我的安全之路——web安全篇

giantbranch giantbranch     2022-12-16     683

关键词:

write in my dormitory at ‏‎9:47:05 Friday, April 7, 2017 by giantbranch(其实当初想横跨web跟二进制的)

————致即将毕业的自己。

这是我的安全之路系列第一篇,敬请期待第二篇:《我的安全之路——二进制与逆向篇》

总览

大一:基本都在学习学校的课程,C语言,C++,高数啊,不过分数还可以,在大一复习周还在php3小时光速入门呢

大二:web开发,大概在下学期5月份这样子开始web安全

大三:开始去参加比赛,刷题,学习各种ctf需要的知识,后期也接触了逆向

大四:继续学习二进制知识,分析各种漏洞,当然也有搞web,还参加世安杯,蓝盾杯总决赛,铁三数据赛

前情回顾

我并没有像别人那样小学初中或者高中就已经在搞安全,那时候我们都在应试教育,或者沉迷游戏不能自拔吧,初高中我也是沉迷游戏,那时候也中病毒什么的,最多也会搞个360杀杀毒,重装系统什么的,自从有了第一次重装系统,之后一言不合就重装系统,其实当时也想过别人是怎么入侵电脑,入侵网站的,不过可能是环境和机遇的原因没有走上这条路。

后来高考要选专业了,其实当时是一心想考个好分数,也没考虑过选个什么专业,再过几天就要选专业了才去考虑的,选专业当然要自己喜欢的,我左思右想,我小时候不是很喜欢拆解各种小电器吗,也许对硬件会感兴趣,第一志愿报了电子科学与技术(而且后面的有网络工程啥的,就是没有信息安全),最后由于分数没够,没能去到那专业,由于是服从分配,分配到了有点关联的专业——信息安全专业,其实来之前对这个专业基本没多少了解的。

Web开发之路

到了大学也不是一上来就沉迷信息安全学习,不能自拔,因为其实我们一开始跟软工上的课都是一样的,那就老老实实学C语言,高数,什么的。那又是如何接触到Web的呢,那是因为加入了计算机协会,其实在我们这组织并不是很厉害,只不过是当时有个活动是给协会会员讲课,我选择去讲网页开发,当时找了个Dreamweaver开发网页的教程,可以说是可视化的Web开发,非常的简单,从此就走上Web的坑咯。

其实大一还加入了电脑义修队,哈哈,一言不合就重装电脑,在大一快结束的时候被另一义修队员拉到一个校园微信公众号的一个团队去搞微信开发去了,自此走上web开发之路。什么查天气,发定位测距离就是入门的一些小实例,挺好玩的。之后在公众号里面开发了查校园网上网参数,失物招领,基于WeCenter的微信问答系统等。

这公众号凭借着师兄开发的查电费功能迅速“走红”,学校某个部门领导就发现了我们这个技术团队,所以后来就给这个部门开发了3个web,我写后台,当时主要是为了学习,也没用什么框架,确实也是学到了东西。

但是由于没用框架,当时无论是教程还是自己都是没有安全意识,触发了一个重大事件——自己开发的web网站被人报wooyun了。其实就是新手开发网站存在最经典的问题,我的问题存在于新闻详情页存在sql注入,更加坑爹的就是使用root连接的数据库,服务器直接被拿下咯。除此之外,还有明文储存密码。

web开发陆陆续续干了一年,对接下来的web安全之路的作用无疑非常巨大,可以说是web安全之路的“催化剂”。

Web安全之路

由于那次入侵,我就尝试根据WooYun提交的报告,复现了一次报告者的入侵过程,收益良多。

况且由于我的专业是信息安全,由此踏上了Web安全之路。

之后在合天网安实验室“疯狂”做实验(那时候i春秋还没出来呢),还申请当了内测人员(新出的实验免费做,不过要写评价,还有实验中存在的问题等),之后邀请了合天网实验室来了一次见面会(http://www.hetianlab.com/html/news/Geek-jnu.html),之后还搞了个合粉俱乐部,再之后就向合天投稿了一个实验(http://www.hetianlab.com/expc.do?ec=ECID9d6c0ca797abec2016092116115600001)从而成为了一位实验设计师了。

其实最重要的就是参加比赛,一有机会就报名参加,每次都是我们3个人报名,我们3个随便谁一看到有比赛,就马上相互提醒要报名,不管题目难不难,至少也得看一下,不行就赛后看一下writeup咯。

之后就边比赛,边刷CTF的题,还有安排其他一些知识点的深入学习,比如sql注入,xss等漏洞的学习,也深入python的编程。

还有的话就是我也是买了很多书的,看的web安全的书也是比较多了,看了一些后就没看了,主要是看了之后发现这个知道,直接翻到下一页了,一下就看完了。

其实还有一个就是参加了学习的开放实验,那时是metasploit和XSS,两个实验可以选,都是要自学,跟着做出点成绩来,后来我就设计了个逆向与二进制初探的一个开放实验指导给老师,师弟师妹你们有福了。

其实很难具体讲清楚,看我的博客就知道我大概的学习轨迹了。

**但是!!!**每个人都不一样,学习资源日新月异,知识也会更新,以上提供的仅作为参考,希望你走出更加牛逼的自己

linux线程安全篇ⅰ(代码片段)

文章目录0、概述1、线程不安全举例1.1前提知识铺垫1.2场景模拟1.3代码模拟2、互斥2.1什么是互斥2.2互斥锁的原理&&特性2.3互斥锁的计数器如何保证原子性2.4互斥锁的接口2.4.1初始化接口2.4.2加锁接口2.4.3解锁接口2.4.4销毁接口... 查看详情

我的网络安全学习之路

目录被网络安全选中大学三年以来的网安学习web安全学习路线被网络安全选中18年高考后,和很多同学一样,我也是那个面对很多专业要选择而迷茫的那一个很普通的小白,当年的我不想当老师,不想当医生,... 查看详情

我的web安全之路

Web黑客技术揭秘-读书笔记第五章    前端黑客之界面操作劫持Session和Cookie的相关引用了博主程序员cxuan的一篇博客【看完这篇Session、Cookie、Token,和面试官扯皮就没问题了】原文链接:https://blog.csdn.net/qq_36894974/article/de... 查看详情

浅谈http(简)https链接安全篇

前言:我们带着问题去思考?为什么HTTPS是安全的?它是如何保证安全的?1.HTTPS简介其实很多时候,HTTP网站会出现很多的小广告,对网站进行遮挡或者严重影响网站的美观,当然这只是从直观上看来能... 查看详情

linux线程安全篇ⅱ(代码片段)

...口2.4条件变量夺命追问2.5条件变量的代码0、接上篇线程安全1、同步存在的必要性1.1样例引入有了互斥之后,为什么还要有同步呢?这个问题值得我们讨论,我们知道,互斥通过控制 查看详情

用dedecms搭建网站的安全篇:默认模板路径漏洞

1.因前段时间在中国站长网发布了一篇首页被改网站安全管理,堵住不明之客,被不少站长给了很高的评分,鼓力我多做安全方面的原创文章给新会员。2.今天我来跟大家分享一个DEDECMS默认模板路径,用DEDECMS搭建的网站必看的安... 查看详情

3-stm32物联网开发wifi(esp8266)+gprs(air202)系统方案安全篇(购买域名,域名绑定ip)

 2-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案安全篇(监听Wi-Fi和APP的数据) 因为安全连接是和域名绑在一块的,所以需要申请域名有没有不知道域名是什么的,但是大家一定知道访问域名就是访问绑定在域名上的IP地址域名... 查看详情

java并发/多线程系列——线程安全篇

创建和启动Java线程Java线程是个对象,和其他任何的Java对象一样。线程是类的实例java.lang.Thread,或该类的子类的实例。除了对象之外,java线程还可以执行代码。创建和启动线程在Java中创建一个线程是这样完成的:Threadthread=newTh... 查看详情

前端面试题整理—性能优化及安全篇

1、什么是web语义化,以及他的优势web语义化是指通过HTML标记表示页面包含的信息,包含了HTML标签的语义化和css命名的语义化HTML标签的语义化是指:通过使用包含语义的标签(如h1-h6)恰当地表示文档结构css命名的语义化是指:... 查看详情

业务逻辑漏洞挖掘随笔信息一致性安全篇

继续~1手机号篡改  场景一:抓包修改手机号码参数为其他号码尝试,例如在办理查询页面,输入自己的号码然后抓包,修改手机号码参数为其他人号码,查看是否能查询其他人的业务。  场景二:在测试一个业务的时,第... 查看详情

企业安全建设之路:端口扫描(上)

0×00、业务需求由于工作关系,最近一年来都奔走在各大安全会议,无论是公开会议,例如:ISC互联网大会、freebuf互联网大会等、还是半公开的会议,例如某SRC组织的互联网金融会等。互联网安全运维人员都在谈自己企业的运维... 查看详情

项目案例第二篇中小型公司优化性能安全篇

公司拓扑:现在这公司出现的问题:1)网络内经常出现地址冲突2)广播流量过大3)网速不容乐观4)网络故障频繁5)故障恢复时效低分析解决方案:1)网络内出现地址冲突,根据每个部门所需ip地址数量,多做冗余2)禁用vtp,... 查看详情

网络安全学习之路

刚介入网络安全行业,找了几个学习的路线,以防自己迷失方向Web安全渗透:https://www.zhihu.com/question/21914899网络安全侧重点:https://www.zhihu.com/question/27804586安全工程师:http://blog.csdn.net/qq_29277155/article/details/51434475  查看详情

个人经历|聊聊我的安全成长之路

前几天,看到TSRC的小密圈里发起了一个“大神”活动,聊聊初入行时,你心目中/身边的大神,刚看到活动的时候我也去参与了。在这里,重新梳理一下,也借此机会聊聊零基础的我是如何踏入安全行业,总结一下自身的... 查看详情

我的kali之路[配置网络服务和安全通信]

由于最近一段时间紧,进度一直停留在安装Kali,装了不下10次才成功,前几次到了安装系统那一步就报错,然而我百度一大堆方法还是无解,于是我换了本机的系统,由WIN7转XP,安装成功后进入Kali提示Ohno!Somethinghasgonewrong!真是... 查看详情

esa2gjk1dh1k安全篇:mqtt配置单向ssl

   使用自带的文件  一,软件里面自带着证书,好像都是自签的,然后好像也都过期了          cacert.pem:根证书     cert.pem:服务器证书     key.pem:服务器端私钥     client-cert.pe... 查看详情

1-stm32物联网开发wifi(esp8266)+gprs(air202)系统方案安全篇(来看一下怎么样监听网络数据,监听电脑上位机软件的数据)

首先安装网络监听软件 运行这个软件 这个软件安装到电脑上,默认是监听咱电脑上的网络通信 咱们先监听电脑的软件的网络通信数据,然后再说怎么监听Wi-Fi和APP的软件的网络通信数据咱就监听咱基础篇的  打... 查看详情

安恒安全消息

...xff0c;分别为安恒十所实验室说明AiLPHA大数据实验室大数据安全业务,2013年成立,刘博担任总负责人,高级威胁挖掘海特实验室物联网方向猎影实验室威胁分析团队卫兵实验室Web安全、移动安全、二进制安全,2016... 查看详情