web应用安全学习笔记(一)
我要向你展示一个全新的世界,一个潜藏在真实世界之后的暗世界,我不知道你们开始看这段话的原因是什么,也许是一种憧憬,也许是一点好奇,但我保证,你会开始怀疑你所一直以来生活的场景,怀疑一些理所当然的事物。——i春秋
web安全应用的安全隐患
我们所在的世界
通信的发展让我们生活的很便利,同时也让我们生活的很公开。尽管信道编码的方法有很多,但是放在网络通信上通信上的一些编码似乎变得有些捉襟见肘起来。这和一个学通信的我非要接触网络安全一样。
但那又如何呢?不学怎么知道呢?
###从一场CTF比赛说起
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。
第一次听到这个名词,我百度出来的词条就是上面这样的。
说起来,这个名词对于一名通信宅男来说,应该是没有交集的吧。但凡是都讲究个缘分。偶然的机会参加了今年的“网鼎杯CTF大赛”。
三个人的队伍里我是凑人数的那个,另外的两位是在老师的劝导下自愿参赛的。结果可想而知了,我们提交了一个flag(签到题,手动微笑)。天真的我还恶补了几晚的视频了解了一下赛制。我甚至还想尝试着自己提交一个flag.虽然一次宝贵的比赛大佬们没有给大腿抱,但是对CTF初步的了解还是引起了我的兴趣。
CTF入门基础
题目类型
Web
Crypto(密码)
PWN
Misc
stego
forensic
…
Reverse
PPC(Professonal ProgramCoder)
国际比赛:DEFCON资格赛
国内比赛:XCTF联赛
分析赛题情况
Crypto偏重对数学、算法的学习
Web偏重发散思惟、对技巧沉淀、快速搜索能力的挑战,漏洞点几类
Misc则更为复杂:隐写类、图片数据分析、数据还原、流量分析、大数据
分析自身兴趣
PWN+Re+Crypto随机搭配
Web+Misc组合
精力有限先从一两个方向做起
如何恶补知识
linux、组原、OS、网络协议分析
二进制:IDA工具使用,f5插件、OD、逆向工程、密码学、缓冲区溢出
推荐书籍
RE for Beginners(逆向工程入门。德国)
IDA PRO权威指南
揭秘家用路由器0day漏洞挖掘技术
自己动手写操作系统
黑客攻防技术宝典:系统实战篇
web:网络安全、内网渗透、数据库安全、OWASPTOP10
Web应用安全权威指南。日本!!!宏观
Web前端黑客技术揭秘——总结、吃透则直线上升、核心技术点都包含
黑客秘籍-渗透测试使用指南
黑客攻防技术宝典:web实战篇
代码审计:企业级web代码安全架构
一些有用的链接
这篇作为Web应用安全权威指南学习笔记的第一篇,简单说一下自己对网络安全的理解。说一下自己想学习的背景并且还摘抄了部分CTF入门介绍。开个好头,努力加油!
以上