一、为何要了解Web安全

最近加入新公司后，公司的官网突然被Google标记为了不安全的诈骗网站，一时间我们信息技术部门成为了众矢之的，虽然老官网并不是我们开发的（因为开发老官网的前辈们全都跑路了）。我们花了很多时间做Web安全扫描以及修复，在检查和修复过程中，发现老系统的代码的不可维护性（再次说明整洁代码之道Clean Code的重要性）及安全性（同时也说明了Web安全的重要性）。

修复之后，向Google提出了申诉，漫长的等待（1~2天对于公司的官网来说就是Money啊！）后Google放开了。当我们庆幸终于把该死的老官网的安全问题解决了的时候，过了几天后又被Google加入黑名单了，WTF！于是，再次安全扫描，排除一切可能的原因，做好备用方案，再次进入安全修复迭代…

对于我们来说，这次的经验让我意识到，不遵守整洁代码之道和安全系统之道的系统就像一颗定时炸弹，你不知道它什么时候就会爆炸又或者是虚晃一枪，又让我想起整洁代码之道一书的封面：

上面这张图是M104：草帽星系，其核心是一个质量超大的黑洞，有100万个太阳那么重，环绕着M104的光环就像一顶墨西哥草帽，仿佛经历了大爆炸之后碎片四溅的产物。联系到我们所经历过的没由整洁代码风格各异不可维护的软件项目，其实当你接手时之前的代码都是一个个的黑洞，存在着某天会定时爆发的风险，而当它真正爆发时，接手这个项目的所有人又或者没有接手过的人都会因此遭殃。

因此，作为一名Web系统开发者，不但要追求整洁代码，也要了解Web安全知识。目前系统讲解Web安全的书籍里，阿里巴巴高级技术专家吴翰清的这本《白帽子讲Web安全》是评分较高的一本（豆瓣评分7.4），虽然现在看来有点过时（很多的漏洞案例都早已被修复），但是基础的知识点都有覆盖，是建立安全思维的好书！此外，它对于安全开发流程与运营的介绍，同样具有深刻的行业指导意义。所以，我快速地学习了一遍，做了一些笔记与各位分享。

二、精华内容导图笔记

完整的笔记导图在线浏览地址：https://www.processon.com/view/5c11e98ae4b0ed122da3f749，下面为了阅读体验，分成3个部分来显示。

2.1 客户端脚本安全

2.2 服务端应用安全

2.3 安全运营体系建设

594927)]

2.3 安全运营体系建设

网络安全基础入门需要学习哪些知识？

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览，小伙伴们记得点个收藏！

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-v19T846c-1677167179814)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一：基础入门

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sRoDZu4K-1677167179814)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二：技术进阶（到了这一步你才算入门）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-il25GFVz-1677167179815)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ITOSD3Gz-1677167179816)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四：蓝队课程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SKCwwld2-1677167179818)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御，即更容易被大家理解的网络安全工程师。

攻防兼备，年薪收入可以达到40w+

阶段五：面试指南&阶段六：升级内容

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！