2026年7月6日
Web 安全入门笔记
整理 Web 安全学习初期需要建立的基础知识框架。
先理解 Web 是怎么工作的
学习 Web 安全之前,不能只盯着漏洞名称。很多漏洞本质上都和 Web 的基础机制有关,比如 HTTP 请求、Cookie、Session、前后端交互、数据库查询和文件处理。
我目前会先把 Web 请求拆成几个问题:
- 浏览器发出了什么请求?
- 请求里有哪些参数、Header 和 Cookie?
- 服务端根据这些内容做了什么处理?
- 返回内容为什么会发生变化?
当这些问题能说清楚时,再看漏洞会更容易。
HTTP 请求基础
一个 HTTP 请求通常包括请求方法、路径、请求头和请求体。比如登录时可能会出现:
POST /login HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded
Cookie: session=abc123
username=chloe&password=123456
这里的每一部分都可能和安全有关。比如 Cookie 关系到身份状态,请求体里的参数可能进入数据库,上传接口里的文件名和文件内容也可能被服务端处理。
常见漏洞方向
入门阶段我准备先按下面的顺序学习:
- SQL 注入:理解用户输入和数据库查询的关系。
- XSS:理解用户输入如何进入页面并被浏览器执行。
- 文件上传:理解后端如何保存和解析上传文件。
- 认证与权限:理解登录状态、越权和访问控制。
- SSRF:理解服务端发起请求可能带来的风险。
我的学习方法
目前最适合我的方式是“概念 + 小实验 + 复盘”。只看文章容易忘,只刷题又可能变成背 payload。所以每学一个点,我会尽量写下:
- 漏洞产生的原因。
- 复现时观察到的现象。
- payload 为什么能起作用。
- 如果我是开发者,应该怎么修。
这样整理出来的笔记,也会更适合以后回头复习。