Web 安全基础与工具
这篇梳理学习 Web 安全需要的知识储备、常用工具分类、网络空间搜索引擎以及环境配置,为后续的漏洞分析打基础。
本系列内容仅用于授权测试、CTF 与安全教育。请勿对未获授权的系统进行测试,相关法律责任自负。文中所有技术均以理解原理、做好防御与修复为目的。
需要掌握的基础知识
学习 Web 安全前,建议先具备以下基础:
- 掌握 HTTP 头部报文格式(请求/响应行、常见 header、状态码)。
- 了解前端开发语言:HTML、CSS、JavaScript。
- 掌握 Web 服务端架构(如 LAMP/LNMP、中间件、数据库交互流程)。
- 掌握 SQL 语言。
- 了解后端语言:PHP、Python。
常用工具分类
| 类别 | 用途 |
|---|---|
| 浏览器及其插件 | 查看请求/响应、修改参数、调试 |
| 代理抓包工具 | 拦截、查看、重放 HTTP(S) 请求(如 Burp Suite) |
| 漏洞扫描工具 | 自动化发现常见漏洞 |
| 在线工具 | 哈希反查、指纹识别、信息查询等 |
| 高级搜索语法 | 利用搜索引擎做信息收集 |
网络空间搜索引擎
网络空间搜索引擎可以检索暴露在公网的设备和服务,用于资产测绘和信息收集:
| 名称 | 地址 | 说明 |
|---|---|---|
| Shodan(撒旦) | https://www.shodan.io | 国外,最知名的设备搜索引擎 |
| ZoomEye(钟馗之眼) | https://www.zoomeye.org | 国内 |
| FOFA(佛法) | https://fofa.so | 国内 |
| Netcraft | https://www.netcraft.com | 站点信息与历史 |
常用在线工具网站
| 网站 | 用途 |
|---|---|
| https://whatweb.net/ | Web 指纹识别(CMS、框架等) |
| https://www.ipip.net/ | IP 地理位置查询 |
| http://www.cmd5.com/ | MD5 等哈希在线反查 |
| http://tool.chinaz.com | 站长综合工具 |
| http://www.anquanquan.info/ | 安全综合工具 |
环境配置
火狐(Firefox)常用安全插件:
- Firebug:网页调试。
- HackBar:快速构造和提交请求参数。
- Proxy Switcher:快速切换代理。
- Tamper Data:拦截并篡改 HTTP 请求。
最后更新于