【求指导】有没有人做web安全

我邮人才济济，应该会有人懂这个吧。。。 帮顶下~

SF 是LZ的小号 ？？ 刺写的 《白帽子讲Web安全》 你可以看下..

这本书看了，不过不知道如何进行操作~sf不是我的小号，是同学，O(∩_∩)O~ 【 在 Xsetc (淹死的鱼) 的大作中提到: 】 : SF 是LZ的小号 ？？ : 刺写的 《白帽子讲Web安全》 你可以看下..

step1：黑客工具，各种上。嗯。 【 在 hudi1990 (相思雨) 的大作中提到: 】 : 最近公司给安排了一个活，做web安全方面的东西，首先是针对公司内部的网站进行攻 : 击，然后针对相应的攻击做出防御对策。说白了就像是web方面的黑客攻击与防御。但是 : 本人是小白啊，完全不知道该如何下手，想问一下有没有人做相关方面的东西的，求推荐 : 材料，求指导呀~[ema1

那个黑客工具基本上很不给力啊，都是端口扫描神马的，感觉不是很实用呀 【 在 BookMoth 的大作中提到: 】 : step1：黑客工具，各种上。嗯。 :

白帽子感觉适合到达一定水平的人做框架总结。 扫描网站的话，wvs、appscan、WebInspect等，网上都有破解版下载， 扫描到具体问题后在找相应的工具验证。 或者私下里找2楼大牛。

这样的，首先你需要了解都有哪些攻击手段，比如： The OWASP Top 10 Web Application Security Risks for 2010 are: A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards 或者上www.wooyun.org看看各个厂商主要都有哪些漏洞，腾讯：http://www.wooyun.org/corps/%E8%85%BE%E8%AE%AF，百度：http://www.wooyun.org/corps/%E7%99%BE%E5%BA%A6； 了解主要漏洞类型之后呢，你就需要了解各种漏洞的原理，成因，危害，利用方法等； 掌握之后就可以进行攻击测试了，当然，说起来比较容易，实际效果取决于对各种漏洞的理解程度。个人见解，现丑了，希望能有帮组。另外可以参考两篇描述PHP漏洞的文章http://www.exploit-db.com/papers/12871,http://www.exploit-db.com/wp-content/themes/exploit/docs/341.pdf

【 在 Xsetc 的大作中提到: 】 : SF 是LZ的小号 ？？ : 刺写的 《白帽子讲Web安全》 你可以看下.. 2楼真是大牛么 求拿站现场指导。。。

工具的话 nmap+wvs+Nessus+metasploit+sqlmap 足够了... 测试方法可以私下PM 6楼.. 我现在职业搬砖+修桥补路