[新手入門] 001 Web Security 領航之路-資安入門手冊

飛飛 | 2022-05-13

Web 這是一篇以 Web 網站安全為主的資安入門文章，作為資安新手學習的系統化路徑指南，可用於資安自學或資安相關社團入門社課的安排順序。

資安入門系列文章

第 10 屆 iT 邦幫忙鐵人賽：資訊安全大補帖
第 12 屆 iT 邦幫忙鐵人賽：資安這條路─以自建漏洞環境學習資訊安全
第 13 屆 iT 邦幫忙鐵人賽：資安這條路─系統化學習滲透測試

前言

這幾年針對社團儲備幹部想了很多鬼點子，不過總覺得沒有太大的成效，這次公開分享給大家今年我想做的方法。這篇文章想要解決的事情，就是網路上的資源這麼多，該從哪裡下手，然後透過檢核點來看自己究竟有沒有扎實的學習到該學的事情，歡迎各位補充。

更新

Note：本篇於 2021.09.04 更新 2021 SITCON 學生計算機年會Web Security 領航之路本身作為資安工程師與經營過資安社團，透過 Web Security 比較好上手的特性，希望可以藉由該議程讓許多資安社團作為新手入門資安的課程安排與參考，也歡迎對資安有興趣想入門的與會者了解有哪些資源可以利用，透過議程介紹的學習路徑與教學方法可以讓上手的速度更快減少狀況期，後段也會介紹進階課程（Windows AD、提權）的安排。 Pre ## Pre Security

資安概論

了解駭客為什麼要攻擊企業或其他人的電腦，駭客是為了何者目的而進行攻擊，以下列舉關鍵字提供大家進行搜尋。 - 攻擊、檢測：資安檢測、弱點掃描、滲透測試、紅隊演練

防禦、偵測：資安鑑識、資安防禦、資安健診、資安規劃

資安概論：推薦實戰

熟悉 Google 查詢的技巧，找到問題的關鍵字再進行搜尋

Linux 指令操作

會在實戰當中運用很多 Command Line 指令，所以一些常見的指令要會。
推薦：鳥哥的Linux 私房菜，當作工具書使用，也就是有需要用到再查即可。
之前修過 Unix 課程，課堂中老師推薦的 dywang 呆王老師教材，這份教材我覺得是有架構性的教材，各位可參考使用：Linux 系統、 Linux 伺服器。舉凡，ls, cd , mv , cp, cat ,vim 的熟練度、如何使用 ssh 進行連線也該知道 nc 如何使用。

Linux:推薦實戰

熟悉虛擬機器軟體（ VirtualBox、VMware）或 Docker
練習用虛擬機安裝作業系統 Ubuntu , Kali Linux 來練習指令
可以使用 Bash on Ubuntu on Windows 練習指令
使用 GCP 免費方案安裝 Ubuntu , Kali Linux 練習
了解實體主機與虛擬空間與虛擬主機的差別

Linux:線上資源

Linux 線上練習 jsLinux：https://bellard.org/jslinux/
Linux 線上練習 copy.sh：https://copy.sh/v86/?profile=linux26
Linux 線上練習 webminal：https://www.webminal.org/register/
Linux 線上練習 linuxcontainers：https://linuxcontainers.org/lxd/try-it/
Linux WarGame：https://overthewire.org/wargames/bandit/

Linux:教學方法

設計 Linux 闖關活動，讓學員可以透過 Linux 指令去解題。

Git 指令操作

學習 Git 不僅可以在自己開發專案的時候做到版本控制，了解 add , commit , push , pull 基本 Git 指令，以及透過跟他人協作知道 branch 的使用，更可以自行撰寫一個小工具上傳在 github 或 gitlab 開源給他人使用。推薦閱讀：連猴子都能懂得 Git 入門指南、為你自己學 Git。

Git:推薦實戰

安裝 git 在自己的主機
使用 github-pages 架設自己個人網頁
在 github 跟他人合作專案

Git:線上資源

git 練習場：https://gitbook.tw/playground

Git:教學方法

設計 git 使用情境，引導學員學習 git 。

網路概論

了解網路的運作方法對資安入門有一定的幫助，在 TCP\IP 中常見的協定有哪些，而這些協定做了什麼事情，可以從了解我們在訪問網站究竟背後的運作原理有哪些，從封包跟 Request 與 Response 到 DNS 、Domain 是什麼，HTTP 的 Header 、Method、 Status code 到 HTTPS 摸清楚這些原理。常見名詞： IP, PORT, TCP, UDP

網概:推薦實戰

使用開發者工具查看封包內容
使用 curl 指令了解如何該指令的各參數
能簡單說明網路七大層

網概:線上資源

HTTP 概論：https://www.tutorialspoint.com/http/
HTTP 規範：https://httpwg.org/specs/
HTTP 請求與回應練習：https://httpbin.org/
Lidemy HTTP Challenge：https://lidemy-http-challenge.herokuapp.com/

網概:教學方法

設計 HTTP 闖關遊戲，可針對 HTTP 、封包、DNS 進行設計，初學者可先練習使用開發者工具，推薦 FireFox 瀏覽器，可「編輯並重新傳送封包」。再練習 curl 的使用方式。

WEB 網站基礎

以 Web 網站安全為基礎，就要了解網站的架構有哪些，所以可以從前端、後端、API 去深入了解他們之間的差別。 - 前端（HTML , CSS , Javascript ）：BOM vs DOM

後端程式語言（範疇太多這裡不列舉）
資料庫（MySQL ,PostgreSQL…)：資料庫查詢語言必學、雜湊 vs 加密
伺服器軟體（Apache HTTP Server 、Microsoft IIS 、 Nginx）
常見名詞：Session, Cookie, 同源政策(Same-origin policy), 跨來源資源共用（CORS）, Cache , 框架 , 函式庫, DOM, URL 編碼

網站:推薦實戰

學習寫一個網站（不管後端用什麼程式語言）
學習操作資料庫（Select、Insert、Delete 、 Update）
了解開發網站的流程

網站:線上資源

練習操作資料庫：https://sqlbolt.com/
Web 入門：https://developer.mozilla.org/zh-TW/docs/Learn/Getting\_started\_with\_the\_web

網站:教學方法

可帶領學員熟悉任一後端程式語言，並由程式語言製作網站，可使用網站框架建立網架的架構，也可透過原生 PHP 了解後端程式語言的特性。

Web 網站安全漏洞/弱點

常見的網站安全漏洞，以 OWASP TOP 10 為例，可先認識 OWASP TOP 10 的內容，了解弱點的漏洞原理、駭客利用手法、修補方式。

OWASP TOP 10
常見注入型弱點： XSS、 SQL injection 、Command injection、Code injection (Local File Inclusion）
Session 相關弱點：Session 劫持、Session 固定
前端相關弱點：CSRF、點擊劫持、DOM base、
進階弱點：SSRF、XXE、Insecure Deserialization、WebSockets