Web安全该怎么走，入门好难 ？

Web安全本质上， 是与各种“有问题”的Web程序打交道。

Web安全的过去

Web漏洞，实际是Web应用程序的安全Bug，举几个常见的例子：

XSS注入：比如一个CMS内容管理系统，对用户提供的数据，不做检查，造成非法用户，可以通过提交业务以外的数据，比如，在表单提交的数据中，插入一些JS恶意代码，让Web程序执行恶意JS代码。

SQL注入：依然是同一个Web程序，没有对用户输入的数据检查，用户提交了恶意构造的输入数据给Web程序，恶意的数据中嵌入了可被执行的SQL子句，被Web底层框架当做正常SQL请求执行。

逻辑漏洞：Web程序的设计实现者，提供给用户交互操作的顺序，是先执地A模块，再执行B模块，然后才能执行C模块。但是攻击者发现，B和C之间少执行了一个D的确认，造成可以直接伪造B的部分执行C。

有些问题是Web程序对恶意输入缺少必要的检查造成的BUG，有些问题是程序的设计BUG。Web安全问题的发现，本质上是与Web程序打交道，Web安全漏洞的产生是建立在Web程序有问题的前提下的，弄懂Web漏洞，要搞清楚基本的Web程序的基础知识概念和一些计算机知识，JS、SQL、Web框架、PHP、Python等等。Web知识以外各种中间件的原理， 是搞懂Web漏洞的一个前提。常用的渗透测试工具是复现Web漏洞问题的手段。

Web安全的未来

但是，今天的Web程序，早已经不是“单机版游戏”的时代了。

海量的用户请求，Web系统高并发处理。Web服务的各位安全加固手段，其中就包括Web防火墙。

今天的Web渗透、安全测试，不再是直接面对简单的Web漏洞，要面对高并发的Web架构、Web防火墙防御体系、零信任安全机制、主机防护、神经网络机器学习发现威胁，这些防御手段的攻击原理是什么，是否可能绕过，形成新的课题。

Web漏洞的工作原理当然很重要，漏洞在层出不穷的同时，Web防御体系也在演表进化，需要一个相对更全面的角度看今天的Web安全。

人民邮电出版社异步社区推出的新书《墨守之道》。这本书讲了Web漏洞的原理同时、讲Web架构知识、Web防御系统原理、Web防御系统发现威胁的算法、语意分析算法、绕过WAF防火墙的原理等等知识点，给出新的视角看Web安全。

Web安全也是由浅入深的一个学习过程，只要多积累、多实践一定有收获和成长。