Web安全学习笔记

    在学习Web安全的过程中,深切地感受到相关的知识浩如烟海,而且很大一部分知识点都相对零散,如果没有相对清晰的脉络作为参考,会给学习带来一些不必要的负担。于是在这之后尝试把一些知识、想法整理记录下来,最后形成了这份笔记。希望这份笔记能够为正在入门的网络安全爱好者提供一定的帮助。

    笔记内容总体分为四个部分。第一部分围绕一些基础知识和技巧进行了一定的说明,主要Web技术的发展与演化、安全领域的基本常识、计算机网络的基础知识等,这些知识是进行Web安全学习的基础。第二部分按照常见的渗透测试的顺序,对信息收集、常见的Web漏洞、常见语言与框架、内网渗透的技巧等进行了简单的讲述,开始学习渗透测试之后通常会接触到这部分内容。第三部分回到防御的视角,从安全团队的建设、威胁情报与风控等较大的视角做了描述,也对蜜罐、溯源等较为细节的内容作了说明。最后一部分推荐了一些工具与资源列表,也把一些没有分类的内容暂时归档到这一部分。

    在编写笔记的过程中参考、摘抄了很多资料,都在文末留下了相应的链接,十分感谢文章作者的分享。其中笔记的在线版本可以点击这里查看。

    笔记大纲

    • 序章
      • Web技术演化
      • Web攻防技术演化
      • 安全观
    • 计算机网络与协议
      • 网络基础
      • UDP协议
      • TCP协议
      • 路由算法
      • 域名系统
      • HTTP标准
      • HTTPS
      • SSL/TLS
      • IPsec
    • 信息收集
      • 域名信息
      • 端口信息
      • 站点信息
      • 搜索引擎利用
      • 社会工程学
      • 参考链接
    • 常见漏洞攻防
      • SQL注入
      • XSS
      • CSRF
      • SSRF
      • 命令注入
      • 文件读取
      • 文件上传
      • 文件包含
      • XXE
      • 模版注入
      • Xpath注入
      • 逻辑漏洞 / 业务漏洞
      • 配置安全
      • 中间件
      • Web Cache欺骗攻击
      • HTTP 请求走私
    • 语言与框架
      • PHP
      • Python
      • Java
      • JavaScript
      • Golang
      • Ruby
      • ASP
    • 内网渗透
      • 信息收集 - Windows
      • 持久化 - Windows
      • 信息收集 - Linux
      • 持久化 - Linux
      • 痕迹清理
      • 综合技巧
      • 参考链接
    • 防御技术
      • 团队建设
      • 安全开发
      • 威胁情报
      • ​​ATT&CK
      • 风险控制
      • 防御框架
      • 蜜罐技术
      • 入侵检测
      • 应急响应
      • 溯源分析
    • 认证机制
      • OAuth
      • JWT
      • Kerberos
      • SAML
    • 工具与资源
      • 推荐资源
      • 相关论文
      • 信息收集
      • 社会工程学
      • 模糊测试
      • 漏洞利用
      • 持久化
      • 防御
      • 运维
      • 其他
    • 手册速查
      • 爆破工具
      • 下载工具
      • 流量相关
      • 嗅探工具
      • SQLMap使用
    • 其他
      • 代码审计
      • WAF
      • Unicode
      • 拒绝服务攻击
      • Docker

    Contribution

    如果有任何的问题、意见或者建议欢迎以Issue或PR的形式提出,不胜感激。

    项目以CC0 1.0许可证发布,可以点击浏览全文。

    该笔记仅供学习和交流使用,请读者遵守《》,勿对非授权目标进行测试。