当前位置: 首页 > 原创新闻 > 从事web安全工作需要学什么

从事web安全工作需要学什么

发表于:2020-12-14 11:03 作者: mtr 阅读数(8656人)

你是否正在收集各类网安网安知识学习,蚁景网安实验室为你总结了1300+网安技能任你学,点击获取免费靶场>>


Web安全的范围实在太大,哪些先学,哪些后学,如果没有系统的路线会降低大家效率,对于刚入门的同学们来说简直就是“噩梦”。所以,这篇类似学习路线的文章,希望可以帮助刚入门的萌新们少走弯路。


首先我们来看看企业对Web安全工程师的岗位招聘需求是什么?


职位描述:

1. 前沿攻防技术研究、跟踪国内外安全领域的安全动态、漏洞披露并复现;

2. 对流行WEB脚本及WEB框架漏洞挖掘;

3. PHP、JAVA方向漏洞挖掘工作。


任职资格:


1、 熟练流行web代码和框架的审计、脚本漏洞挖掘能力和黑盒测试能力(具备独立挖掘JAVA、PHP能力);

2、 对JAVA编程有深入了解,熟悉JAVA主流框架(Spring、Struts2等),具备较强Java代码审计能力;

3、 熟悉WindowsLinux 安全机制,具备基础安全开发能力(不限于PHP、python、java)以及problem solving能力;

4、 有较强的独立钻研能力,有良好的团队精神。

5、 独立分析过公开漏洞,能快速输出漏洞利用EXP;

6、 深入理解常见安全漏洞产生原理及防范方法;

7、 对安全有浓厚的兴趣和较强的独立钻研能力,有良好的团队精神。


加分项:

(1)具有CTF比赛、网络攻防竞赛经验,取得过较好名次优先;

(2)独立挖掘过通用WEB漏洞,具有CNVD原创证书或cve证书;

(3)在知名安全媒体上发布过文章。


根据岗位技能需求,再来制定我们的学习路径,如下:

01 HTTP基础


只有搞明白Web是什么,我们才能对Web安全进行深入研究,所以你必须了解HTTP,了解了HTTP,你就会明白安全术语的“输入输出”。黑客通过输入提交“特殊数据”,特殊数据在数据流的每个层处理,如果某个层没处理好,在输出的时候,就会出现相应层的安全问题。关于HTTP,你必须要弄明白以下知识:


HTTP/HTTPS特点、工作流程


HTTP协议(请求篇、响应篇)


了解HTML、Javascript


Get/Post区别


Cookie/Session是什么?


02 专业工具使用


熟悉如何渗透测试安全工具,掌握这些工具能大大提高你在工作的中的效率。


Vmware安装


Windows/kali虚拟机安装


Phpstudy、LAMP环境搭建漏洞靶场


Java、Python环境安装


子域名工具 Sublist3r


Sqlmap

Burpsuite

Nmap

W3af

Nessus

Appscan

AWVS


03 至少学会一种编程语言


编程语言这里喜欢学哪种就学哪种,一般情况不做具体推荐,基本上都可以满足从事wen安全的需要,当然一些具体的课程里面会有具体的安排,比如蚁景的课程里面就是以PHP和python为主。


04 熟悉常见的漏洞


包括但不限于SQL注入漏洞,文件上传漏洞,命令执行漏洞,跨站请求漏洞等漏洞。主要是需要了解其原理以及检测与防范方式。


如果上述漏洞原理掌握的都差不多那么你就算入门Web安全了,有条件的参与一些比赛,既可以积累经验,对后续找工作也可以有不少加分项。


如果看完这一篇还不过瘾的话可以去实验室做实验继续学习哦。

靶场.png