一、网络安全概述

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因遭到破坏、更改、泄露，系统能连续可靠的正常运行，网络服务不中断。简单来说。就是要保障我们的网络环境安全稳定，不被人破坏捣乱。

网络安全包含的范畴：

1.系统安全：这是保证信息处理和传输系统的安全，侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统的存储、处理和传输的消息造成破坏和损失。

2.网络的安全：网络上的系统信息的安全，包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计等。

3.信息传播的安全：即信息传播的后果的安全，包括信息过滤等，侧重于防止和控制由非法、有害信息进行传播所产生的后果。

4.信息内容安全：它侧重于保护信息的保密性、真实性和完整性，避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。

网络安全的学习范畴：

1.网络的基础知识：了解网络的基本概念、协议和架构，比如TCP/IP协议、网络拓扑结构等。

2.计算机基础知识：理解计算机系统的工作原理，熟悉操作系统、硬件和软件的基本知识。

3.信息安全意识：提高对信息安全的认识，了解各类网络攻击的特点和危害。

4.密码学：学习密码学的基本原理和算法，如对称加密、非对称加密等。

5.网络攻击与防御技术：掌握不同类型的网络攻击技术，如入侵检测与防御、恶意软件防护等。

6.安全漏洞分析与修复：了解常见的网络安全漏洞和弱点，学习漏洞分析和修复的方法。

二、Web安全学习路线

##Web安全基础

···本阶段主要讲解Web安全领域下的必备基础知识与工具的使用

···包括网络协议、BurpSuite的使用、SRC挖掘等。

##业务逻辑漏洞

···本阶段主要讲解业内常见的业务逻辑漏洞，以及如何挖掘与利用业务系统逻辑漏洞

···包括URL跳转逻辑漏洞、信息轰炸漏洞、密码找回漏洞等，分析业务各类业务逻辑漏洞成因，以及挖掘与利用方法。

##SQL注入漏洞

···本阶段介绍MySQL数据库的应用与SQL注入实操，以及SqlMap应用

···了解数据库的用途与逻辑，以及Mysql数据库的使用，掌握SQL注入基础与SQL注入靶场的环境搭建，掌握SQL注入的各类注入方法，以及手动注入与自动化注入工具的实操。

##跨站脚本攻击漏洞

···本阶段讲解XSS漏洞原理、攻击手段、XSS漏洞利用方法、BeEF平台的使用，以及XSS漏洞修复手段

···掌握基本前段能力，了解软件前端的运行原理，掌握BeEF的XSS攻击应用、熟悉XSS的漏洞预防手段。

##跨站请求伪造漏洞

···本阶段主要讲解CSRF的成因、危害、攻击手段、漏洞利用、以及防御手段

···讲解CSRF的成因与危害，CSRF的攻击手段及应用，CSRF的防御手段讲解。

##服务器端请求伪造漏洞

···本阶段主要讲解SSRF漏洞的原理与发现，结合SSRF实现对内网敏感资源的获取，基于Redis实现反弹shell，以及SSRF的防御

···SSRF漏洞的基本概念讲解，敏感资源获取以及攻击Redis实现Shell反弹，SSRF常用防御手段讲解。

##漏洞挖掘技巧

···讲解漏洞挖掘的前期准备内容与流程，以及市场主流扫描器的部署、应用，以及漏洞扫描演练

···全面讲解SRC挖掘的前期的信息收集工作（包括IP信息、域名信息、网站信息等），便于后续的SRC的有效进行，讲解各类主流扫描器的应用（包括主动扫描器AWVS，被动扫描器Xray等）。

##文件包含漏洞

···本阶段讲解文件包含漏洞的原理、发现方法、利用手段、漏洞危害，以及主流的漏洞防御手段

···漏洞介绍，漏洞利用，漏洞修复，掌握文件包含漏洞的原理。

##文件上传漏洞

···本阶段主要讲解关于文件上传漏洞的成因、危害、各类检测绕过，以及基于WebShell+管理工具实现文件上传漏洞的攻击手段

···讲解WebShell的实现，以及基于WebShell管理工具的安装使用，讲解漏洞成因以及靶场的环境部署，讲解文件上传漏洞的主流防御机制。

##XML外部实体注入

···主要讲解XML的基本用法，XXE漏洞的探测手段、利用手段、以及常用的漏洞防御手段

···关于XML的基本用法，关于XXE漏洞的危害与探测，以及漏洞利用手段，漏洞的主流防御机制。

##中间件漏洞

···主要讲解中间件的基本概念，以及常用中间件的历史漏洞复现与利用

···中间件介绍，JBoss，Webblogic实现常用中间件的历史版本下的漏洞复现及利用。

##环境部署与主流工具应用

···主要讲解操作系统、基础工具和靶场的部署使用。