不知道你这个安全测试的目的是啥，可以先说明下？这样才好划定范围给建议。安全的范畴很大的。

大部分专业的 web 端安全测试，大多是在做渗透测试，这块要求的技能比较多，一般得专业安全测试工程师才能做得来。测试工程师一般能做的，也就只是针对最常见的漏洞进行挖掘和测试，以及用一些第三方的安全扫描工具扫描下。比如 https://www.cnblogs.com/fundebug/p/details-about-6-web-security.html 里面提到的各种常见漏洞。

以前安全还有个 OWASP 组织，定期采集高危安全漏洞，并出一些报告和安全标准的，好像最近几年没怎么见到新消息。官网倒是有些可以参考的资料 http://www.owasp.org.cn/OWASP-CHINA/owasp-project/

嗯嗯，好的。我也不是专业的，主要就是项目在完成时会进行一些漏洞扫描什么的，像平常的一些 sql 注入，xss 攻击的的，都要去测试下，也要去学，再深的话可能就技术达不到了。主要就是用一些漏洞扫描工具去测试。您的建议很有用，谢谢。

曾经在企业里作为乙方对内部的网站系统搞过 4 个多月的渗透测试（或者叫安全测试更合理，因为不够专业），简单分享一下如何入门：

1. OWASP 一定要看，每年都会有 OWASP 出台的 top10 安全风险，这些是说明安全问题重要性的重要依据
2. 安全细分方向十分多，我猜楼主应该是问 web 方向（其他方向我也不懂，太深），先了解常用工具，burpsuite、owasp zap、sqlmap 等，要自行采集，网上一搜很多博客、github 也一吨开源工具
3. 理解基本安全概念和安全漏洞类型，一定要理解，不然永远都是 script kiddie，鄙视链最底端，以下是部分列举：sql 注入、XSS、CSRF、水平与垂直越权、敏感信息泄露、命令注入、路径遍历、文件上传…… 理解这些安全漏洞的典型成因（如何写这些漏洞出来）以及带来的危害（怎么用这些漏洞搞事情）
4. 找地方实战，建议本地搭建开源的环境进行训练OWASP juice shop
5. 往下就是各种实战去精进技巧和意识，加深对各类测试工具和漏洞的理解，做更多白盒审计来挖掘漏洞，学习更多安全领域技术，不断变强……（我本人到第 4 步就没再往下了）

好的，谢谢您的建议。因为现在网上很多知识都太凌乱了，足是足，但许多都是盲目的看，连接不到一块去。从 0 基础开始学吧，谢谢您

https://blog.csdn.net/Python_BT/article/details/111247292?spm=1001.2014.3001.5501 在上家公司接触到的一些知识希望对你有帮助，当时是网安检测出来的，和他们学了下手段