How to Learn Web & API Hacking in 2026 (Complete Roadmap)
三句話摘要
一條從零開始的 Web 與 API 安全學習路線,涵蓋程式基礎、滲透工具、實驗場到專業認證的完整指南。 Web/API 安全的學習成效取決於「理解原理再用工具」的順序,跳過基礎直接跑掃描器,短期有效但長期無法突破,也無法通過職業認證面試。 Web 基礎不可跳過:大多數人急著學漏洞卻跳過 HTTP 原理,但 HTTP 方法、Status Code、Headers(含 Cookie、CORS)是測試漏洞的底層邏輯。同一個漏洞在 GET 不存在但在 POST 存在,不懂這些就不會想到要去測。
重點整理
重點- 1
Web 基礎不可跳過:大多數人急著學漏洞卻跳過 HTTP 原理,但 HTTP 方法、Status Code、Headers(含 Cookie、CORS)是測試漏洞的底層邏輯。同一個漏洞在 GET 不存在但在 POST 存在,不懂這些就不會想到要去測。
- 2
理解架構才能找漏洞:Client-Server 架構中,凡是從前端傳入的參數都不應被信任,這個思維是 IDOR、SQL Injection、XSS 等漏洞的根源。理解資料如何儲存與查詢、JWT 如何運作、OAuth 流程如何設計,是發現邏輯漏洞的關鍵。
- 3
工具是手段,理解是核心:Nuclei、SQLmap 等自動化工具要等真正理解漏洞原理後再用;一開始就依賴工具只能短期奏效,無法找到深層漏洞,也無法通過面試或拿到認證。
- 4
Bug Bounty 思維要主動輸出:讀真實漏洞報告、看 writeup 並理解攻擊成立的原因,比刷工具視頻更有效;學完 3-5 個漏洞類型就可以開始實戰狩獵,同時持續學習,並在 LinkedIn 分享成果以建立個人品牌。
實用技巧與重點
乾貨- 程式語言
- JavaScript(理解 Web 應用前端結構與 XSS)
- Python(工具開發、理解現有工具邏輯,需學迴圈、函式、條件邏輯)
- SQL(理解資料庫操作,有助於 SQL Injection 利用)
- Bash(Linux 自動化,滲透環境必備)
- Web 基礎知識點
- HTTP/HTTPS 協定完整理解
- Request/Response 結構(body、parameters、data flow)
- HTTP Methods:GET、POST、PUT、PATCH、DELETE
- Status Codes 全覽
- Headers:Cookie、Auth header、Content-Type、CORS policy
- 工具清單
- Burp Suite(Intercept、Repeater、Intruder、HTTP History)
- Postman(API 測試)
- Browser DevTools(無需 Burp 即可證明部分漏洞,如資訊洩露)
- curl(命令列 API 測試)
- Nuclei(Template 自動化掃描)
- SQLmap(SQL Injection 自動利用)
- 認證路線(難度遞增)
- BSCP(Burp Suite Certified Practitioner)— 手動 Web 漏洞發現
- APISec Certified Expert — 純 API 安全專注
- eWPTX(eLearnSecurity Web Application Penetration Tester eXtreme)— 專業 Web 滲透
- OSWE(Offensive Security Web Expert)— 白箱代碼審計,職業級
- 推薦實驗平台
- PortSwigger Web Security Academy(大量 XSS、存取控制、Auth Labs)
- OWASP Juice Shop
- BWAP / DVWA
- TryHackMe(有引導學習路徑)
- HackTheBox(挑戰導向)
- crAPI(講者有實戰教學影片)
- APISec University(GitHub 可取,本地架設)
- Swagger API Labs
- 推薦書籍
- Hacking APIs by Corey J. Ball(A 到 Z 完整 API 安全)
- 認證與授權理解要點
- Session-based vs Token-based(JWT)認證
- OAuth 流程
- RBAC、功能層級存取控制
- 常見錯誤:弱 Session 管理、token 洩露、越權
結論
結論“Web/API 安全的學習成效取決於「理解原理再用工具」的順序,跳過基礎直接跑掃描器,短期有效但長期無法突破,也無法通過職業認證面試。”
完整解析
詳細這支影片是針對想入門 Bug Bounty 或 Web/API 滲透測試的學習者所製作的完整路線指南。講者以一張自製的學習路線圖為主軸,從最基礎的程式語言開始,逐步延伸至 Web 基礎、工具使用、應用架構理解、實戰演練,最終到職業認證,架構完整且有明確的學習順序邏輯。
學習路線的起點是四個程式語言:JavaScript 是因為所有 Web 應用的前端都由它構成,能看懂 JS 原始碼是發現漏洞的基礎;Python 用於理解與開發滲透工具,重點是邏輯思維而非死背語法;SQL 幫助理解資料庫運作原理,進而理解 SQL Injection 的根因;Bash 則是 Linux 環境下的自動化與一行指令的基礎。講者強調,看別人的一行指令複製貼上而不理解原理,是進步最慢的方式。
第二階段是 Web 基礎,這是最常被跳過卻最關鍵的部分。講者特別指出:HTTP 方法不只是知道 GET 和 POST,而是要理解「同一個漏洞在 GET 不存在但在 POST 存在」這種情境。理解 Headers(包括 CORS 政策)、Status Code、以及 Request 的完整結構,是日後自訂測試請求的基礎能力。接著工具層面,Burp Suite 是核心,搭配 Postman 測試 API、Browser DevTools 快速驗證資訊洩露,以及 curl、Nuclei、SQLmap 等補充工具,形成完整工具鏈。講者明確建議:Nuclei 等自動化工具要等理解漏洞原理後才使用,否則只是盲目跑掃描器。
進入 Web 應用架構理解階段後,講者要求學習者問自己「前端傳來的哪些東西不應該被信任?」——這個問題的答案正是漏洞的根源。舉例:一個請求中含有 `id` 參數,這個值來自前端,可以被 Burp Suite 修改,若後端沒有驗證,就可能形成 IDOR。理解 REST API 與 GraphQL 的運作差異、JWT 的認證流程、OAuth 的授權設計,以及 RBAC 與功能層級授權的區別,是找到邏輯漏洞的核心能力。講者並結合 OWASP Web Top 10 與 OWASP API Top 10 框架,要求學習者系統性理解每一類漏洞。
實戰演練完成後,講者談到 Bug Bounty 思維的養成:閱讀真實漏洞報告(HackerOne、Bugcrowd 等平台的公開報告)、深入理解 writeup 中攻擊為何成立,遠比觀看工具使用影片更有價值。他建議在掌握 3-5 個漏洞類型後便可開始實際狩獵,邊學邊打,並在 LinkedIn 上持續分享學習成果,建立個人品牌以利求職。認證路線則設計為難度漸進:BSCP 作為入門實戰認證,APISec Certified Expert 專注 API,eWPTX 進階 Web 滲透,OSWE 則是需要白箱代碼審計能力的職業級認證。
關鍵時刻
Pipeline v2帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。
事實查核
Pipeline v2說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。
