如何在线学习web安全的攻防技术

第一部分 web的安全需求

1.1 Web安全的体系结构，包du括主机安全，网络安全和应用安全

1.2 Web浏览器和服务器的安全需求

在已知的web服务器(包括软硬件)漏洞中，针对该类型web服务器的攻击最少

对服务器的管理操作只能由授权用户执行

拒绝通过web访问web服务器上不公开发布的内容

禁止内嵌在OS或者 web server软件中的不必要的网络服务

有能力控制对各种形式的.exe程序的访问

能够对web操作进行日志记录，以便于进行入侵检测和入侵企图分析

具有适当的容错功能

1.3 Web传输的安全需求

Web服务器必须和内部网络隔离：

有四种实现方式，应选择使用高性能的cisco防火墙实现隔离

Web服务器必须和数据库隔离

维护一份web站点的安全拷贝：来自开发人员最终发布的版本(内容安全)

其次，存储的地点是安全的(另一台独立的位于防火墙之后的内网的主机)

安全是目的，了解渗透是为更好的了解如何防护，这个是正道。

渗透不要钻太多，它不能当工作，不能合法赚钱，而安全是可以的，可以工作，可以创业。

了解的多了，将来也可以做网络安全方面的工作，比如开发web安全防护产品，甚至是创建自己的企业。

祝你好运。

---