程序员，想学习 web 安全，从 owasp 入手怎么样？有有经验的大佬给点建议吗？

挖 src 开始？

web 安全有搞头吗，现在成熟的框架不会给你太多机会了吧。不如做逆向工程，小到普通的加密加壳破解，恶意软件行为分析，大到 cfg recovery, obfuscation 之类偏学术的东西，可以钻研深入的太多了。

@triplelift 都没什么人做桌面应用了

理论基础：

TCP/IP 学透
HTML+JavaScript+php+java+python 等等等等 读得懂、改的动
B/S+C/S 架构整明白

经验积累：
大量阅读漏洞复现文章、跟着动手本地做复现
大量阅读代码审计文章、记住重点自己尝试审计
大量阅读 hackerone 挖掘 SRC 公开案例、记住重点自己尝试挖掘
大量实战(SRC 挖掘(学习还能赚钱)、CTF(玩玩就好))+笔记(好记性不如烂笔头)

安全分支这么多，想集中精力在一个点上并且精准输出高质量成果以达到最大化效益的目的？

学代码审计、做代码审计。其他都是弟弟。

毕竟安全的饭，就是开发的锅。

有兴趣可以加好友,一起学习。

@darknoll 只要有人用操作系统，就一定会有人写恶意代码。只要有恶意代码，逆向工程就有用处。我是搞 web 的，觉得 web 才是真的没搞头了，现代开发框架已经从设计上，就避免了很多安全问题了。以后想学习逆向。

@onice 老哥先要吃透，不要快速换航道

@User9901 你这些话是不是之前给我说过！

@User9901 dalao 加个好友 ?

@onice 主要是觉得二进制安全门槛有点高。想了解一些安全方面的，可能 web 入门简单一些。

@darknoll 现在逆向工程主要场景是移动端
@wwhontheway 二进制分析不是难，只是非常繁琐，而且体系庞大，知识面广，没耐心的人可能搞几天就砸键盘了

web 安全真没搞头，我做前端的我都看不上，和前端沾边的东西总是有一群水平一般的人在那里自嗨

@echome 你发吧，我加你

@User9901 WU9MT19TdGFydHI0Y2s=