搞CTF的web已經(jīng)一年多了，雖然不能說是技術(shù)已經(jīng)可以了，但是多多少少的踩過很多坑。

最近很多人在問我想打CTF，我學想搞web，怎么入門。很多人都在困擾這個問題，我依據(jù)我走過來的路，談?wù)勎易约旱乃^的“經(jīng)驗”吧！只是個人的角度談?wù)劻T了，不喜勿噴。

搞web吧！首先就是要去學一些web的基礎(chǔ)知識，要去學一些HTML知識，了解HTML語法，懂它的框架。能看懂就好，不需要花費太多時間，看看就行，反正在以后的F12過程中，會慢慢熟悉的。還有就是了解OSI七層模型

知道什么是HTTP請求頭跟響應(yīng)頭，能看懂HTTP頭的內(nèi)容，大致了解每一個頭的含義，CTF的很多入門題，都是從它的HTTP頭入手的。最好去抓一個HTTP的包，理論結(jié)合實踐分析，從而更好的了解什么是HTTP請求(響應(yīng))頭。

這兒說到抓包了，那就得談?wù)劯鉾eb的一個必不可少的一個軟件了，就是Burpsuite，說明一下，因為這個是用Java寫的，所以你要是想要運行，就要安裝Java環(huán)境，很多人看到 網(wǎng)站上提供JRE和JDK的兩種不同的Java環(huán)境安裝包，不知道下那個好，在這里我稍微科普一下吧！JRE是一個運行Java文件的一個環(huán)境，直接傻瓜式裝JRE的安裝軟件就行，裝還之后就能跑Java的軟件了(就像Burpsuit)，而JDK呢,他是開發(fā)Java所需要的環(huán)境（JDK包含JRE）安裝它需要配置環(huán)境變量，這東西可自行百度。還有就是裝好之后要配置一些代理，可以從瀏覽器設(shè)置中配置值代理。但是我個人比較推薦插件設(shè)置，因為插件設(shè)置更簡單直接方便，這里我推薦Proxy Switchy Omega這個插件，可以一鍵切換，用的時候很方便。當然自己有其他喜歡的可以去安裝其他的插件。

還有就是多實踐，這兒推薦一波靶場吧

CTF的一些小tips針對CTF，大家如何訓練的：https://www.zhihu.com/question/30505597

黑客游戲

………………………………………………………………………………………………

夢之光芒（黑客游戲）：http://monyer.com/game/game1（CTF入門從游戲開始）

黑客榜中榜（游戲共3期，自選)：http://www.cn-hack.cn/site/uu0708.html

CTF平臺

………………………………………………………………………………………………

西電平臺迎新題 https://moectf.cn/（新手）

bugku練習平臺：https://ctf.bugku.com（新手）

網(wǎng)絡(luò)信息安全攻防學習平臺：http://hackinglab.cn（新手）

南京郵電大學 https://cgctf.nuptsast.com/（過度題目）

藍鯨安全CTF：http://whalectf.xin/（進階）

XCTF攻防世界：http://adworld.xctf.org.cn/（進階）

北京聯(lián)合大學的平臺 https://buuoj.cn/（高手，大型比賽題目復(fù)現(xiàn)）國慶期間，平臺暫時關(guān)了

還有就是經(jīng)驗分享了，在刷題的時候，注意記筆記，千萬要記筆記，或者是可以自己弄一個博客。

因為Web套路很多，你一次不能能看盡搜有的套路，把他記錄下來，然后隨用隨查，看看它所涉及的知識點很有用，這兒推薦有道云筆記和印象筆記都挺好用的，看自己的個人習慣了，還有就是這里面你可以寫你做題的一些writeup還有就是記錄自己所研究的一些東西，在研究過程中寫一下自己踩的坑都可以記錄下來對以后挺有幫助的。

對了，還有就是要學會自己搭建網(wǎng)站，簡單點的可以使用phpstudy，這個是集成好了Apache，PHP，mysql的一體化環(huán)境，當然也可以自己弄一個阿里云的學生服務(wù)器，可以弄一個阿里云的學生服務(wù)器，價格很便宜9.5/月，24歲以下自動認為是學生，弄那個服務(wù)器端的時候，推薦去弄LAMP環(huán)境的，它所用的是Linux的操作系統(tǒng)同時也包含了，Apache，PHP，MySQL三件套，簡單方便，申請時候，直接把自己的PHP文件上傳到服務(wù)器上就能訪問了，連接服務(wù)器的是后可以用Xshell和Xftp（網(wǎng)上很多破解版的）用Navicat可以連接云服務(wù)器的數(shù)據(jù)庫。因為做滲透嘛不能只用別人的靶場，要學會自己搭建網(wǎng)站，嘗試做一些滲透練習，可以在GitHub上找一些源碼自己練習，也可以自己寫一下php文件，搞一下代碼審計。

還有就是書籍推薦

學web入門吧推薦是《web安全深度剖析》雖然內(nèi)容有些老，但是對新手入門很友好。

《web前端黑客技術(shù)揭秘》偏向于前端黑客知識，都是些理論話的東西

還有是徐焱的《web安全攻防》這本書偏向于web滲透實戰(zhàn)，手把手教你如何搭建環(huán)境。還有配套的源代碼，可以邊搞實戰(zhàn)技巧邊玩代碼審計。

再然后就是道哥的《白帽子講web安全》了，萌新讀這個可能會有點困難，但是這本書不可不讀，里面的思想方法值得學習。

中后期就是偏向于編程和腳本了，搞web首先就是要學號PHP，然后可以學python（CTF題目很多是要寫腳本的）

學好編程并能寫一些簡單的工具是web滲透的分水嶺。。。。

（待更。。。。）