互联网时代已进入下半场,竞争越发的激烈,能与人工智能比肩的热门职业已然不多。而互联网越发达,各大企业所面临的各种网络安全问题就会越发的严峻,Web安全工程师的人才缺口仍在不断扩大。经济理论揭示了需求大于供给时,供给方必然涨价的市场定论,也为此奠定了Web安全工程师高薪资的市场基础。
薪资范围
安全技术是一个完全可量化的技能,随着Web安全技能的不断提升,可预见的月均薪资水准也将水涨船高。
硬核技能
一名合格的Web安全工程师要具备很多的技能,不但要对网站架构熟悉,通讯协议,测试流程与测试工具使用,漏洞利用脚本编写,还要有丰富的经验积累等,每一项能力中都需要精心雕琢,深度研究,才能进阶到更高的程度,这个过程中少不了前辈的引导、个人的努力和坚持。
简单思维导图
1、基础网络协议/网站架构
互联网的本质也就是一系列的网络协议,不管是C/S架构还是B/S架构都是基于网络通信,渗透人员需要了解到通信流程以及数据包走向等,才能使用相应手段跟工具去做渗透。
Web网站常见的协议以及请求方式,在做渗透的时候是必不可少的,甚至也可以利用协议来做渗透测试,所有的知识都是息息相关,必不可少的。
2、基础的编程能力
一名Web渗透测试人员必须具有一定的基础编程能力,每天都会跟代码打交道,如果不会写代码或者看不懂代码,必然是十分吃亏的。
例如自己需要写一款适合此刻情景漏洞的工具,如果不会写代码就会极大的降低工作效率。关于后续进阶的代码审计问题,如果不会写代码,也看不懂代码,就不知道该如何从源代码中审计漏洞发现原因。对于只会利用工具的渗透人员和会写代码的渗透测试人员来说,在这种情况下优势就非常明显了。
3、渗透测试工具
网上开源的渗透测试工具很多,作为渗透测试人员会使用渗透测试工具是必备技能。同时还要学会利用一些优秀的工具,最好是学会自己写工具。
例如在做渗透测试时,大量的数据FUZZ,如果用人工操作将会大大浪费时间,如果网上的工具不符合此漏洞的情景,这时候就需要自己手动写工具去调试。当然网上优秀的工具也不少,优先使用会极大提高我们的工作效率。
4、了解网站的搭建构成
请试着去了解一个网站的形成架构,语言,中间件容器等。如果说不知道一个网站是如何搭建起来的,那么做渗透的时候根本就没有对应的渗透测试方案。
例如一个网站采用了某种中间件,或者什么数据库,再或者是采用网上开源的CMS。如果对于这些都不了解,那么就只能在网页上徘徊游走,甚至无从下手。了解一个网站的搭建与构成,对于自己前期做踩点与信息收集会有很大的帮助。
5、漏洞原理(重要)
渗透测试人员是要对漏洞原理去深入研究的,这样会从中发现更多有“趣”的东西。所谓有“趣”的东西可能是你在原有的基础漏洞上配合其他漏洞,从而达到组合漏洞,这样效果有可能会更佳。
如果不去了解漏洞原理,漏洞产生,不去从代码层出发,那就不知道漏洞起因,到后期的渗透利用以及修复方案,就会显得很吃力,这时候就需要现去查阅资料,大大降低了工作速度与效率,所以知识积累必不可少。
6、报告纂写能力
每次做完渗透测试后,都需要一个渗透测试报告,所以报告纂写能力也必不可缺。优质的报告会对今后漏洞挖掘的梳理,网络结构印象的加深,后期与客户沟通,与开发对接,提修复建议等,都会起到很大的帮助。
学习经验
学习期间,尤其是前期学习千万不要轻言放弃,在学习的过程中一定要记笔记,最好是图文并茂的形式,方便后期翻阅查看。
安全非一朝一夕之事,在这个长期的过程中,我们除了知识的积累,更重要的是进行实践,只有在实践中学会发现问题,解决问题,才能让我们所学的知识真正做到学以致用!
参考书籍
在Web安全学习的过程中,可以多阅读一些相关书籍,帮助大家将知识点更好的消化吸收。参考书籍如下:
1、《白帽子讲Web安全》
2、《白帽子讲浏览器安全》
3、《Sql注入攻击与防御》
4、《XSS跨站脚本攻击剖解与防御》
5、《一本书读懂TCP/IP》
6、《Metasploit渗透测试指南》
培训班
基于Web安全工程师的培训有线上和线下两种方式:
线上培训:没有集中时间可以进行脱产学习,又急于想完成Web安全工程师进阶的同学,可以选择线上培训班。
由i春秋学院联合网易安全部出品,资深讲师团队通过精炼的教学内容、丰富的实际场景及综合项目实战,帮助大家快速提升技能,牢靠掌握Web安全工程师核心知识,成为安全领域高精尖人才。
线下培训:对于基础薄弱,自学能力欠佳,没有完整学习规划的同学可以考虑报名线下培训班,资质认证由中国信息安全认证中心和中国信息安全测评中心颁发证书,用成绩说话,目前已培养6000+实训学员,100%就业,90%以上名企录用,这对很多人来说也算是一条通往成功的“捷径”。