安全入门指导

首先给大家看一些安全脑图，对安全方面有个基本认识和了解，下面三张图分别是安全技能树，区块链项目安全和常见web安全常见漏洞。后面我分享了关于安全方面的网站社区以及学习网站，学习方面的书籍，以及安全测试的一些工具和靶场系统，给入门的伙伴全面了解安全，当水平更高可以自己按照方向去学习。

安全之路任重道远，因为攻击只需要一个点，而防御则需要一个面。

安全测试要求

• 等保要求也就是等级保护分级要求：等级保护是国家公安部对非涉密信息系统安全管理标准规范，对重要系统、电子政务系统、关系国计民生的国有企业的强制性标准。
• 第一级：用户自主保护级
• 第二级：系统审计保护级
• 第三级：安全标记保护级
• 第四级：机构化保护级
• 第五级：访问验证保护级

2017 发布的OWASP TOP 10漏洞

A1:2017 – 注入
A2:2017 – 失效的身份认证
A3:2017 – 敏感信息泄漏
A4:2017 – XML外部实体（XXE）
A5:2017 – 失效的访问控制
A6:2017 – 安全配置错误
A7:2017 – 跨站脚本（XSS）
A8:2017 – 不安全的反序列化
A9:2017 – 使用含有已知漏洞的组件
A10:2017 – 不足的日志记录和监控
十大安全漏洞是从事安全方面工作者的学习方向，基本只要弄清这些漏洞原理就好了，其中最重要的应该也是最难的是sql注入以及xss跨站脚本，根据这些去学习就好了。
下面我将分享一下学习网站及工具等

一、 安全网站
1、 https://dvpnet.io/ DVP去中心化漏洞平台
2、 https://www.secpulse.com/ 安全脉搏
3、 http://www.freebuf.com/ FREEBUF
4、 http://www.droidsec.cn/ 安卓安全中文站
5、 http://sec-redclub.com/ 红日攻防实验室
6、 http://www.cnvd.org.cn/ 国家信息安全漏洞共享平台
7、 http://baimaoxueyuan.com/ 白帽学院
8、 https://bcsec.org/ 白帽汇安全研究院
9、 http://www.owasp.org.cn/ owasp中国
10、 https://wutui.pro/ 无退社区 第一个智能合约开发者社区

二、 安全测试平台（靶场系统）
1、 在线靶场系统Dvwa http://43.247.91.228:81/login.php 账号：admin/ 密码：password
2、 http://xsspt.com/index.php?do=login xss平台

三、 安全测试工具
1、 Nmap
2、 Burpsuit
3、 Fiddler
4、 Appscan
5、 Sqlmap
6、 Postman
7、 Wireshark
8、 谷歌火狐插件如Hackbar、firebug

四、 安全方面书籍推荐
1、《白帽子讲web安全》
2、《sql注入攻击与防御》
3、《web前端黑客技术揭秘》
4、《xss跨站脚本 攻击剖析与防御》

五、安全学习网站及课程
1、实验吧 http://www.shiyanbar.com/ 课程：《计算机网络安全》
2、慕课网 https://www.imooc.com/ 课程：《web安全之sql注入》
3、网易云课堂 https://study.163.com/
4、i春秋 https://www.ichunqiu.com/

六、社区分享
1、博客园 https://www.cnblogs.com/
2、CSDN https://www.csdn.net/
3、W3school http://www.w3school.com.cn/index.html