Web安全学习笔记

序言

在学习Web安全的过程中，深切地感受到相关的知识浩如烟海，而且很大一部分知识点都相对零散，如果没有相对清晰的脉络作为参考，会给学习带来一些不必要的负担。于是在这之后尝试把一些知识、想法整理记录下来，最后形成了这份笔记。希望这份笔记能够为正在入门的网络安全爱好者提供一定的帮助。

笔记内容总体分为四个部分。第一部分围绕一些基础知识和技巧进行了一定的说明，主要Web技术的发展与演化、安全领域的基本常识、计算机网络的基础知识等，这些知识是进行Web安全学习的基础。第二部分按照常见的渗透测试的顺序，对信息收集、常见的Web漏洞、常见语言与框架、内网渗透的技巧等进行了简单的讲述，开始学习渗透测试之后通常会接触到这部分内容。第三部分回到防御的视角，从安全团队的建设、威胁情报与风控等较大的视角做了描述，也对蜜罐、溯源等较为细节的内容作了说明。最后一部分推荐了一些工具与资源列表，也把一些没有分类的内容暂时归档到这一部分。

笔者所学浅薄、精力有限，在整理笔记的过程中难免存在一些错误或是不完整的部分，正在逐渐修正和补充。如果存在错误，欢迎各位读者以Issue或者PR的方式批评指正，感激不尽。

在编写笔记的过程中参考、摘抄了很多资料，都在文末留下了相应的链接，十分感谢文章作者的分享。其中笔记的在线版本可以点击这里查看。

笔记大纲

• 序章
  • Web技术演化
  • Web攻防技术演化
  • 安全观
• 计算机网络与协议
  • 网络基础
  • UDP协议
  • TCP协议
  • 路由算法
  • 域名系统
  • HTTP标准
  • HTTPS
  • SSL/TLS
  • IPsec
• 信息收集
  • 域名信息
  • 端口信息
  • 站点信息
  • 搜索引擎利用
  • 社会工程学
  • 参考链接
• 常见漏洞攻防
  • SQL注入
  • XSS
  • CSRF
  • SSRF
  • 命令注入
  • 目录穿越
  • 文件读取
  • 文件上传
  • 文件包含
  • XXE
  • 模版注入
  • Xpath注入
  • 逻辑漏洞 / 业务漏洞
  • 配置安全
  • 中间件
  • Web Cache欺骗攻击
  • HTTP 请求走私
• 语言与框架
  • PHP
  • Python
  • Java
  • JavaScript
  • Golang
  • Ruby
  • ASP
• 内网渗透
  • 信息收集 - Windows
  • 持久化 - Windows
  • 信息收集 - Linux
  • 持久化 - Linux
  • 痕迹清理
  • 综合技巧
  • 参考链接
• 防御技术
  • 团队建设
  • 安全开发
  • 威胁情报
  • ​​ATT&CK
  • 风险控制
  • 加固检查
  • 防御框架
  • 蜜罐技术
  • 入侵检测
  • 应急响应
  • 溯源分析
• 认证机制
  • OAuth
  • JWT
  • Kerberos
  • SAML
• 工具与资源
  • 推荐资源
  • 相关论文
  • 信息收集
  • 社会工程学
  • 模糊测试
  • 漏洞利用
  • 持久化
  • 防御
  • 运维
  • 其他
• 手册速查
  • 爆破工具
  • 下载工具
  • 流量相关
  • 嗅探工具
  • SQLMap使用
• 其他
  • 代码审计
  • WAF
  • Unicode
  • 拒绝服务攻击
  • Docker

本地编译

git clone https://github.com/LyleMi/Learn-Web-Hacking.git
cd Learn-Web-Hacking
pip install sphinx sphinx-rtd-theme
make html

Contribution

如果有任何的问题、意见或者建议欢迎以Issue或PR的形式提出，不胜感激。

感谢所有的贡献者。

License

项目以CC0 1.0许可证发布，可以点击这里浏览全文。

注

该笔记仅供学习和交流使用，请读者遵守《中华人民共和国网络安全法》，勿对非授权目标进行测试。