你是否正在收集各类网安网安知识学习,蚁景网安实验室为你总结了1300+网安技能任你学,点击获取免费靶场>>
Web安全的范围实在太大,哪些先学,哪些后学,如果没有系统的路线会降低大家效率,对于刚入门的同学们来说简直就是“噩梦”。所以,这篇类似学习路线的文章,希望可以帮助刚入门的萌新们少走弯路。
首先我们来看看企业对Web安全工程师的岗位招聘需求是什么?
职位描述:
1. 前沿攻防技术研究、跟踪国内外安全领域的安全动态、漏洞披露并复现;
2. 对流行WEB脚本及WEB框架漏洞挖掘;
3. PHP、JAVA方向漏洞挖掘工作。
任职资格:
1、 熟练流行web代码和框架的审计、脚本漏洞挖掘能力和黑盒测试能力(具备独立挖掘JAVA、PHP能力);
2、 对JAVA编程有深入了解,熟悉JAVA主流框架(Spring、Struts2等),具备较强Java代码审计能力;
3、 熟悉WindowsLinux 安全机制,具备基础安全开发能力(不限于PHP、python、java)以及problem solving能力;
4、 有较强的独立钻研能力,有良好的团队精神。
5、 独立分析过公开漏洞,能快速输出漏洞利用EXP;
6、 深入理解常见安全漏洞产生原理及防范方法;
7、 对安全有浓厚的兴趣和较强的独立钻研能力,有良好的团队精神。
加分项:
(1)具有CTF比赛、网络攻防竞赛经验,取得过较好名次优先;
(2)独立挖掘过通用WEB漏洞,具有CNVD原创证书或cve证书;
(3)在知名安全媒体上发布过文章。
根据岗位技能需求,再来制定我们的学习路径,如下:
只有搞明白Web是什么,我们才能对Web安全进行深入研究,所以你必须了解HTTP,了解了HTTP,你就会明白安全术语的“输入输出”。黑客通过输入提交“特殊数据”,特殊数据在数据流的每个层处理,如果某个层没处理好,在输出的时候,就会出现相应层的安全问题。关于HTTP,你必须要弄明白以下知识:
HTTP/HTTPS特点、工作流程
HTTP协议(请求篇、响应篇)
了解HTML、Javascript
Get/Post区别
Cookie/Session是什么?
熟悉如何渗透测试安全工具,掌握这些工具能大大提高你在工作的中的效率。
Vmware安装
Windows/kali虚拟机安装
Phpstudy、LAMP环境搭建漏洞靶场
Java、Python环境安装
子域名工具 Sublist3r
Sqlmap
Burpsuite
Nmap
W3af
Nessus
Appscan
AWVS
编程语言这里喜欢学哪种就学哪种,一般情况不做具体推荐,基本上都可以满足从事wen安全的需要,当然一些具体的课程里面会有具体的安排,比如蚁景的课程里面就是以PHP和python为主。
包括但不限于SQL注入漏洞,文件上传漏洞,命令执行漏洞,跨站请求漏洞等漏洞。主要是需要了解其原理以及检测与防范方式。
如果上述漏洞原理掌握的都差不多那么你就算入门Web安全了,有条件的参与一些比赛,既可以积累经验,对后续找工作也可以有不少加分项。
如果看完这一篇还不过瘾的话可以去实验室做实验继续学习哦。