⑴ web安全要學什麼
學習Web安全需要掌握Web安全相關概念、滲透測試相關工具、滲透實戰操作、熟悉Windows/Kali Linux、中間件和伺服器的安全配置、腳本編程學習、源碼審計與漏洞分析、安全體系設計與開發等等。
簡單做一個學習規劃:
第一步:Web安全相關概念
建議學習時間:2周
學習內容如下:
1、熟悉基本概念(SQL注入、上傳、XSS、CSRF、一句話木馬等)。
2、通過關鍵字(SQL注入、上傳、XSS、CSRF、一句話木馬等)進行Google。
3、閱讀《Web安全深度剖析》,作為入門學習還是可以的。
4、看一些滲透筆記/視頻,了解滲透實戰的整個過程,可以Google(滲透筆記、滲透過程、入侵過程等)。
第二步:熟悉滲透相關工具
建議學習時間:3周
學習內容如下:
1、熟悉AWVS、Sqlmap、Burpsuite、Nessus、China chopper 、Nmap、Appscan等相關工具的使用。
2、了解該類工具的用途和使用場景。
3、下載無後門版的這些軟體進行安裝。
4、學習並進行使用,具體教材可以在網上搜索,例如:Burpsuite的教程、Sqlmap。
5、常用的這幾個軟體都學會後,可以安裝音速啟動做一個滲透工具箱
第三步:滲透實戰操作
建議學習時間:5周
學習內容如下:
1、掌握滲透的整個階段並能夠獨立滲透小型站點。
2、網上找滲透視頻看並思考其中的思路和原理,關鍵字(滲透、SQL注入視頻、文件上傳坦洞棚入侵、資料庫備份、Dedecms漏洞利用等等)。
3、自己找站點/搭建測試環境進行測試,記住請隱藏好你自己。
4、思考滲透主要分為幾個階段,每個階段需要做哪些工作,例如這個:PTES滲透測試執行標准。
5、研究SQL注入的種類、注入原理、手動注入技巧。
6、研究文件上傳的原理,如何進行截斷、解析漏洞利用等,參照:上傳攻擊框架。
7、研究XSS形成的原理和種類,具體學習方法可以Google。
8、研究Windows/Linux提權的方法和具體使用,可以參考:提權。
9、可以參考: 開讓則源滲透測試脆弱系統。
第四步:關注安全圈動態
建議學習時間:1周
學習內容如下:
1、關注安全圈的最新漏洞、安全事件與技術文章。
2、瀏覽每日的安全技術文章/事件。
3、通過微博、微信關注安全圈的從業人員(遇到大牛的關注或者好友果斷關注),天天抽時間刷一下。
4、通過feedly/鮮果訂閱國內外安全技術博客(不要僅顫御限於國內,平時多注意積累)。
5、養成習慣,每天主動提交安全技術文章鏈接到i春秋社區進行積淀。
6、多關注下最新漏洞列表,可以看看hackerone、freebuf、安全客等,遇到公開的漏洞都去實踐下。
7、關注國內國際上的安全會議的議題或者錄像。
8、加入技術交流群,與群內大佬們討教一些經驗和技巧。
第五步:熟悉Windows/Kali Linux
建議學習時間:3周
學習內容如下:
1、學習Windows/Kali Linux基本命令、常用工具。
2、熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill等。
3、熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等。
4、熟悉Kali Linux系統下的常用工具,可以參考《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等。
5、熟悉metasploit工具,可以參考《Metasploit滲透測試指南》。
第六步:中間件和伺服器的安全配置
建議學習時間:3周
學習內容如下:
1、學習伺服器環境配置,並能通過思考發現配置存在的安全問題。
2、Windows server2012環境下的IIS配置,特別注意配置安全和運行許可權。
3、Linux環境下的LAMP的安全配置,主要考慮運行許可權、跨目錄、文件夾許可權等。
4、遠程系統加固,限制用戶名和口令登陸,通過iptables限制埠;配置軟體Waf加強系統安全,在伺服器配置mod_security等系統。
5、通過Nessus軟體對配置環境進行安全檢測,發現未知安全威脅。
第七步:腳本編程學習
建議學習時間:4周
學習內容如下:
1、選擇腳本語言:Perl/Python/PHP/Go/Java中的一種,對常用庫進行編程學習。
2、搭建開發環境和選擇IDE,PHP環境推薦Wamp和XAMPP,IDE強烈推薦Sublime。
3、Python編程學習,學習內容包含:語法、正則、文件、網路、多線程等常用庫,推薦《Python核心編程》。
4、用Python編寫漏洞的exp,然後寫一個簡單的網路爬蟲。
5、PHP基本語法學習並書寫一個簡單的博客系統,參見《PHP與MySQL程序設計(第4版)》、視頻。
6、熟悉MVC架構,並試著學習一個PHP框架或者Python框架(可選)。
7、了解Bootstrap的布局或者CSS。
第八步:源碼審計與漏洞分析
建議學習時間:3周
學習內容如下:
1、能獨立分析腳本源碼程序並發現安全問題。
2、熟悉源碼審計的動態和靜態方法,並知道如何去分析程序。
3、了解Web漏洞的形成原因,然後通過關鍵字進行查找分析。
4、研究Web漏洞形成原理和如何從源碼層面避免該類漏洞,並整理成checklist。
學習地址:i春秋官網(企安殿)
第九步:安全體系設計與開發
建議學習時間:5周
學習內容如下:
1、能建立自己的安全體系,並能提出一些安全建議或者系統架構。
2、開發一些實用的安全小工具並開源,體現個人實力。
3、建立自己的安全體系,對公司安全有自己的一些認識和見解。
4、提出或者加入大型安全系統的架構或者開發。
⑵ 什麼是web3.0
1、web的等級標準是什麼?
首先我們要知道網路是干什麼的?網路是為廣大人民服務的。這樣我們可以認為:按照網路為大家提供的服務內容不同、范圍大小、深淺度、網民的感受等來劃分web的等級。
2、老百姓(包含網民)需要什麼?
精神需求+物質需求
3、web1.0的功能
滿足網民少部分精神需求----新聞閱讀、資料下載等。
缺點:僅能閱讀,不能參與。沒有歸屬感。
4、web2.0的功能(增加了BBS\博客等互動功能)
滿足網民更多精神需求,雙向互動----閱讀新聞、製造新聞等。有了歸屬感-----網路上面有個屬於自己的家(個人空間)和存在虛擬關系的成員(網友、讀者)
缺點:由於網民基本都是虛擬身份(未經官方認證),所以成員之間只能停留在精神層面的交流(不影響物質財產得失)。
5、web3.0功能---風險更小的精神生活+更廣泛的EC
可以進行便於法律監督的精神交流(例:真實資料的網戀,直至合法婚姻等)。可以介入產業活動,逐步幫助個人、集體、社會創造更多的物質。重點:網民不但要求有歸屬感,而且要做主人。
主人當然要有真實的身份,還要有配套的游戲規則----通過網路就可以認證真實身份。只有具備這些條件,才有可能秩序地從事產業活動。
理想中的Web3.0是打破超級機器的控制,實現一種真正民主平等的狀態,網路公民被賦予更高的信息控制權,不僅是Web2.0時代的互動、分享和參與,還將會獲得擁有和自主的權力〿
Web3.0離我們有多遠?Web2.0又要過時了么_
Web3.0目前來說還是抽象的,但新鮮事物總是被人們所關注。還處於概念期的Web3.0,被認為在2016年才能獲得成熟應用,目前鮮有網站將自己貼上Web3.0的標簽,即使貼著Web3.0的標簽,也是徒有其表〿
但可以肯定的是,Web3.0依然打著「信息聚合」的旗幟,將信息進一步解構拆分,為實現更精細化的交互提供底層技術實現。一個更具智能的互聯網,搜索或許並不重要,因為用戶將徹底把思考交給計算機〿
用戶是Web2.0的籌砿/strong>
近兩年來,Web2.0令互聯網從泡沫中蘇醒,帶來了新的風潮,這個時代中的幾個關鍵詞就是:社區、互動、分享和參與。這股風潮中的代表是:YouTube、Blog和Wikipedia。Web2.0讓網路信息資源更加豐富的同時也不斷膨脹〿
Web2.0為用戶提供了一個友善快捷的平台,讓用戶主動維護和分享自己的內容,從而建立起一個豐富趣味的社交網路系統。一些門戶網站加入一些Blog、RSS、SNS等時髦功能,用戶的個人信息都無法在網站內共享,就宣稱自己Web2.0了,這種態度表面上是與時俱進,而實際上僅僅是為自己的Web1.0形象塗了一嶼ldquo;清漆」而已〿
相對於Web1.0時期信息通過超鏈接實現跳轉不同,Web2.0的信息是通過在Web程序中的標識代碼實現站內互通的。Web3.0將信息的互通進一步深度挖掘,直接從底層資料庫進行互通,但前提是這個資料庫具備完整的信息交互機制〿
用戶在Web2.0結構的網站中擁有屬於自己的信息數據,用戶成為了網路的中心,可以對信息數據進行控制和交互。這些功能完全基於Web,通過瀏覽器實現。通過Ajax技術實現易於操作和友善的用戶界面,創造的是一種民主且易於分享的架構,鼓勵每一個使用者對他們所使用的系統主動添加價值〿
雖然用戶通過Blog等形式進行信息發布和分享,但是,用戶通過Web2.0進行信息分享還是會受到很大限制。因為用戶並不具備真正的自主權,在看起來存在的權力之上是服務商提供的平台,這種平台是不可逾越的。因為服務商的目的是基於資本的經營,用戶並沒有真正的空間,只是Web2.0服務商的資產,交易的籌碼〿
理想中的新時仿/strong>
Web2.0的精髓在億ldquo;去中心化」思想和六度分隔理論,而Web3.0的理想是讓個人與組織機構之間建立一種互為中心的轉換機制,也就是說一個人在一定程度上可以轉化為機構,而機構在一定環境條件下也可以轉化為個人,通過這種微縮擬人的形式進行商業行為,拉近與用戶之間的距離〿
一直以來,Web2.0被選渲染成草根時代,實際上網路的真正權力被高度集中,網路文明被少數派主導著,這些少數派已經成長為一個個超級機器,像MSN、Google和Yahoo等掌握了網路的控制權,掌握了網路的文明發展進程,看起來更像是一個帝國時代〿
理想中的Web3.0是打破超級機器的控制,實現一種真正民主平等的狀態,網路公民被賦予更高的信息控制權,不僅是Web2.0時代的互動、分享和參與,還可能會獲得擁有和自主的權力。網路看似成為一個真正的社會,通過使用者的共同參與、共同分享、共同擁有和共同治理〿
Web3.0的時代,使用者通過任何一台電腦都可以架設屬於個人的社區網路,以進行更為便捷的社區活動和信息分享。而那些超級機器們則可能轉變為一種互助合作形式的分散式平台,使用者將擁有無限的空間,以及更為先進的搜索技術和知識管理系統〿
NuWeb(Net User's Web)正在逐步成為Web3.0的一個理想的計劃項目,這是一個以使用者為中心的分散式網路信息分享平台,作為一個正在開展中的網路開源項目,包括三個系統部分:NuWeb PP,個人入口網站系統;NeWeb CP,區域入口網站系統;NuWeb CC,信息空間的整體入口網站系統〿
在未來,這項計劃有望實現用戶在互聯網上的信息數據可以的跨網站使用;網站之間的信息可以交互,通過第三方信息平台,可同時與多家網站的信息進行整合使用;通過第三方信息平台,使Web信息可以實現與現實同步,在信息同步、聚合、遷移的基礎上,進行集中校驗和分類存儲,並對原始信息進行提煉加工〿
web3.0知易行難
Web3.0要解決互聯網讀與寫模式之上的語意問題,讓全球用戶在這個平台上解決溝通障礙,僿ldquo;我只朿000塊錢,希望帶著自己的女朋友去西藏玩三個朿rdquo;這樣的語意表述方式,有可能從互聯網中獲得答案。Web3.0的智能化設計可為用戶分析輸出適合的信息〿
Web3.0在技術實現上存在很多難以逾越的困難,首先是要讓用戶跨越不同的應用平台,並共享不同社區的信息資料,以通過簡單的入口獲取其中需要的信息。而這種信息的共享需要通過TAG(標簽)的方式進行相互鏈接,現有的TAG只能做到對站內的關鍵詞進行關聯〿
其次是搜索的智能化,對無用信息進行有效過濾,以達到更加快速地搜索有效信息解決用戶問題的目的,用戶甚至可以將對關鍵詞的組合判斷和對問題的思考過程全部交給搜索引擎,用戶要做的只是將想要的東西列出,並與個人信息連接在一起,搜索引擎就能自動將數據信息提供給用戶〿
讓計算機完全處理和分析,這種智能化方式,並非通過人工進行編輯加工,再對資料庫進行整理,而是需要基於新一代的搜索技術和統計技術才能實現這樣一種類似語意網的形式〿
半個世紀以來,無數科學家都在嘗試這樣一個問題,就是在網路信息的基礎上建立起一個目錄更少但導航更為有效的智能層,這個智能層能夠代替人去進行思考,但至今尚未給出有效解決方案〿
語意罿/strong>
語意網是指將全部的信息、資源、知識分散各地,以內容的形式連接成網,而不是以現在的HTML代碼作有限的連結。那個時候出版系統的效益,將是知識的供應、而非信息的提供
二、符合中國國情的web3.0基礎條件分析。
1、國家相關機構對個人合法身份的確認。
第三代身份證為這一條件打下了良好的基礎,公安機關聯網的計算機,可以接收網站發來的個人身份確認信息,網民可以便捷地到轄區派出所刷卡確認身份。這個條件僅僅是誠信的基礎。
2、在非網路時代,中國人更多的信任主要通過關系網中的熟人介紹,在交往中,依賴面對面的交流,憑個人的感覺,逐步取得信任,進一步開始產業活動。
中國的一句俗話:人是一面相。聽到的遠不如自己親眼看到的。
3、網路時代怎樣滿足中國人的這個習慣呢?
A、網路的語音視頻功能----看到聽到。
B、成員相對固定的視頻會議系統+文字交流區----QQ群、圈子、E話通、頁面網電等----建立口碑傳播渠道。
C、完善同學、戰友、親戚、同事的網路組織。由於成員結構復雜且分布廣泛,所以通過這個組織比較容易找到共同熟人或者值得信賴的中間人(大多是有身份的人)----網上網下人脈結合。
D、任何人可以主動或者被動的考察、接受考察。----提高效率,是網路的意義所在。
4、借鑒國外個人誠信管理制度,在部分網民中推廣會員誠信等級確認制度。目前,國內部分網站已經作了起來。
5、有了這樣的基礎,產業活動才具有普遍意義---一億以上的實實在在的老百姓,通過網路進行商業、工業、服務業等的部分環節工作。
三、無論Web3.0最終內容是什麼,但一定是在形式上,通過網路深化對大眾的服務,更加低成本高效率地滿足更多的人對精神的追求以及創造更多的財富。
四、說給勤奮中的站長和看好中國的VC們。
中國在互聯網方面和發達國家的距離相對較小,而且越來越小,但方向一定要符合中國國情,才能少出現泡沫,不出現泡沫。
我們欣喜地看到幾家網站,抓住了趨勢,得到了VC的支持,風頭正勁。
同時,筆者還高興的在中國的鄭州、徐州接觸了幾個網路團隊,他們不為一時的網路泡沫所動,潛心研究,俯首基礎建設,座上有鴻儒(世界頂級技術專家、VC代表),往來盡白丁(不善動筆當不了寫手的草根)。
必要的時候,我會為他們獻上一筆。
勤奮終有所獲,方向正確,風險更小!
補充:
web1.0----網站是別人的網站------我只是看看--------陌路人
web2.0----網站是朋友的網站------有人和我聊聊------客人
WEB3.0----網站是你我的網站------吃喝買賣隨己------主人
⑶ Java Web程序,運行環境不同,出錯問題!急待解決~
可能是com.lion.User類用了jdk1.5新增特性,例如泛型、增強的for循環,自動裝箱等,建議修改源文件(com/lion/User.java)再用j2sdk1.4.2編譯一次,如果編譯通過則可用新的位元組碼文件(class文件)替換掉舊的位元組碼文件