跳至内容
Web 安全基础与工具

Web 安全基础与工具

这篇梳理学习 Web 安全需要的知识储备、常用工具分类、网络空间搜索引擎以及环境配置,为后续的漏洞分析打基础。

本系列内容仅用于授权测试、CTF 与安全教育。请勿对未获授权的系统进行测试,相关法律责任自负。文中所有技术均以理解原理、做好防御与修复为目的。

需要掌握的基础知识

学习 Web 安全前,建议先具备以下基础:

  • 掌握 HTTP 头部报文格式(请求/响应行、常见 header、状态码)。
  • 了解前端开发语言:HTML、CSS、JavaScript
  • 掌握 Web 服务端架构(如 LAMP/LNMP、中间件、数据库交互流程)。
  • 掌握 SQL 语言
  • 了解后端语言:PHP、Python

常用工具分类

类别用途
浏览器及其插件查看请求/响应、修改参数、调试
代理抓包工具拦截、查看、重放 HTTP(S) 请求(如 Burp Suite)
漏洞扫描工具自动化发现常见漏洞
在线工具哈希反查、指纹识别、信息查询等
高级搜索语法利用搜索引擎做信息收集

网络空间搜索引擎

网络空间搜索引擎可以检索暴露在公网的设备和服务,用于资产测绘和信息收集:

名称地址说明
Shodan(撒旦)https://www.shodan.io国外,最知名的设备搜索引擎
ZoomEye(钟馗之眼)https://www.zoomeye.org国内
FOFA(佛法)https://fofa.so国内
Netcrafthttps://www.netcraft.com站点信息与历史

常用在线工具网站

网站用途
https://whatweb.net/Web 指纹识别(CMS、框架等)
https://www.ipip.net/IP 地理位置查询
http://www.cmd5.com/MD5 等哈希在线反查
http://tool.chinaz.com站长综合工具
http://www.anquanquan.info/安全综合工具

环境配置

火狐(Firefox)常用安全插件:

  • Firebug:网页调试。
  • HackBar:快速构造和提交请求参数。
  • Proxy Switcher:快速切换代理。
  • Tamper Data:拦截并篡改 HTTP 请求。
最后更新于