搞CTF的web已经一年多了，虽然不能说是技术已经可以了，但是多多少少的踩过很多坑。

最近很多人在问我想打CTF，我学想搞web，怎么入门。很多人都在困扰这个问题，我依据我走过来的路，谈谈我自己的所谓的“经验”吧！只是个人的角度谈谈罢了，不喜勿喷。

搞web吧！首先就是要去学一些web的基础知识，要去学一些HTML知识，了解HTML语法，懂它的框架。能看懂就好，不需要花费太多时间，看看就行，反正在以后的F12过程中，会慢慢熟悉的。还有就是了解OSI七层模型

知道什么是HTTP请求头跟响应头，能看懂HTTP头的内容，大致了解每一个头的含义，CTF的很多入门题，都是从它的HTTP头入手的。最好去抓一个HTTP的包，理论结合实践分析，从而更好的了解什么是HTTP请求(响应)头。

这儿说到抓包了，那就得谈谈搞web的一个必不可少的一个软件了，就是Burpsuite，说明一下，因为这个是用Java写的，所以你要是想要运行，就要安装Java环境，很多人看到 网站上提供JRE和JDK的两种不同的Java环境安装包，不知道下那个好，在这里我稍微科普一下吧！JRE是一个运行Java文件的一个环境，直接傻瓜式装JRE的安装软件就行，装还之后就能跑Java的软件了(就像Burpsuit)，而JDK呢,他是开发Java所需要的环境（JDK包含JRE）安装它需要配置环境变量，这东西可自行百度。还有就是装好之后要配置一些代理，可以从浏览器设置中配置值代理。但是我个人比较推荐插件设置，因为插件设置更简单直接方便，这里我推荐Proxy Switchy Omega这个插件，可以一键切换，用的时候很方便。当然自己有其他喜欢的可以去安装其他的插件。

还有就是多实践，这儿推荐一波靶场吧

CTF的一些小tips针对CTF，大家如何训练的：https://www.zhihu.com/question/30505597

黑客游戏

………………………………………………………………………………………………

梦之光芒（黑客游戏）：http://monyer.com/game/game1（CTF入门从游戏开始）

黑客榜中榜（游戏共3期，自选)：http://www.cn-hack.cn/site/uu0708.html

CTF平台

………………………………………………………………………………………………

西电平台迎新题 https://moectf.cn/（新手）

bugku练习平台：https://ctf.bugku.com（新手）

网络信息安全攻防学习平台：http://hackinglab.cn（新手）

南京邮电大学 https://cgctf.nuptsast.com/（过度题目）

蓝鲸安全CTF：http://whalectf.xin/（进阶）

XCTF攻防世界：http://adworld.xctf.org.cn/（进阶）

北京联合大学的平台 https://buuoj.cn/（高手，大型比赛题目复现）国庆期间，平台暂时关了

还有就是经验分享了，在刷题的时候，注意记笔记，千万要记笔记，或者是可以自己弄一个博客。

因为Web套路很多，你一次不能能看尽搜有的套路，把他记录下来，然后随用随查，看看它所涉及的知识点很有用，这儿推荐有道云笔记和印象笔记都挺好用的，看自己的个人习惯了，还有就是这里面你可以写你做题的一些writeup还有就是记录自己所研究的一些东西，在研究过程中写一下自己踩的坑都可以记录下来对以后挺有帮助的。

对了，还有就是要学会自己搭建网站，简单点的可以使用phpstudy，这个是集成好了Apache，PHP，mysql的一体化环境，当然也可以自己弄一个阿里云的学生服务器，可以弄一个阿里云的学生服务器，价格很便宜9.5/月，24岁以下自动认为是学生，弄那个服务器端的时候，推荐去弄LAMP环境的，它所用的是Linux的操作系统同时也包含了，Apache，PHP，MySQL三件套，简单方便，申请时候，直接把自己的PHP文件上传到服务器上就能访问了，连接服务器的是后可以用Xshell和Xftp（网上很多破解版的）用Navicat可以连接云服务器的数据库。因为做渗透嘛不能只用别人的靶场，要学会自己搭建网站，尝试做一些渗透练习，可以在GitHub上找一些源码自己练习，也可以自己写一下php文件，搞一下代码审计。

还有就是书籍推荐

学web入门吧推荐是《web安全深度剖析》虽然内容有些老，但是对新手入门很友好。

《web前端黑客技术揭秘》偏向于前端黑客知识，都是些理论话的东西

还有是徐焱的《web安全攻防》这本书偏向于web渗透实战，手把手教你如何搭建环境。还有配套的源代码，可以边搞实战技巧边玩代码审计。

再然后就是道哥的《白帽子讲web安全》了，萌新读这个可能会有点困难，但是这本书不可不读，里面的思想方法值得学习。

中后期就是偏向于编程和脚本了，搞web首先就是要学号PHP，然后可以学python（CTF题目很多是要写脚本的）

学好编程并能写一些简单的工具是web渗透的分水岭。。。。

（待更。。。。）