文章大纲：

• 1、零基础如何学习 Web 安全？
• 2、零基础学web安全，要从哪里开始学？html,css,js,php,http是不是要先学这些
• 3、零基础如何学习web安全？能不能学会呢

零基础如何学习 Web 安全？

1.学习网站构建初级教程＿W3C以及HTTP协议基础－runoob上了解Web前后端以及HTTP协议的一些基础介绍，花半天时间对相关技术有个概念性的了解就够了。

2. Windows下下载phpStudy或者WAMP，在本地搭建Web服务器环境，然后自己搜索两篇文章学习下基本的操作 *** 。这个本地Web服务器也就相当于学习过程中的一个实验环境了。

3.学习浏览器的开发者工具（通常快捷键F12调出），搜索一些教学文章，掌握Chrome或者Firefox浏览器开发者工具中的Network、Elements功能的常见用法，可以查看HTTP数据包以及定位页面元素。

那学习Web安全呢，同时还要掌握一些工具：浏览器开发者工具与浏览器插件（如HackBar、ProxySwitcher）、抓包工具如Burpsuite、漏洞扫描和验证工具如御剑、sqlmap、AWVS，工具可以在 Freebuf上自行搜索下载，教程可以参考Web安全－i春秋系列教程中对应这几款工具的章节学习。

好的工具可以帮助我们提高测试效率，扩展测试思路。除了工具的使用，通过搭建本地实战环境练习手工技巧，也是很好的进阶之路，这里建议可以搭建 DVWA漏洞测试环境，然后参考 DVWA系列教程＿Freebuf进行学习。

学习的同时也可以在在教育行业SRC等漏洞平台上挖掘漏洞，赢得认可，也是一种动力，但挖掘漏洞的时候一定要注意规范和界限，可以参考自律方能自由，《 *** 安全法》实施后的白帽子行为参考，挖掘漏洞的同时也要注意保护自己。

零基础学web安全，要从哪里开始学？html,css,js,php,http是不是要先学这些

先了解下安全这行的名词，不会在以后觉得措手不及。

先安装虚拟机，熟悉虚拟机用法操作，试着在虚拟机上搭建网站。

熟悉iso模型（七层）。其实就是客户机到服务器中间的通信过程

熟悉常见协议HTTP/HTTPS（SSL）、TCP/IP(这个比较复杂，知道就是一个 *** 层协议就可)。

掌握H5、 CSS3、原生 *** 。可以尝试学jQ ，其实 *** 搞会已经很花时间了，尤其闭包、对象那块对于没编程基础的有难度，抽象。

掌握一门脚本语言，jsp、aps.net、php、.net等 (php最易，jsp要会Java)

学一下Python爬虫框架。信息搜集用

信息搜集。社工，谷歌hack语法

漏洞原理，漏洞分析。

开始了解注入类型

其他类型，XSS CSRF SSRF 文件上传下载 编辑器

如何getShell

SqlMap burpsuite     waf绕过    + 内网渗透

最后kali，工具较多，挑选。

总结web安全这块知识面广，但是涉入层较浅，关键在手法和思想。深入探索还得学习底层信息安全，二进制安全。

零基础如何学习web安全？能不能学会呢

一. 首先你得了解WebWeb分为好几层，一图胜千言 事实是这样的：如果你不了解这些研究对象是不可能搞好安全研究的。这样看来，Web有八层（如果把浏览器也算进去，就九层啦，九阳神功……）！！！每层都有几十种主流组件！！！这该怎么办？别急，一法通则万法通，这是横向的层，纵向就是数据流啦！搞定好数据流：从横向的层，从上到下→从下到上，认真看看这些数据在每个层是怎么个处理的。数据流中，有个关键的是HTTP协议，从上到下→从下到上的头尾两端（即请求响应），搞通！难吗？《HTTP权威指南》720页！！！坑爹，好难！！！怎么办？横向那么复杂、纵向数据流的HTTP协议就720页的书！！！放弃好了……不，千万别这样。给你点信心是：《HTTP权威指南》这本书我压根没看过。但是通过百度/Google一些入门的HTTP协议，我做了大概了解，然后Chrome浏览器F12实际看看“Network”标签里的HTTP请求响应，不出几小时，就大概知道HTTP协议这玩意了。（这是快速研究的精髓啊）搞明白HTTP协议后，你就会明白安全术语的“输入输出”。黑客通过输入提交“特殊数据”，特殊数据在数据流的每个层处理，如果某个层没处理好，在输出的时候，就会出现相应层的安全问题。