这本书前前后后读了有一个多月了吧,中途还有一个国庆七天小长假,所以时间说长也长。也是第一次加入图灵读者群,在大家的互相监督下完成读书任务,感觉很奇妙。前后打卡一天没落下,最后应该是总天数第二。很感谢有这么一个平台,能地监督者我们的学习进度,还有众多大佬的无私解答,让我实实在在感受到了安全圈的自由与分享精神。 说了这么多,下面就谈谈对这本书的一些感受以及自己的收获吧。

读过图灵的日系书,比如图解TCP/IP系列的,能感觉得到日本人写作的风格与西方的差异。整体给人很严谨很仔细,有时可以说是有点啰嗦了,当然这并没有任何的贬义。相反,这对于新手入门来说,是一大利好。新手入门往往充满着敬畏与迷茫,如果上来就是各种大术语,高精尖的漏洞利用,往往会让人望而生畏,失去继续学习的动力。这本权威指南总的来说还是很不错的,对Web漏洞这块的讲解翔实仔细,分类也是比一般的书更为精细,如果通篇读下来,对Web漏洞的原理以及基本防范措施,基本能做到心中有数。

全书共分为8章,重点是第四章”Web应用的各种安全隐患“,我自己也是这章花的时间最多。前面的包括搭建环境,同源策略,HTTP协议这些都比较熟悉,所以很快地浏览完了。关于第四章的漏洞讲解,我也基本上同时参照了所给的虚拟机环境以及Fiddler,进行了同步的操作。原来对XSS SQL注入 CSRF这些都有过了解,但是仅限于一些简单的构造和利用,对前后台交互层面的原理不得而知,阅读完这几章之后,有了更加深刻的认知。当然深知这是不够的,以后的打算是进一步深刻理解这些漏洞原理,通过Kali Linux的相关工具在实战中联系这些漏洞的利用。同时工具不能仅限于使用,还要明白其底层原理。自己也同时在学习Python,准备重点是网络编程这块,利用好自带的安全的库,尝试写一些工具脚本。学习是一个循序渐进的过程,读完一本书并不仅限于学到其中的知识,而是将原来一知半解的东西弄懂,并且对未来的学习路径有了更清晰的认知。能够调整节奏与方向,更好的完成知识积累,技术栈的完善。

当然,这本书也存在一些个人认为的缺陷。书是日本作家写的,虚拟机环境也是日文的,如今翻译到国内了,虚拟机应该也做相应的调整。满眼的日文,确实是不太友好。希望日后能够改善,为入门者提供一个更加和谐 友好的实战环境。

以上是本人在读罢《Web应用安全权威指南》的一些感受,个人所感,文笔与水平有限,望各位大佬多多指教。最后,感谢图灵教育的帮助与支持,为各位安全入门的同学提供了这么好的学习讨论平台,感恩!

enter image description here

V1nc3nt 于2017.10.26