web安全学习路线
参加了字节跳动安全与风控训练营,根据官网安全综述文档摘录的安全学习路线
web安全
前端安全
- XSS
- 点击劫持
- 浏览器、webview安全
接口安全
- 接口请求
- 错误的Method
- 协议:
- HTTP明文传输
- 脆弱的加密方法
- 低版本加密协议
- //的滥用
- 协议降级
- 域名
- 域名接管
- 域传送
- robote.txt
- 社工钓鱼
- 敏感端口暴露
- 路径
- 目录遍历
- CRLF漏洞
- 列目录
- 敏感文件、目录访问
- Header
- CORS绕过
- CSRF
- Referer绕过
- 参数
- SQL注入
- 命令执行
- SSRF
- 任意文件上传
- 文件包含
- XXE
- 任意网址跳转
- JSONP劫持
- 接口鉴权
- 未鉴权
- 越权
- 接口频控
- 短袖邮件暴力发送
- 关键接口
- 发帖、评论
- 反爬虫
- 接口返回
- Header设置缺失
- 敏感信息返回
- 返回系统架构、网站路径等基础信息
- 接口请求
安全建设
- 被动安全
- WAF
- IDS,IPS
- 应急响应
- 风控
- 蜜罐
- 主动安全
- 安全基线
- SDLC
- DAST,IAST
- SAST
- 被动安全
学习路线
- 自己搭建博客
- 安全知识
- Web知识
- 安全能力提升
- 知识学习
- 靶场练习
- 实战练习
- 开发安全工具
- 参与实习
- 自己搭建博客
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 h4m5t's Blog!