零基礎如何學習Web安全？

web基礎知識

web安全，意為web的安全，web即萬維網，是由超文本和HTTP構造，就是我們常說的網站。那么要學習web安全，必要先要了解web的知識，不然何談滲透，網站是由程序，空間，域名三大部分組成。我們滲透的目標一般就是網站的程序，能編寫網站的編程語言非常多，然而最最適合我們的還是PHP它的優點在于：入門學習時間短快速開發，可以說非常的適合我們的學習。

漏洞學習

安全學習就要掌握各種漏洞原理比如注入漏洞：將不受信任的數據作為命令或查詢的一部分發送到解析器時，會產生諸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻擊者的惡意數據可以誘使解析器在沒有適當授權的情況下執行非預期命令或訪問數據。要明白漏洞形成的過程和原因，從而可以在以后安全風險挖掘過程中隨機應變。漏洞學習可以參考OWASP來源項目，項目中不僅包涵漏洞原理，測試工具，還有其他的來源目標系統供你練手(當然也有很多其他平臺，需要你進入圈子慢慢挖掘)。下面是登錄模塊可能存在的問題點：

合適的武器

"工欲善其事，必先利其器"，好的工具可以大大的提供效率。當然利用工具的目的是為了提高效率，而不是讓自己變成腳本小子。所以不僅要會用工具，而且要知道其中的原理，最好能夠在原工具的基礎上進行二次開發。下圖是一些滲透測試工具

融入圈子

結交一些白帽子像博客、論壇、qq、安全沙龍、CTF比賽等，不僅可以與時俱進學習到新的知識，而且還可以認識到一群一起成長的朋友。