V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wwhontheway
V2EX  ›  信息安全

程序员,想学习 web 安全,从 owasp 入手怎么样?有有经验的大佬给点建议吗?

  •  
  •   wwhontheway · 56 天前 via Android · 1203 次点击
    这是一个创建于 56 天前的主题,其中的信息可能已经有所发展或是发生改变。
    13 条回复    2021-09-07 22:39:03 +08:00
    lneoi
        2
    lneoi   56 天前
    挖 src 开始?
    triplelift
        3
    triplelift   56 天前
    web 安全有搞头吗,现在成熟的框架不会给你太多机会了吧。不如做逆向工程,小到普通的加密加壳破解,恶意软件行为分析,大到 cfg recovery, obfuscation 之类偏学术的东西,可以钻研深入的太多了。
    darknoll
        4
    darknoll   55 天前
    @triplelift 都没什么人做桌面应用了
    User9901
        5
    User9901   55 天前
    理论基础:

    TCP/IP 学透
    HTML+JavaScript+php+java+python 等等等等 读得懂、改的动
    B/S+C/S 架构整明白

    经验积累:
    大量阅读漏洞复现文章、跟着动手本地做复现
    大量阅读代码审计文章、记住重点自己尝试审计
    大量阅读 hackerone 挖掘 SRC 公开案例、记住重点自己尝试挖掘
    大量实战(SRC 挖掘(学习还能赚钱)、CTF(玩玩就好))+笔记(好记性不如烂笔头)

    安全分支这么多,想集中精力在一个点上并且精准输出高质量成果以达到最大化效益的目的?

    学代码审计、做代码审计。其他都是弟弟。

    毕竟安全的饭,就是开发的锅。

    有兴趣可以加好友,一起学习。
    onice
        6
    onice   54 天前
    @darknoll 只要有人用操作系统,就一定会有人写恶意代码。只要有恶意代码,逆向工程就有用处。我是搞 web 的,觉得 web 才是真的没搞头了,现代开发框架已经从设计上,就避免了很多安全问题了。以后想学习逆向。
    echome
        7
    echome   54 天前
    @onice 老哥先要吃透,不要快速换航道
    echome
        8
    echome   54 天前
    @User9901 你这些话是不是之前给我说过!
    echome
        9
    echome   54 天前
    @User9901 dalao 加个好友 ?
    wwhontheway
        10
    wwhontheway   53 天前 via Android
    @onice 主要是觉得二进制安全门槛有点高。想了解一些安全方面的,可能 web 入门简单一些。
    triplelift
        11
    triplelift   52 天前
    @darknoll 现在逆向工程主要场景是移动端
    @wwhontheway 二进制分析不是难,只是非常繁琐,而且体系庞大,知识面广,没耐心的人可能搞几天就砸键盘了

    web 安全真没搞头,我做前端的我都看不上,和前端沾边的东西总是有一群水平一般的人在那里自嗨
    User9901
        12
    User9901   48 天前
    @echome 你发吧,我加你
    echome
        13
    echome   47 天前
    @User9901 WU9MT19TdGFydHI0Y2s=
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1035 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 18ms · UTC 19:04 · PVG 03:04 · LAX 12:04 · JFK 15:04
    ♥ Do have faith in what you're doing.