Web安全學習規劃

一名合格的Web安全工程師是要具有不少的知識點，不但要對網站架構熟悉，通信協議，測試流程與測試工具使用，漏洞利用腳本編寫，還有須要經驗的積累等。

互聯網進入下半場，競爭愈加的激烈，能與人工智能比肩的熱門職業已然很少。而互聯網愈加達，各大企業所面臨着各類網絡安全問題會愈加的嚴峻，Web安全工程師的人才缺口仍在不斷擴大。經濟理論揭示了需求大於供給時，供給方必然漲價的市場定論，也爲此奠基了Web安全工程師高薪資的市場基礎。
安全技術是一個徹底可量化的技能，隨着Web安全技能的不斷提高，可預見的月均薪資水準也將水漲船高。
Web安全工程師總體月均薪資分佈
圖1: Web安全工程師總體月均薪資分佈

Web安全工程師必備技能

一名合格的Web安全工程師是要具有不少的知識點，不但要對網站架構熟悉，通信協議，測試流程與測試工具使用，漏洞利用腳本編寫，還有須要經驗的積累等，每一項能力中都是須要精心細琢，深度研究，才能進階到一個更高的程度，過程當中少不了前輩的引導、我的的努力和堅持。
Web安全工程師總體月均薪資分佈

1. 基礎網絡協議/網站架構

互聯網的本質也就是一系列的網絡協議，不論是C/S架構仍是B/S架構都是基於網絡通訊，滲透人員須要瞭解到通訊流程以及數據包走向等，才能使用相應手段跟工具去作滲透。Web網站常見的協議以及請求方式，這些在作滲透的時候必不可少的。甚至也是能夠利用協議來作滲透測試。全部的知識都是息息相關的，必不可少。

2. 基礎的編程能力

一名Web滲透測試人員必須具備有必定的基礎編程能力的，天天都跟代碼打交道，若是不會寫代碼或者看不懂代碼，十分吃虧。例如須要本身寫一款適合此刻情景漏洞的工具，若是不會寫會極大下降效率。再者就是關於後續進階的代碼審計問題，若是不會寫代碼，代碼也看不懂那麼就不知道怎麼從源代碼去審計漏洞去發現緣由。對於只會利用工具的滲透人員跟會寫代碼的滲透測試人員來講，在遇到某種狀況下，優點一下就能體現出來了。

3. 滲透測試工具

滲透測試工具網上開源的不少，做爲滲透測試人員會使用滲透測試工具這是必不可少的。一些優秀的工具要學會利用，還有就是要學會本身寫工具。例如在作滲透測試中，比如說大量的數據FUZZ，若是說人工操做將大大浪費時間跟效率。如若網上的工具不符合此漏洞的情景，這時候就須要本身手動寫工具去調試。固然網上優秀的工具已很多，優先使用會極大提升咱們的效率。

4. 瞭解網站的搭建構成

試着去了解一個網站的造成架構，語言，中間件容器等。若是不知道一個網站是如何搭建起來的，那麼作滲透的時候根本就沒有對應的滲透測試方案。例如一個網站採用了某種中間件，或者什麼數據庫，再或者是採用網上開源的CMS。若是對於這些不瞭解，那麼就只能在網頁上徘徊遊走，甚至無從下手。瞭解一個網站的搭建與構成，對於本身前期作踩點與信息收集有着很大的幫助，才能事半功倍。

5. 漏洞原理(重要)

滲透測試人員確定是要對漏洞原理去深刻研究探究，這樣會從中發現更多有「趣」的東西。全部有「趣」的東西是可能你在原有的基礎漏洞上配合其餘漏洞，從而達到組合漏洞，這樣效果有可能會更佳，不過不去了解漏洞原理，漏洞產生，不去從代碼層出發，那就不知道漏洞原由，到後期的滲透利用以及修復方案，就會顯得吃力，這時候有可能你就須要去查資料，從某種形式的下降了速度與效率，因此，知識與積累必不可少。

6. 報告撰寫能力

每次作完滲透測試以後，都是須要一個滲透測試報告，因此報告撰寫能力也是不可缺。對於本身漏洞挖掘的梳理，網絡結構印象加深，這是後期與客戶溝通還有與開發對接提修復建議能起到很大的幫助，這些細小的細節決定着你服務的質量與你的責任感，因此這些都是須要不斷的積累與提高的一個過程。

入門Web安全工程師的學習建議

對於想要入門Web安全的同窗來講，學習過程當中，尤爲是前期學習千萬不要放棄。同時，學習的過程當中要記錄圖文並茂的筆記。做爲知識的積累，最重要的進行實踐，實踐，實踐!在實踐中發現問題，解決問題，安全非一朝一夕之事。
若是你有興趣入門Web安全，如下的幾本書籍資源能夠推薦給你：

《白帽子講Web安全》
《白帽子講瀏覽器安全》
《Sql注入攻擊與防護》
《XSS跨站腳本攻擊剖解與防護》
《一本書讀懂TCP/IP》
《Metasploit滲透測試指南》