聊聊 Web 安全深入的一个技巧

上个月准备发《预测 2017 中国互联网重大安全威胁》，写得差不多了，但是感觉还不够，想想还是不发了。刚刚，本来准备发《聊聊 Web 安全的深入技巧》，写了一半，就不写了，保存成草稿。

原因主要是：我不想成为啰嗦的人。真正的原因是：懒。

那么，年都过完了，那就分享其中一个技巧吧...

比如我去年这篇文章 不怕得罪人地推荐这9本黑客书籍 推荐的一本书：

《黑客攻防技术宝典:Web实战篇（第2版）》，625页

这本书的第一版，当年我在入门阶段是完全细细看过的，当时的感觉是：Web 安全的知识实在太庞大了！

这本书内容涵盖：认证授权、前端漏洞（如 XSS/CSRF）、后端漏洞（如 SQL 注入、其他各种注入）、逻辑漏洞、溢出、源码审计、相关工具、渗透、等等。

是不是很多？其实还有更多（毕竟这本书都是几年前的书了）...那如何下手呢？

我的建议是这本书可以完全细细看一遍。但是不可能都记得住，没关系，保持一个印象就好，尤其是在真实实战环境下，概率很低的一些漏洞，比如：XPath 注入、LDAP 注入 等，这些漏洞在看书过程中可以和其他漏洞进行异同对比，保持个印象，如果以后真遇到，查书、查官方手册、查 Google 就好。

知识不怕多，怕的是不理解本质。对于那些很流行的漏洞，比如 SQL 注入、命令执行、XSS、CSRF、SSRF 等，还有一些比较凶猛另类的漏洞，如反序列化、XXE 注入、跨域等，这些都应该理解其本质，理解其异同，应该实战起来。

精而悟道正是这个道理。

-----------------

微信公众号「Lazy-Thought」

几个黑客在维护，都很懒，都想改变点什么