一、HTTP抓包、修改
- http请求、响应流程
- 浏览器插件(FireFox):Firebug、Tamper Data、Hackbar
- 工具:Burpsuite、Fiddler
二、web前端
- Html、CSS、Javascript:MDN文档
- 编码:百度或google (url编码,html编码)
- cookie,缓存
- 跨域问题,CSP策略
三、web后端
- PHP: 官方文档
- Python: 廖雪峰Python教程(www.liaoxuefeng.com),官方文档
- Python框架:Flask,Tornado,Django
- PHP框架: Laravel,Yii,ThinkPHP
- Session
四、数据库和服务器
- 了解常见数据库及区别:MySQL、PostgreSQL、Oracle、Sqlite、MongoDB
- 数据库操作:基本语句,文件读取,写入,权限,dnslog
- 服务器:配置主流服务器:Apache、Nginx
- 缓存引擎:Redis、Memcached
五、Linux
- Shell
- Docker
六、常见web漏洞
- XSS
- SQL注入
- CSRF
- SSRF
- 命令执行
- 未授权访问
- 目录遍历
- 业务逻辑漏洞
七、工具
- Sqlmap(sql注入检测)
- Burpsuite(神器)
- Netsparker(web漏洞扫描)
- Kali、woobuntu(自带安全工具的Linux发行版)
八、书和网站
- 《白帽子讲web安全》
- 《Web前端黑客技术揭秘》
- 《Python网络编程(第三版)》
- 《Python高级编程》
- 《Effective Python》
- Sec Wiki
- 乌云网
- Freebuf
- 腾讯src博客
- 推酷
** 附:拒绝百度,拥抱Google **