标题为Web安全学习计划，实属我的愿望：将下面这份Web学习清单完善成为一个Web安全，学习计划指导性帖子。

说明：本来打算给自己设计一个详细的学习计划，但是发现这些学习内容罗列出来后，发现这是个很庞大的系统，一时不知该如何来安排时间（自已把自己杯具了~~）。那就暂时成了如下的一个学习清单列表。发表出来，希望看看大家的建议。想成学习计划虽为私心，但如果修改得好也是一个福利大多想学习Web安全的朋友的一个机会。

工作内容

1. 安全检测

a) 每月巡检

b) 偶尔渗透测试

2. 应急响应

a) 挂马清除（js，木马，各种马）

b) 以及其他安全和非安全等网站故障

3. 安全加固

a) 操作系统加固

b) Web服务器加固

c) 数据库加固

网站环境：

1. Windows 2003 + IIS6.0 + SqlServer2000/2005 + ASP/ASPX

2. Windows 2003 + IIS6.0 + Mysql + PHP

学习资料：

1. 问题处理，日常积累

2. 数据库安全：http://www.cisps.org/directory/databases.php

3. 服务器安全：http://www.cisps.org/directory/web.php#develop

4. 操作系统安全：http://www.cisps.org/directory/os.php

自我学习

方向：Web安全

时间：10个月

学习资料：

1. Web渗透测试(高优先级)

a)《OWASP_Testing_Guide_v3》

b)《WebGoat-OWASP_Standard-5.2》

c)《OWASP TOP 10》

d)《SQL Injection Attacks and Defens》

e)《cross site scripting attacks xss exploits and sefense》

f)《黑客大曝光-Web应用安全机密与解决方案》（第二版）

g)《OSSTMM3》

h) WASC网站去看看

2. Web代码审核（中）

a) 《OWASP Code review》

b) 《精通脚本黑客》

3. 安全代码优化（低）

a) 《OWASP Developer’s Guide》

每周有效学习时间：周一到周五每天6小时，

由于目前时间安排上的迷惑，我暂时打算是

上午三小时：

Web渗透测试

核心材料：OWASP Testing Guide_V3

OWASP Webgoat 

下午三小时：

学习工作内容，暂无计划