网络安全小白应该读哪些书

最后更新 :2022.06.20

《WEB攻防之业务安全实战指南》

这本书盾叔认为是一本网络安全小白必读的书目,从原理到案例分析,系统性地介绍了业务安全技术。

作者是轩辕攻防实验室团队。该团队拥有10年大型网站业务安全测试经验。

他们在这本书中,总结出了曾在工作中经历过的案例,全面、详细的给出了适用于电商、银行、金融、证券、保险、游戏、社交、招聘等业务系统的测试理论、工具、方法。

我们经常听到的漏洞主要是SQL注入、CSRF、XSS等等,如果说要归类,那么它们都属于技术漏洞。而这本书主要探讨的是关于业务层面的安全漏洞。

互联网公司开展业务都是基于WEB技术,那么黑客就可以经常针对企业的漏洞,花少数的钱购买这些网店的高价值商品。黑客还可以轻松攻破用户的账号密码。

这本书共15章,包括理论篇、技术篇和实践篇。

作者为了帮助小白们避免在学习的过程中触犯到法律法规,因此在第一章理论篇就详细的罗列了从事网络安全工作涉及的刑法修正案的法条,以及业务安全引发的一些安全问题和业务安全测试相关的方法论,以及怎么去学好业务安全。

作者还非常贴心的描绘了一个业务安全测试模型。

技术篇和实践篇选取的内容都是这些白帽子多年在各种不同行业、不同的业务系统中发现的各种逻辑漏洞,这些漏洞都被团队进行了安全测试并总结记录,这些实战就能够帮助读者去理解那些不同行业的系统涉及的安全漏洞。

技术篇主要介绍了登录认证模块测试、业务办理模块测试、业务授权访问模块测试、输入/输出模块测试、回退模块测试、验证码机制测试、业务数据安全测试、业务流程乱序测试、密码找回模块测试、业务接口模块调用测试等内容。

实践篇主要针对技术篇中的测试方法进行相关典型案例的测试总结,包括账号安全案例总结、密码找回案例总结、越权访问案例、OAuth 2.0案例总结、在线支付安全案例总结等。

内容都是该团队在以往的业务中挖洞或者做测试项目时的真实案例。

当你读完这本书,你就会对整个业务安全有一个框架性的认知,而且这本书中也并没有用到各种复杂的工具,只用到BurpSuite。这样会给你提供一个轻松的学习思路。

如果你还想了解更多关于网络安全的好书,就来网盾网络安全培训中心

网盾深耕网络安全教育,创新步履不止,十六年来厚积行业背景,从未停止对行业需求的洞察。

网盾网络安全培训中心不断挖掘企业人才需求,不断分析和解决技术网络安全人才培养难点,深获行业认同。

讲师均拥有8-15年以上网络安全领域的项目实战经验和教学经验;

熟知最新业内系统安全隐患、软件安全产业技术的发展趋势;

了解人才需求特点,能准确把握并弥补企业用人需求和学员能力之间的差距,并提供针对性的教育及培育方案。

授课采用攻防并举、以攻促防的思路,着力加强网络安全人才培养,形成为战育人的常态化攻防培训体系。为了针对性提升网络安全人员实操能力,聚焦建设网络靶场,模拟复杂多样的网络环境,开展网络攻防演练,对抗动态推演,验证攻防工具及系统安全性。

目标就是培养技术扎实的网安人,筑牢网络安全屏障!

- END -

看更多