我的安全之路——Web安全篇

標籤：down   免費   sql注入   活動   問答   重要   add   ida   串連   

write in my dormitory at ??9:47:05 Friday, April 7, 2017 by giantbranch（一個當初想橫跨web跟二進位的菜雞）

————致即將畢業的自己。

這是我的安全之路系列第一篇，敬請期待第二篇：《我的安全之路——二進位與逆向篇》

總覽

大一：基本都在學習學校的課程，C語言，C++，高數啊，不過分數還可以，在大一複習周還在php3小時光速入門呢

大二：web開發，大概在下學期5月份這樣子開始web安全

大三：開始去參加比賽,刷題，學習各種ctf需要的知識，後期也接觸了逆向

大四：繼續學習二進位知識，分析各種漏洞，當然也有搞web，還參加世安杯，藍盾杯總決賽，鐵三資料賽

前情回顧

我並沒有像別人那樣小學初中或者高中就已經在搞安全，那時候我們都在應試教育，或者沉迷遊戲不能自拔吧，初高中我也是沉迷遊戲，那時候也中病毒什麼的，最多也會搞個360殺殺毒，重裝系統什麼的，自從有了第一次重裝系統，之後一言不合就重裝系統，其實當時也想過別人是怎麼入侵電腦，入侵網站的，不過可能是環境和機遇的原因沒有走上這條路。

後來高考要選專業了，其實當時是一心想考個好分數，也沒考慮過選個什麼專業，再過幾天就要選專業了才去考慮的，選專業當然要自己喜歡的，我左思右想，我小時候不是很喜歡拆解各種小電器嗎，也許對硬體會感興趣，第一志願報了電子科學與技術（而且後面的有網路工程啥的，就是沒有資訊安全），最後由於分數沒夠，沒能去到那專業，由於是服從分配，分配到了有點關聯的專業——資訊安全專業，其實來之前對這個專業基本沒多少瞭解的。

Web開發之路

到了大學也不是一上來就沉迷資訊安全學習，不能自拔，因為其實我們一開始跟軟工上的課都是一樣的，那就老老實實學C語言，高數，什麼的。那又是如何接觸到Web的呢，那是因為加入了電腦協會，其實在我們這組織並不是很厲害，只不過是當時有個活動是給協會會員講課，我選擇去講網頁開發，當時找了個Dreamweaver開發網頁的教程，可以說是可視化的Web開發，非常的簡單，從此就走上Web的坑咯。

其實大一還加入了電腦義修隊，哈哈，一言不合就重裝電腦，在大一快結束的時候被另一義修隊員拉到一個校園公眾號的一個團隊去搞開發去了，自此走上web開發之路。什麼查天氣，發定位測距離就是入門的一些小執行個體，挺好玩的。之後在公眾號裡面開發了查校園網上網參數，失物招領，基於WeCenter的問答系統等。

這公眾號憑藉著師兄開發的查電費功能迅速“走紅”，學校某個部門領導就發現了我們這個技術團隊，所以後來就給這個部門開發了3個web，我寫後台，當時主要是為了學習，也沒用什麼架構，確實也是學到了東西。

但是由於沒用架構，當時無論是教程還是自己都是沒有安全意識，觸發了一個重大事件——自己開發的web網站被人報wooyun了。其實就是新手開發網站存在最經典的問題，我的問題存在於新聞詳情頁存在sql注入，更加坑爹的就是使用root串連的資料庫，伺服器直接被拿下咯。除此之外，還有明文儲存密碼。

web開發陸陸續續幹了一年，對接下來的web安全之路的作用無疑非常巨大，可以說是web安全之路的“催化劑”。

Web安全之路

由於那次入侵，我就嘗試根據WooYun提交的報告，複現了一次報告者的入侵過程，收益良多。

況且由於我的專業是資訊安全，由此踏上了Web安全之路。

之後在合天網安實驗室“瘋狂”做實驗（那時候i春秋還沒出來呢），還申請當了內測人員（新出的實驗免費做，不過要寫評價，還有實驗中存在的問題等），之後邀請了合天網實驗室來了一次見面會(http://www.hetianlab.com/html/news/Geek-jnu.html)，之後還搞了個合粉俱樂部，再之後就向合天投稿了一個實驗(http://www.hetianlab.com/expc.do?ce=1d1d884e-0165-422c-a814-56f8e8c2a2e2)從而成為了一位實驗設計師了。

其實最重要的就是參加比賽，一有機會就報名參加，每次都是我們3個人報名，我們3個隨便誰一看到有比賽，就馬上相互提醒要報名，不管題目難不難，至少也得看一下，不行就賽後看一下writeup咯。

之後就邊比賽，邊刷CTF的題，還有安排其他一些知識點的深入學習，比如sql注入，xss等漏洞的學習，也深入python的編程。

還有的話就是我也是買了很多書的，看的web安全的書也是比較多了，看了一些後就沒看了，主要是看了之後發現這個知道，直接翻到下一頁了，一下就看完了。

其實還有一個就是參加了學習的開放實驗，那時是metasploit和XSS，兩個實驗可以選，都是要自學，跟著做出點成績來，後來我就設計了個逆向與二進位初探的一個開放實驗指導給老師，師弟師妹你們有福了。

其實很難具體講清楚，看我的部落格就知道我大概的學習軌跡了。

但是！！！每個人都不一樣，學習資源日新月異，知識也會更新，以上提供的僅作為參考，希望你走出更加牛逼的自己

我的安全之路——Web安全篇