如何提高安全专家的素质

Question

我是一个专业的软件开发人员，对web应用程序安全性有很高的兴趣。我要说的是，我可能比普通的开发人员更了解web应用程序的安全性。我的问题是，我的知识主要集中在网络安全的理论部分--也就是说，我读过很多书，我关注博客和邮件列表，但我的实践经验有限。

我知道漏洞的根本原因，我知道它们是如何工作的，也知道如何阻止它们。我想要做的是，把我的知识带到下一步--我想要那种实践经验。我知道在我职业生涯的某个时候，我可能会做一些与安全有关的事情，但不是现在--至少不是全职的。同时，我想建立我的web应用程序安全知识，并获得更多的经验，特别是在领域，如渗透测试。

我的问题是，亲爱的安全专家，你有什么建议让我获得我如此渴望的实际经验？您可以推荐哪些资源来学习渗透测试中使用的不同工具和技术？

一种选择是在本地安装易受攻击的web应用程序(我知道google代码中至少有一个，不记得它的名称)，然后使用诸如OWASP的测试指南之类的指南来尝试不同的技术。然而，我可能在寻找一种更有指导意义的学习方式，意思是，我想知道我应该按照什么顺序去做事情，确保我做的事情是正确的，并按照正确的顺序--婴儿的步骤，也就是说。

任何和所有的建议都是非常欢迎的。

Answer 1

这是伟大的，你正在做这么多的学习，你自己。你走在正确的轨道上。你对自己学习的热情将使你在竞争中取得更高的成绩。荣誉。

我的主要建议是:不要太担心在你想学的所有材料中规划出一条道路。你不需要一个深思熟虑的计划。相反，把你的手弄脏，四处游玩，不要害怕去探索。当你看到一些看起来很酷的东西时，要机会主义地跟进。一开始你可能会不知所措，但从长远来看，我认为你会发现这是一次很有价值的经历。

我认为一个很好的经验是对软件系统进行安全评估。这对你来说将是一次有趣的经历。您可以选择一个开放源代码的web应用程序或web编程框架，并对其进行安全性评估:进行架构风险评估( Microsoft称之为“威胁建模”，具有大步等)，阅读代码，进行安全代码检查，尝试一些静态分析工具。然后，写下你的结果，并在博客上发表你的评价。这样做几次，我认为这段经历对你会非常有帮助。

另一个非常好的经验，你将是建立一个非平凡的web应用程序或两个。我喜欢web2py作为一个web编程框架，因为它的学习曲线很容易学习，但是或者选择一些更流行的东西(例如Rails、PHP或其框架之一)可能是很好的经验来了解公共框架的问题所在。用一些客户端JavaScript代码编写一个web应用程序.学习如何使用jQuery等。也许用Node.js做实验。我认为这将是一个很好的方式来接触到一些挑战和心态，网页开发人员可能会面对。

根据你的个性，你可能会发现创建一个博客并写下你学到的有趣的东西是很有趣的，因为你学习了它们。对许多人来说，写东西的行为会巩固你的大脑，迫使你更好地理解它。

你提到过练习黑客攻击一个网络应用程序。学习如何黑客一个web应用程序是有趣的，这是值得的，在一定程度上。有一些动手操作web应用程序的经验是很好的，可以帮助您考虑风险，并使概念具体化。但是，我不会把它作为你学习的重点。现在，网络渗透测试是一项低端的活动，有着不太有希望的职业机会，所以我不建议把你的精力集中在学习成为一名网络五人。如果你有选择的话，我建议你不要这么做(听起来你是这么做的)。

Answer 2

我同意你的处境:-)

我已经在infosec社区里闲逛了一段时间，基本上是想做一些你也想做的事情。这些是我学到的关于如何弄脏你的手的一些建议。

eLearnSecurity

对我个人来说，我决定继续在eLearnSecurity的课程。

http://www.elearnsecurity.com/course/penetration_测试/

由于非常务实，它在安全社区中获得了很大的吸引力。他们也有一个他们称之为“竞技场”的设置，在那里你有一个易受攻击的网络应用的游乐场供你使用。

这不是那些“为了人力资源”的认证之一。很有用的。

DVWA

你也可以看看我的一个朋友Ryan：http://www.dvwa.co.uk/ (有点像Owasp的WebGoat )创建的该死的易受攻击的网络应用程序，但在我看来更好。例如:它向您展示了漏洞，然后介绍了如何防止这种漏洞的PHP代码。

与其他类似的列表如下：https://web.archive.org/web/20160527115615/http://punter-infosec.com/vulnerable-web-applications-to-learn-web-application-testing-skills

烈火

这是一个基于清单的安全代码检查工具。你可以从中学到很多东西。总的来说，看看SecurityNinja (David )的博客，它充满了好东西。

https://web.archive.org/web/20160427080011/http://www.securityninja.co.uk/application-security/agnitio-v1-2-released-today/

EH-NET

看看http://www.ethicalhacker.net，里面有很多好的指针。

挑战/战争小游戏

这些都是很好的理由:练习，练习，练习。他们有很多，而好的一个有水平的初学者和以后。

http://www.thehexfactor.org/

https://web.archive.org/web/20160406111843/http://www.iriss.ie/iriss/hackeire.htm

我希望其中的一些对你有用。干杯!

很抱歉链接不是链接，显然我不允许有很多链接，因为我的声誉还不够高(这是我的第一个答案)。

Answer 3

http://google-gruyere.appspot.com/提供了一些您可以解决的实际问题。

这个codelab展示了如何利用web应用程序的漏洞，以及如何抵御这些攻击。学习东西的最好方法是通过做，这样你就有机会做一些真正的渗透测试，实际上是开发一个真正的应用程序。具体来说，您将了解以下内容：

1. 如何使用常见的web安全漏洞(如跨站点脚本漏洞(XSS)和跨站点请求伪造(XSRF) )攻击应用程序。
2. 如何查找、修复和避免这些常见的漏洞和其他具有安全影响的漏洞，例如拒绝服务、信息泄露或远程代码执行。