 확인하세요.
4. Feedly/Xianguo를 통해 국내외 보안 기술 블로그를 구독하세요(국내에만 국한하지 말고 축적에 더 주의하세요).
5. 습관을 기르고 매일 iChunqiu 커뮤니티에 보안 기술 기사 링크를 적극적으로 제출하세요.
6. 최신 취약점 목록에 더 주의를 기울이고 Chunqiu Yunjing.com을 확인하여 발견된 공개 취약점을 연습해 보세요.
7. 국내외 안보 컨퍼런스의 주제나 영상에 주목하세요.
8. 기술 교류 그룹에 참여하여 그룹의 주요 인사들과 몇 가지 경험과 기술에 대해 토론하세요.
5단계: Windows/Kali Linux 익히기
권장 학습 시간: 3주
학습 내용은 다음과 같습니다.
1. Windows/Kali Linux 기본 명령 및 일반 도구를 학습합니다.
2. Windows에서 일반적으로 사용되는 cmd 명령(예: ipconfig, nslookup, Tracert, net, tasklist, taskkill 등)을 숙지하세요.
3. ifconfig, ls, cp, mv, vi, wget, service, sudo 등과 같은 Linux의 일반적인 명령을 숙지하세요.
4. Kali Linux 시스템의 일반적인 도구에 익숙하다면 "Kali Linux를 이용한 웹 침투 테스트", "Kali를 이용한 해킹" 등을 참고할 수 있습니다.
5. Metasploit 도구에 익숙하다면 "Metasploit 침투 테스트 가이드"를 참조하세요.
6단계: 미들웨어 및 서버 보안 구성
권장 학습 시간: 3주
학습 내용은 다음과 같습니다.
1, 서버 환경 구성을 학습하고, 구성에 따른 보안 문제를 사고를 통해 발견할 수 있다.
2. Windows Server2012 환경에서 IIS를 구성하는 경우 보안 구성 및 실행 권한에 특히 주의하세요.
3. Linux 환경에서 LAMP의 보안 구성은 실행 권한, 디렉토리 간, 폴더 권한 등을 주로 고려합니다.
4. 원격 시스템 강화, 사용자 이름 및 비밀번호 로그인 제한, iptables를 통한 포트 제한, 소프트웨어 Waf를 구성하여 시스템 보안을 강화하고 서버에서 mod_security 및 기타 시스템을 구성합니다.
5. Nessus 소프트웨어를 사용하여 구성 환경에 대한 보안 검사를 수행하고 알려지지 않은 보안 위협을 발견합니다.
7단계: 스크립트 프로그래밍 학습
권장 학습 시간: 4주
학습 내용은 다음과 같습니다.
1. 스크립팅 언어 : Perl/Python/PHP/Go/Java 중 하나이며 일반적으로 사용되는 라이브러리로 프로그래밍을 학습합니다.
2. 개발 환경을 설정하고 IDE를 선택하세요. PHP 환경에는 Wamp와 XAMPP가 권장되며, IDE에는 Sublime이 권장됩니다.
3. Python 프로그래밍 학습. 학습 내용에는 문법, 규칙성, 파일, 네트워크, 멀티스레딩 및 기타 일반 라이브러리가 포함됩니다.
4. Python을 사용하여 취약점 익스플로잇을 작성한 다음 간단한 웹 크롤러를 작성합니다.
5. PHP의 기본 구문을 배우고 간단한 블로그 시스템을 작성합니다. "PHP 및 MySQL 프로그래밍(4판)" 및 비디오를 참조하세요.
6. MVC 아키텍처에 익숙해지고 PHP 프레임워크 또는 Python 프레임워크를 배워 보십시오(선택 사항).
7. 부트스트랩 레이아웃 또는 CSS를 이해합니다.
8단계: 소스코드 감사 및 취약점 분석
권장 학습 시간: 3주
학습 내용은 다음과 같습니다.
1. 능력 스크립트 소스코드 프로그램을 독립적으로 분석하고 보안 이슈를 발견합니다.
2. 소스 코드 감사의 동적 및 정적 방법을 숙지하고 프로그램을 분석하는 방법을 알아야 합니다.
3. 웹 취약점의 원인을 파악하고, 키워드를 통해 검색, 분석합니다.
4. 웹 취약점의 형성 원리와 이러한 취약점을 방지하는 방법을 소스 코드 수준에서 연구하고 이를 체크리스트로 정리합니다.
학습 주소: i Chunqiu 공식 웹사이트(Qi'an Hall)
9단계: 보안 시스템 설계 및 개발
권장 학습 시간: 5주
p >
학습 내용은 다음과 같습니다.
1. 자신만의 보안 시스템을 구축하고 보안 제안이나 시스템 아키텍처를 제시할 수 있습니다.
2. 실용적인 보안 도구를 개발하고 개인의 강점을 반영하도록 오픈소스로 제공하세요.
3. 자신만의 보안 시스템을 구축하고 회사 보안에 대한 자신만의 이해와 의견을 가지세요.
4. 대규모 보안 시스템의 아키텍처 또는 개발을 제안하거나 참여합니다.