⑴ web安全要学什么
学习Web安全需要掌握Web安全相关概念、渗透测试相关工具、渗透实战操作、熟悉Windows/Kali Linux、中间件和服务器的安全配置、脚本编程学习、源码审计与漏洞分析、安全体系设计与开发等等。
简单做一个学习规划:
第一步:Web安全相关概念
建议学习时间:2周
学习内容如下:
1、熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。
2、通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google。
3、阅读《Web安全深度剖析》,作为入门学习还是可以的。
4、看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、入侵过程等)。
第二步:熟悉渗透相关工具
建议学习时间:3周
学习内容如下:
1、熟悉AWVS、Sqlmap、Burpsuite、Nessus、China chopper 、Nmap、Appscan等相关工具的使用。
2、了解该类工具的用途和使用场景。
3、下载无后门版的这些软件进行安装。
4、学习并进行使用,具体教材可以在网上搜索,例如:Burpsuite的教程、Sqlmap。
5、常用的这几个软件都学会后,可以安装音速启动做一个渗透工具箱
第三步:渗透实战操作
建议学习时间:5周
学习内容如下:
1、掌握渗透的整个阶段并能够独立渗透小型站点。
2、网上找渗透视频看并思考其中的思路和原理,关键字(渗透、SQL注入视频、文件上传坦洞棚入侵、数据库备份、Dedecms漏洞利用等等)。
3、自己找站点/搭建测试环境进行测试,记住请隐藏好你自己。
4、思考渗透主要分为几个阶段,每个阶段需要做哪些工作,例如这个:PTES渗透测试执行标准。
5、研究SQL注入的种类、注入原理、手动注入技巧。
6、研究文件上传的原理,如何进行截断、解析漏洞利用等,参照:上传攻击框架。
7、研究XSS形成的原理和种类,具体学习方法可以Google。
8、研究Windows/Linux提权的方法和具体使用,可以参考:提权。
9、可以参考: 开让则源渗透测试脆弱系统。
第四步:关注安全圈动态
建议学习时间:1周
学习内容如下:
1、关注安全圈的最新漏洞、安全事件与技术文章。
2、浏览每日的安全技术文章/事件。
3、通过微博、微信关注安全圈的从业人员(遇到大牛的关注或者好友果断关注),天天抽时间刷一下。
4、通过feedly/鲜果订阅国内外安全技术博客(不要仅颤御限于国内,平时多注意积累)。
5、养成习惯,每天主动提交安全技术文章链接到i春秋社区进行积淀。
6、多关注下最新漏洞列表,可以看看hackerone、freebuf、安全客等,遇到公开的漏洞都去实践下。
7、关注国内国际上的安全会议的议题或者录像。
8、加入技术交流群,与群内大佬们讨教一些经验和技巧。
第五步:熟悉Windows/Kali Linux
建议学习时间:3周
学习内容如下:
1、学习Windows/Kali Linux基本命令、常用工具。
2、熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill等。
3、熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等。
4、熟悉Kali Linux系统下的常用工具,可以参考《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等。
5、熟悉metasploit工具,可以参考《Metasploit渗透测试指南》。
第六步:中间件和服务器的安全配置
建议学习时间:3周
学习内容如下:
1、学习服务器环境配置,并能通过思考发现配置存在的安全问题。
2、Windows server2012环境下的IIS配置,特别注意配置安全和运行权限。
3、Linux环境下的LAMP的安全配置,主要考虑运行权限、跨目录、文件夹权限等。
4、远程系统加固,限制用户名和口令登陆,通过iptables限制端口;配置软件Waf加强系统安全,在服务器配置mod_security等系统。
5、通过Nessus软件对配置环境进行安全检测,发现未知安全威胁。
第七步:脚本编程学习
建议学习时间:4周
学习内容如下:
1、选择脚本语言:Perl/Python/PHP/Go/Java中的一种,对常用库进行编程学习。
2、搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime。
3、Python编程学习,学习内容包含:语法、正则、文件、网络、多线程等常用库,推荐《Python核心编程》。
4、用Python编写漏洞的exp,然后写一个简单的网络爬虫。
5、PHP基本语法学习并书写一个简单的博客系统,参见《PHP与MySQL程序设计(第4版)》、视频。
6、熟悉MVC架构,并试着学习一个PHP框架或者Python框架(可选)。
7、了解Bootstrap的布局或者CSS。
第八步:源码审计与漏洞分析
建议学习时间:3周
学习内容如下:
1、能独立分析脚本源码程序并发现安全问题。
2、熟悉源码审计的动态和静态方法,并知道如何去分析程序。
3、了解Web漏洞的形成原因,然后通过关键字进行查找分析。
4、研究Web漏洞形成原理和如何从源码层面避免该类漏洞,并整理成checklist。
学习地址:i春秋官网(企安殿)
第九步:安全体系设计与开发
建议学习时间:5周
学习内容如下:
1、能建立自己的安全体系,并能提出一些安全建议或者系统架构。
2、开发一些实用的安全小工具并开源,体现个人实力。
3、建立自己的安全体系,对公司安全有自己的一些认识和见解。
4、提出或者加入大型安全系统的架构或者开发。
⑵ 什么是web3.0
1、web的等级标准是什么?
首先我们要知道网络是干什么的?网络是为广大人民服务的。这样我们可以认为:按照网络为大家提供的服务内容不同、范围大小、深浅度、网民的感受等来划分web的等级。
2、老百姓(包含网民)需要什么?
精神需求+物质需求
3、web1.0的功能
满足网民少部分精神需求----新闻阅读、资料下载等。
缺点:仅能阅读,不能参与。没有归属感。
4、web2.0的功能(增加了BBS\博客等互动功能)
满足网民更多精神需求,双向互动----阅读新闻、制造新闻等。有了归属感-----网络上面有个属于自己的家(个人空间)和存在虚拟关系的成员(网友、读者)
缺点:由于网民基本都是虚拟身份(未经官方认证),所以成员之间只能停留在精神层面的交流(不影响物质财产得失)。
5、web3.0功能---风险更小的精神生活+更广泛的EC
可以进行便于法律监督的精神交流(例:真实资料的网恋,直至合法婚姻等)。可以介入产业活动,逐步帮助个人、集体、社会创造更多的物质。重点:网民不但要求有归属感,而且要做主人。
主人当然要有真实的身份,还要有配套的游戏规则----通过网络就可以认证真实身份。只有具备这些条件,才有可能秩序地从事产业活动。
理想中的Web3.0是打破超级机器的控制,实现一种真正民主平等的状态,网络公民被赋予更高的信息控制权,不仅是Web2.0时代的互动、分享和参与,还将会获得拥有和自主的权力〿
Web3.0离我们有多远?Web2.0又要过时了么_
Web3.0目前来说还是抽象的,但新鲜事物总是被人们所关注。还处于概念期的Web3.0,被认为在2016年才能获得成熟应用,目前鲜有网站将自己贴上Web3.0的标签,即使贴着Web3.0的标签,也是徒有其表〿
但可以肯定的是,Web3.0依然打着“信息聚合”的旗帜,将信息进一步解构拆分,为实现更精细化的交互提供底层技术实现。一个更具智能的互联网,搜索或许并不重要,因为用户将彻底把思考交给计算机〿
用户是Web2.0的筹砿/strong>
近两年来,Web2.0令互联网从泡沫中苏醒,带来了新的风潮,这个时代中的几个关键词就是:社区、互动、分享和参与。这股风潮中的代表是:YouTube、Blog和Wikipedia。Web2.0让网络信息资源更加丰富的同时也不断膨胀〿
Web2.0为用户提供了一个友善快捷的平台,让用户主动维护和分享自己的内容,从而建立起一个丰富趣味的社交网络系统。一些门户网站加入一些Blog、RSS、SNS等时髦功能,用户的个人信息都无法在网站内共享,就宣称自己Web2.0了,这种态度表面上是与时俱进,而实际上仅仅是为自己的Web1.0形象涂了一屿ldquo;清漆”而已〿
相对于Web1.0时期信息通过超链接实现跳转不同,Web2.0的信息是通过在Web程序中的标识代码实现站内互通的。Web3.0将信息的互通进一步深度挖掘,直接从底层数据库进行互通,但前提是这个数据库具备完整的信息交互机制〿
用户在Web2.0结构的网站中拥有属于自己的信息数据,用户成为了网络的中心,可以对信息数据进行控制和交互。这些功能完全基于Web,通过浏览器实现。通过Ajax技术实现易于操作和友善的用户界面,创造的是一种民主且易于分享的架构,鼓励每一个使用者对他们所使用的系统主动添加价值〿
虽然用户通过Blog等形式进行信息发布和分享,但是,用户通过Web2.0进行信息分享还是会受到很大限制。因为用户并不具备真正的自主权,在看起来存在的权力之上是服务商提供的平台,这种平台是不可逾越的。因为服务商的目的是基于资本的经营,用户并没有真正的空间,只是Web2.0服务商的资产,交易的筹码〿
理想中的新时仿/strong>
Web2.0的精髓在亿ldquo;去中心化”思想和六度分隔理论,而Web3.0的理想是让个人与组织机构之间建立一种互为中心的转换机制,也就是说一个人在一定程度上可以转化为机构,而机构在一定环境条件下也可以转化为个人,通过这种微缩拟人的形式进行商业行为,拉近与用户之间的距离〿
一直以来,Web2.0被选渲染成草根时代,实际上网络的真正权力被高度集中,网络文明被少数派主导着,这些少数派已经成长为一个个超级机器,像MSN、Google和Yahoo等掌握了网络的控制权,掌握了网络的文明发展进程,看起来更像是一个帝国时代〿
理想中的Web3.0是打破超级机器的控制,实现一种真正民主平等的状态,网络公民被赋予更高的信息控制权,不仅是Web2.0时代的互动、分享和参与,还可能会获得拥有和自主的权力。网络看似成为一个真正的社会,通过使用者的共同参与、共同分享、共同拥有和共同治理〿
Web3.0的时代,使用者通过任何一台电脑都可以架设属于个人的社区网络,以进行更为便捷的社区活动和信息分享。而那些超级机器们则可能转变为一种互助合作形式的分散式平台,使用者将拥有无限的空间,以及更为先进的搜索技术和知识管理系统〿
NuWeb(Net User's Web)正在逐步成为Web3.0的一个理想的计划项目,这是一个以使用者为中心的分散式网络信息分享平台,作为一个正在开展中的网络开源项目,包括三个系统部分:NuWeb PP,个人入口网站系统;NeWeb CP,区域入口网站系统;NuWeb CC,信息空间的整体入口网站系统〿
在未来,这项计划有望实现用户在互联网上的信息数据可以的跨网站使用;网站之间的信息可以交互,通过第三方信息平台,可同时与多家网站的信息进行整合使用;通过第三方信息平台,使Web信息可以实现与现实同步,在信息同步、聚合、迁移的基础上,进行集中校验和分类存储,并对原始信息进行提炼加工〿
web3.0知易行难
Web3.0要解决互联网读与写模式之上的语意问题,让全球用户在这个平台上解决沟通障碍,僿ldquo;我只朿000块钱,希望带着自己的女朋友去西藏玩三个朿rdquo;这样的语意表述方式,有可能从互联网中获得答案。Web3.0的智能化设计可为用户分析输出适合的信息〿
Web3.0在技术实现上存在很多难以逾越的困难,首先是要让用户跨越不同的应用平台,并共享不同社区的信息资料,以通过简单的入口获取其中需要的信息。而这种信息的共享需要通过TAG(标签)的方式进行相互链接,现有的TAG只能做到对站内的关键词进行关联〿
其次是搜索的智能化,对无用信息进行有效过滤,以达到更加快速地搜索有效信息解决用户问题的目的,用户甚至可以将对关键词的组合判断和对问题的思考过程全部交给搜索引擎,用户要做的只是将想要的东西列出,并与个人信息连接在一起,搜索引擎就能自动将数据信息提供给用户〿
让计算机完全处理和分析,这种智能化方式,并非通过人工进行编辑加工,再对数据库进行整理,而是需要基于新一代的搜索技术和统计技术才能实现这样一种类似语意网的形式〿
半个世纪以来,无数科学家都在尝试这样一个问题,就是在网络信息的基础上建立起一个目录更少但导航更为有效的智能层,这个智能层能够代替人去进行思考,但至今尚未给出有效解决方案〿
语意罿/strong>
语意网是指将全部的信息、资源、知识分散各地,以内容的形式连接成网,而不是以现在的HTML代码作有限的连结。那个时候出版系统的效益,将是知识的供应、而非信息的提供
二、符合中国国情的web3.0基础条件分析。
1、国家相关机构对个人合法身份的确认。
第三代身份证为这一条件打下了良好的基础,公安机关联网的计算机,可以接收网站发来的个人身份确认信息,网民可以便捷地到辖区派出所刷卡确认身份。这个条件仅仅是诚信的基础。
2、在非网络时代,中国人更多的信任主要通过关系网中的熟人介绍,在交往中,依赖面对面的交流,凭个人的感觉,逐步取得信任,进一步开始产业活动。
中国的一句俗话:人是一面相。听到的远不如自己亲眼看到的。
3、网络时代怎样满足中国人的这个习惯呢?
A、网络的语音视频功能----看到听到。
B、成员相对固定的视频会议系统+文字交流区----QQ群、圈子、E话通、页面网电等----建立口碑传播渠道。
C、完善同学、战友、亲戚、同事的网络组织。由于成员结构复杂且分布广泛,所以通过这个组织比较容易找到共同熟人或者值得信赖的中间人(大多是有身份的人)----网上网下人脉结合。
D、任何人可以主动或者被动的考察、接受考察。----提高效率,是网络的意义所在。
4、借鉴国外个人诚信管理制度,在部分网民中推广会员诚信等级确认制度。目前,国内部分网站已经作了起来。
5、有了这样的基础,产业活动才具有普遍意义---一亿以上的实实在在的老百姓,通过网络进行商业、工业、服务业等的部分环节工作。
三、无论Web3.0最终内容是什么,但一定是在形式上,通过网络深化对大众的服务,更加低成本高效率地满足更多的人对精神的追求以及创造更多的财富。
四、说给勤奋中的站长和看好中国的VC们。
中国在互联网方面和发达国家的距离相对较小,而且越来越小,但方向一定要符合中国国情,才能少出现泡沫,不出现泡沫。
我们欣喜地看到几家网站,抓住了趋势,得到了VC的支持,风头正劲。
同时,笔者还高兴的在中国的郑州、徐州接触了几个网络团队,他们不为一时的网络泡沫所动,潜心研究,俯首基础建设,座上有鸿儒(世界顶级技术专家、VC代表),往来尽白丁(不善动笔当不了写手的草根)。
必要的时候,我会为他们献上一笔。
勤奋终有所获,方向正确,风险更小!
补充:
web1.0----网站是别人的网站------我只是看看--------陌路人
web2.0----网站是朋友的网站------有人和我聊聊------客人
WEB3.0----网站是你我的网站------吃喝买卖随己------主人
⑶ Java Web程序,运行环境不同,出错问题!急待解决~
可能是com.lion.User类用了jdk1.5新增特性,例如泛型、增强的for循环,自动装箱等,建议修改源文件(com/lion/User.java)再用j2sdk1.4.2编译一次,如果编译通过则可用新的字节码文件(class文件)替换掉旧的字节码文件