如何学习网络应用安全?

网络安全是一项真正的问题,比起等待不好的事情发生,更好的是提前承认。

包括网络服务和应用在内的技术迅猛发展,彻底改变了现代企业。许多企业将大部分业务转移到线上,使得员工和业务合作伙伴可以随时随地实时协作和共享数据。

在现代HTML5 Web应用程序和Web 2.0被引入之后,客户需求发生了变化。现在,每个人都希望随时随地获取所需的任何信息。因此,在线业务也被推动使得其数据随时可用。

尽管全球封锁期对于那些在线零售商来说可能相当不错,但它也极大地使得网络犯罪分子获利。

增加的在线交易和远程工作使得他们能够窃取大量信用卡信息并针对远程工作者及其组织。这种进展还吸引了骗子和恶意黑客,他们不时地开发新的威胁向量。

今年,大约80%的公司遭受了网络攻击的激增,而冠状病毒引发的对银行的威胁增加了238%,根据https://yaoweibin.cn/learn-web-application-security/<a href="https://yaoweibin.cn/learn-web-application-security/report“>一份报告。

为了减轻所有这些攻击,Web应用程序安全诞生已久。这个行业需要有才华的专业人士来保护企业免受数据、资金和消费者信任的损失。

本文的目的就是让您了解有关安全性的事情,了解Web安全专业人员的期望以及您可以学习和掌握这些技能的来源。

那么,让我们开始吧?

什么是Web应用程序安全?

Web安全、网络安全或Web应用程序安全是一种保护在线服务和网站免受利用应用程序代码漏洞的各种威胁的方法。

这些攻击的常见目标包括数据库管理解决方案(如phpMyAdmin)、软件即服务(SaaS)应用程序、内容管理系统(CMS)(如WordPress)等。

Web安全旨在通过拒绝未经授权的访问、使用、破坏/中断或修改来防止此类攻击。

那么,攻击者为什么广泛地针对Web应用程序呢?

  • 应用程序源代码的固有复杂性,增加了漏洞和代码操纵的可能性。
  • 应用程序易于执行,因此攻击者可以轻松发起或自动化大部分攻击,可以同时针对数千个应用程序。
  • 高价值战利品,包括通过源代码操纵获取敏感和私人数据以及金融战利品

常见的漏洞类型

跨站脚本攻击(XSS)

XSS允许攻击者在网页中注入客户端脚本,并直接访问重要数据,欺骗用户披露重要数据或冒充用户。其后果包括访问帐户、激活木马、更改页面内容等。

跨站请求伪造(CSRF)

CSRF欺骗受害者发出利用其授权或认证的请求。因此,通过这些帐户特权,攻击者可以伪装用户发出请求。这可能导致资金转移、密码更改等。

拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击

攻击者通过各种攻击流量过载目标服务器及/或其基础设施。一旦服务器无法有效处理微不足道的请求,它就会变得行动迟缓,并最终拒绝服务更多的来自合法访问者的请求。

SQL注入 💉

攻击者利用类似数据库实现搜索查询的漏洞来利用漏洞。攻击者利用SQI来访问未经授权的数据,创建或修改用户权限,破坏或操纵敏感数据等。

远程文件包含

攻击者使用它将带有恶意代码的恶意文件注入到Web应用服务器中,以执行这些代码来损害应用程序,操纵它并进行数据盗取。

其他

其他攻击包括内存损坏,数据泄露,点击劫持,目录遍历,命令https://yaoweibin.cn/learn-web-application-security/injection,溢出等。

希望这些足以理解网络安全是当务之急,为什么每个人都必须尽快实施它,以免对您的应用程序构成任何威胁并对您造成财务或声誉上的损害。

由于需求不断增长,许多人纷纷前来学习。如果您有兴趣学习这个学科,这可能是一个很好的职业选择,并且在个人层面上也会有好处。

网络安全专业人员做什么?

网络安全专业人员负责保护Web应用程序,相关网络和应用程序数据。他们通过监控网络并对威胁做出反应来帮助减少数据泄露。

这些专业人员具有网络或系统管理员,程序员的背景。这是因为这个领域需要好奇心,批判性思维,对研究和学习的热情。他们必须能够智胜那些“有着破坏性创造力”的黑客,这些黑客开发和注入各种威胁。

由于安全威胁可能随时出现,安全专业人员必须随时了解黑客使用的最新策略,以便潜入系统和网络。网络安全专业人员的一些职责包括:

  • 查找Web应用程序,数据库和加密中的漏洞。
  • 通过修复安全问题来减轻攻击。
  • 定期进行审核以确保最佳安全实践。
  • 部署端点预防和检测工具以防止恶意攻击。
  • 在云端和本地设备中实施漏洞管理系统。
  • 在攻击发生时进行清理。
  • 与其他IT运营人员合作规划https://yaoweibin.cn/learn-web-application-security/disaster recovery
  • 与团队负责人和人力资源部门合作,教育所有员工以检测可疑活动。

保护Web应用程序的一些最佳安全实践

使用Web应用程序防火墙(WAF)

https://yaoweibin.cn/learn-web-application-security/WAF有助于保护您的Web应用程序免受恶意HTTP请求的攻击。它在攻击者和您的服务器之间建立了一道屏障。它可以在七层保护您免受XSS,CSRF,SQL注入等威胁。

DDoS缓解

顾名思义,它用于缓解分布式拒绝服务攻击和网络层攻击,从而保护网站,应用程序和服务器基础架构。

机器人过滤

它用于过滤掉恶意的机器人流量。

DNS保护

这样做是为了保护您的DNS请求免受路径上的攻击和https://yaoweibin.cn/learn-web-application-security/DNS cache poisoning的劫持。

使用HTTPS

HTTPS加密服务器与客户端之间交换的所有数据,以保护登录凭据,标头信息,cookie,请求数据等。

所以,如果您已经决定学习Web应用程序安全,您可以参考以下学习资源,提升您的技能🧑‍💻。

PortSwigger

从Burp Suite的开发者那里学习 – 这是一种各种网络安全工具的主要平台。它是一种在线和免费的培训,可以提升您在网络安全方面的职业生涯。

通过交互式实验室,您可以随时随地学习,并跟踪您的进度。它提供了关于业务逻辑漏洞、信息泄露、Web缓存污染、不安全的序列化、SQL注入、XSS、CSRF、XXE注入等方面的培训。

PortSwigger的学习材料由经验丰富的专业人员、研究团队和他们的创始人Dafydd Stuttard制作。他也是一本名为《Web应用程序黑客手册》的著名书籍的作者。

预览 产品 评分 价格
https://yaoweibin.cn/learn-web-application-security/

The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws 暂无评分 $34.20

教程以文本和视频内容详细解释,以便轻松记住关键要点。他们的交互式实验室使整个课程充满了乐趣,这是他们提出现实谜题来测试您的黑客技能的地方。

EdX

《Web安全基础》由https://yaoweibin.cn/learn-web-application-security/EdX提供,非常适合了解基本原理。它为您提供了常见攻击和相应的防范措施的概述,包括理论和实践。

他们还教授当前流行的最佳安全实践,以保护Web应用程序。如果您想参加这门课程,不一定需要先有安全知识。但如果您有相关知识,将有助于更好地理解诸如HTTP、JavaScript、HTML等方面的内容。

课程为期5周,每周需要4-6小时。学习是完全免费的;但如果您愿意,可以支付48.97美元获得验证和由机构标志签署的证书。该证书可用于提高就业前景,并可在LinkedIn上共享或包含在简历中。

斯坦福大学

https://yaoweibin.cn/learn-web-application-security/Stanford提供的CS 253 Web安全课程提供了完整的Web安全概述,并旨在使学生了解常见的Web攻击及其预防方法。该课程不仅涵盖基础知识,还包括Web安全的高级学习内容。

一些课程主题包括:

  • Web安全原理
  • 攻击与防御
  • Web应用程序漏洞
  • 浏览器安全模型
  • 注入、DoS和TLS攻击
  • 指纹识别、隐私、同源策略、身份验证、跨站脚本、JavaScript安全
  • 防御深度
  • 新兴威胁
  • 编写安全代码的技术、安全漏洞利用
  • 实施不断发展的Web标准和防御弱Web应用程序

要参加此课程,您必须完成CS 142或其他类似的Web开发经验。在这里,出勤是必须的,评分依据如下:

  • 作业占75%
  • 期末考试占25%

为了更好地准备,您可以阅读CS 253课程的解决方案和其他链接14。

初学者友好

毫无疑问,是学习各种在线课程的最佳地点之一;网络应用安全就是其中之一。如果您是初学者,这门课程非常适合您,因为它不需要先前的编码知识。

您将在本课程中学到:

通过OWASP或Open Web Application Security Project检测到的最佳10个威胁的识别

了解如何减轻这些威胁

每个威胁对您的业务的影响

攻击者如何执行这些威胁

该课程用最简单的语言解释,以便每个对互联网和计算机有少许了解的人都能理解。它还涵盖了深入的防御,欺骗、信息泄露、篡改、否认、特权提升和DoS的解释。

有经验的导师会教您掌握Web安全的基础知识。

Coursera

列表中另一个非常好的选择是,它教您如何使用OWASP ZAP或Zed Attack代理。这个工具可以帮助安全专家和渗透测试人员发现漏洞。

他们教您如何扫描漏洞、分析扫描结果、生成报告等等。

您还将学习浏览器代理配置,通过探索网站被动地扫描响应和请求。

对于如何查看、拦截、转发和修改Web应用程序与浏览器之间进行的Web请求的简要说明。

此外,您还将学习如何利用字典列表来查找Web服务器上的文件夹和文件。

此外,您还可以了解如何使用网页蜘蛛程序爬取网站以查找URL和链接。

课程讲师将逐步引导您每个主题的分屏视频,由于其在云端,您不必浪费时间下载。提供的每个计划都包含证书,无需额外费用。

PentesterLab

从基础到高级的范围广泛。他们教您如何手动查找和利用漏洞。他们的所有练习都涵盖了各种系统中常见的弱点或问题。

为了更好地学习,他们提供真实的系统和真实的漏洞,以便您可以实时学习,而无需仿真。他们的在线练习让您在课程完成后获得证书。所有练习都分为徽章,您可以完成这些徽章以获得证书。

YouTube

是知识的中心;您只需要正确使用它!

因此,有一个YouTube上拥有505k订阅者的频道- Google Chrome开发者,您可以参考学习。

在本教程中,您可以了解一些典型的攻击向量以及如何保护您的数据、用户和声誉。接下来,您将介绍一门新课程,该课程旨在提供简明的讲座和关于防御和攻击的实践练习。

Mozilla

转到Mozilla的,并访问有关Web安全的有用文章。这里列出的文章涵盖了许多主题,如内容安全、连接安全、数据安全、信息泄漏、数据完整性、点击劫持保护、用户数据安全等。

这些文章中的信息将帮助您保护您的网站及其所有代码免受数据盗窃和攻击。您可以学到一些有趣的东西,比如如何修复您的网站,如何阻止混合内容,签名算法等等。

Invicti

一篇由https://yaoweibin.cn/learn-web-application-security/Invicti撰写的综合性文章能够很好地解释Web应用安全的细微之处。这篇文章很好地帮助了初学者理解Web安全中使用的术语和技术。

文章中解释了Webhttps://yaoweibin.cn/learn-web-application-security/app security的神话和基础知识,以及现如今企业如何提升网站和应用程序的安全性以抵挡网络攻击者。

您将学到:

  • 如何保护您的Web应用程序
  • 选择适合的漏洞扫描器
  • 免费与商业Web漏洞扫描器的区别
  • 如何测试漏洞扫描器以及何时使用它
  • 一些保护Web服务器及其他组件的最佳实践

SANS

如果您的目标是保护Web应用程序,请参加https://yaoweibin.cn/learn-web-application-security/SANS的SEC22课程。它将帮助您了解与您的Web应用程序相关的所有安全漏洞,以便保护您的Web资产。

该课程还介绍了架构、基础设施和编码的缓解技术,以及真实世界的方法。您将熟悉这些漏洞的性质,以了解它们为什么会发生以及如何缓解它们。

适合负责管理、实施或保护Web应用程序的人参加,可能包括应用安全分析员、架构师、开发人员、审计人员、渗透测试人员等。

该课程将涵盖以下主题:

  • OWASP前10威胁
  • CWE前25个软件错误的具体问题
  • 将云集成到Web应用程序中
  • 应用程序语言配置
  • 基础设施配置和安全管理
  • 身份验证机制
  • HTTP头
  • 业务逻辑漏洞
  • 如XSS、CSRF、SQL注入等编码错误

如果您了解Web应用程序的基本概念和技术,如JavaScript和HTML,那么您就可以参加这门课程。

Cloudflare

这是由https://yaoweibin.cn/learn-web-application-security/Cloudflare撰写的列表中的另一篇关于Web应用程序安全的文章。

准确地说,它解释了:

  • 这个术语的意义是什么,
  • 一些典型的漏洞,然后
  • 预防Web安全漏洞的最佳实践

阅读本文以澄清一些基本概念,这将在您参加Web应用程序安全项目时对您有很大帮助。

结束语

学习Web应用程序安全已经变得至关重要,因为https://yaoweibin.cn/learn-web-application-security/cyberattacks正在迅速增加。

祝您好运!

类似文章