Chloe's archive
← Back to blog

2026年7月6日

Web 安全入门笔记

整理 Web 安全学习初期需要建立的基础知识框架。

先理解 Web 是怎么工作的

学习 Web 安全之前,不能只盯着漏洞名称。很多漏洞本质上都和 Web 的基础机制有关,比如 HTTP 请求、Cookie、Session、前后端交互、数据库查询和文件处理。

我目前会先把 Web 请求拆成几个问题:

  • 浏览器发出了什么请求?
  • 请求里有哪些参数、Header 和 Cookie?
  • 服务端根据这些内容做了什么处理?
  • 返回内容为什么会发生变化?

当这些问题能说清楚时,再看漏洞会更容易。

HTTP 请求基础

一个 HTTP 请求通常包括请求方法、路径、请求头和请求体。比如登录时可能会出现:

POST /login HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded
Cookie: session=abc123

username=chloe&password=123456

这里的每一部分都可能和安全有关。比如 Cookie 关系到身份状态,请求体里的参数可能进入数据库,上传接口里的文件名和文件内容也可能被服务端处理。

常见漏洞方向

入门阶段我准备先按下面的顺序学习:

  1. SQL 注入:理解用户输入和数据库查询的关系。
  2. XSS:理解用户输入如何进入页面并被浏览器执行。
  3. 文件上传:理解后端如何保存和解析上传文件。
  4. 认证与权限:理解登录状态、越权和访问控制。
  5. SSRF:理解服务端发起请求可能带来的风险。

我的学习方法

目前最适合我的方式是“概念 + 小实验 + 复盘”。只看文章容易忘,只刷题又可能变成背 payload。所以每学一个点,我会尽量写下:

  • 漏洞产生的原因。
  • 复现时观察到的现象。
  • payload 为什么能起作用。
  • 如果我是开发者,应该怎么修。

这样整理出来的笔记,也会更适合以后回头复习。