Web逆向总论
Web逆向 = Web知识 + 逆向知识
Web逆向的整体思想就是:站在Web开发工程师的角度,思考怎么Web程序所暴露的安全问题,从而完成逆向工作。
在Web安全领域,“Web逆向”的概念可以被解释为对Web应用程序进行逆向分析的过程,目的是发现潜在的安全漏洞。
学习Web逆向,不仅仅是在学习知识和技术,最主要的是灵活学会一种适合自己的解决逆向的规律,这种规律是在自己逐渐有宏观和微观的对Web安全逆向认知后,自然而然形成的一种潜意识的主动解决方法。
提示
下面的课程不是从网上的资料随意拼凑而来,是有专门的重点和解释。
⛱阶段一(7-15天)
- 🎉HTTP和HTTPS通信原理,记住常用的状态码意义。详情
- 🎉HTTPS证书,HTTPS的安全机制。详情
- 🎉HTML,CSS,JS基础。详情
- 🎉HTML,CSS,JS压缩后的代码。详情
- 🎉浏览器怎么解析JS。详情
- 🎉简单使用PostMan请求接口数据。详情
- 🎉DNS和IP。详情
- 🎉学习谷歌开发者工具。详情
- 🎉Cookie获取和应用。详情
- 🎉Ajax是什么,怎么用。详情
- 🎉Babel在现代Web应用中的作用。(Babel是静态分析基础)详情
⛱阶段二(7-15天)
- 🎉JS高级特性,闭包和异步。详情
- 🎉前端框架,React,Vue,Angular用法。详情
- 🎉熟悉NodeJS,PHP,Python的标准用法模板。详情
- 🎉常见服务器软件,Nginx和Apache和ISS。详情
- 🎉怎么区分Web应用所用Web技术。详情
- 🎉Nginx常用配置以扩展阅读。详情
- 🎉Web部署流转的全套流程【重点】。详情
🚩接下来基本上都属于逆向了, 推荐学习或者工作先看一下,中华人民共和国网络安全法,这样子在做任何事情的时候,心里有一杆天平,要知道自己是工作,而不是为了工作做违法的事情。合情合理的逆向是允许的,但是非法恶意的获取使用是违法的,因此即使在工作中也要辨别是非。 安全法链接 https://wglj.pds.gov.cn/contents/12512/135136.html ,最主要的是要关注安全法第二十一条、第三十四条、第五十九条。 - 🎉Burp Suite基本使用和坑。详情
- 🎉DrissionPage使用技巧和坑。详情
- 🎉识别XSS、CSRF和攻击手段。详情
- 🎉动态验证和审计行为分析。详情
- 🎉Web静态调试和动态内存调试基础。详情
- 🎉Web代码怎么追溯变量和函数方法。详情
- 🎉常见加固web方案和破解思路【重点】。详情
- 🎉常见禁止调试方案和应对方法。详情
- 🎉通过极验证学习滑块分析,分析W问题。详情
- 🎉浏览器指纹(补环境来源根本原因)详情
- 🎉补环境的今生前世。详情
- 🎉JSVMP(代码虚拟化保护方案)【未来的逆向重点】。详情
⛱阶段三
🤔高级部分,属于应用方面较多,实践较多,主要目的是融会贯通,学习宏观解决问题的方法。
🤷♀️主要涉及加解密,反混淆,Web和Android之间的结合,矩阵组网等
🎉 路线:循序渐进的把学过的知识点和实践结合起来,达到游刃有余,中高级Web逆向工程师的水平。