超有料丨小白如何成功逆襲爲年薪30萬的Web安全工程師

今天的文章是一篇超實用的學習指南，尤爲是對於即將畢業的學生，新入職場的菜鳥，對Web安全感興趣的小白，真的很是nice，但願你們可以好好閱讀，真的可讓你少走不少彎路，至少年薪30萬so easy！

Web安全工程師的學習路線以下：

一、Web安全相關概念

建議學習時間：2周

學習內容以下：

一、熟悉基本概念(SQL注入、上傳、XSS、CSRF、一句話木馬等)。

二、經過關鍵字(SQL注入、上傳、XSS、CSRF、一句話木馬等)進行Google。

三、閱讀《Web安全深度剖析》，做爲入門學習仍是能夠的。

四、看一些滲透筆記/視頻，瞭解滲透實戰的整個過程，能夠Google(滲透筆記、滲透過程、入侵過程等)。

學習地址：i春秋官網（免費視頻課程）

課程地址（PC端體驗更佳）：

https://www.ichunqiu.com/coursepack/detail?id=138

二、熟悉滲透相關工具

建議學習時間：3周

學習內容以下：

一、熟悉AWVS、Sqlmap、Burpsuite、Nessus、China chopper 、Nmap、Appscan等相關工具的使用。

二、瞭解該類工具的用途和使用場景。

三、下載無後門版的這些軟件進行安裝。

四、學習並進行使用，具體教材能夠在網上搜索，例如：Burpsuite的教程、Sqlmap。

五、經常使用的這幾個軟件都學會後，能夠安裝音速啓動作一個滲透工具箱。

學習地址：i春秋官網（小投資大回報）

課程地址（PC端體驗更佳）：

https://www.ichunqiu.com/coursepack/detail?id=138

三、滲透實戰操做

建議學習時間：5周

學習內容以下：

一、掌握滲透的整個階段並可以獨立滲透小型站點。

二、網上找滲透視頻看並思考其中的思路和原理，關鍵字(滲透、SQL注入視頻、文件上傳入侵、數據庫備份、Dedecms漏洞利用等等)。

三、本身找站點/搭建測試環境進行測試，記住請隱藏好你本身。

四、思考滲透主要分爲幾個階段，每一個階段須要作哪些工做，例如這個：PTES滲透測試執行標準。

五、研究SQL注入的種類、注入原理、手動注入技巧。

六、研究文件上傳的原理，如何進行截斷、解析漏洞利用等，參照：上傳攻擊框架。

七、研究XSS造成的原理和種類，具體學習方法能夠Google。

八、研究Windows/Linux提權的方法和具體使用，能夠參考：提權。

九、能夠參考: 開源滲透測試脆弱系統。

學習地址：i春秋官網（免費視頻課程）

課程地址（PC端體驗更佳）：

https://www.ichunqiu.com/courses

 

四、關注安全圈動態

建議學習時間：1周

學習內容以下：

一、關注安全圈的最新漏洞、安全事件與技術文章。

二、瀏覽每日的安全技術文章/事件。

三、經過微博、微信關注安全圈的從業人員(遇到大牛的關注或者好友果斷關注)，每天抽時間刷一下。

四、經過feedly/鮮果訂閱國內外安全技術博客(不要僅限於國內，平時多注意積累)。

五、養成習慣，天天主動提交安全技術文章連接到i春秋社區進行積澱。

六、多關注下最新漏洞列表，能夠看看hackerone、freebuf、安全客等，遇到公開的漏洞都去實踐下。

七、關注國內國際上的安全會議的議題或者錄像。

八、加入技術交流羣，與羣內大佬們討教一些經驗和技巧。

五、熟悉Windows/Kali Linux

 

建議學習時間：3周

學習內容以下：

一、學習Windows/Kali Linux基本命令、經常使用工具。

二、熟悉Windows下的經常使用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill等。

三、熟悉Linux下的經常使用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等。

四、熟悉Kali Linux系統下的經常使用工具，能夠參考《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等。

五、熟悉metasploit工具，能夠參考《Metasploit滲透測試指南》。

學習地址：i春秋官網（免費視頻課程）

課程地址（PC端體驗更佳）：

https://www.ichunqiu.com/coursepack/detail?id=138

 

六、中間件和服務器的安全配置

建議學習時間：3周

學習內容以下：

一、學習服務器環境配置，並能經過思考發現配置存在的安全問題。

二、Windows server2012環境下的IIS配置，特別注意配置安全和運行權限。

三、Linux環境下的LAMP的安全配置，主要考慮運行權限、跨目錄、文件夾權限等。

四、遠程系統加固，限制用戶名和口令登錄，經過iptables限制端口；配置軟件Waf增強系統安全，在服務器配置mod_security等系統。

五、經過Nessus軟件對配置環境進行安全檢測，發現未知安全威脅。

七、腳本編程學習

建議學習時間：4周

學習內容以下：

一、選擇腳本語言：Perl/Python/PHP/Go/Java中的一種，對經常使用庫進行編程學習。

二、搭建開發環境和選擇IDE，PHP環境推薦Wamp和XAMPP，IDE強烈推薦Sublime。

三、Python編程學習，學習內容包含：語法、正則、文件、網絡、多線程等經常使用庫，推薦《Python核心編程》。

四、用Python編寫漏洞的exp，而後寫一個簡單的網絡爬蟲。

五、PHP基本語法學習並書寫一個簡單的博客系統，參見《PHP與MySQL程序設計(第4版)》、視頻。

六、熟悉MVC架構，並試着學習一個PHP框架或者Python框架(可選)。

七、瞭解Bootstrap的佈局或者CSS。

學習地址：i春秋官網（系統視頻課程）

課程地址（PC端體驗更佳）：

https://www.ichunqiu.com/newRelease/webaqgcs

 

八、源碼審計與漏洞分析

建議學習時間：3周

學習內容以下：

一、能獨立分析腳本源碼程序並發現安全問題。

二、熟悉源碼審計的動態和靜態方法，並知道如何去分析程序。

三、瞭解Web漏洞的造成緣由，而後經過關鍵字進行查找分析。

四、研究Web漏洞造成原理和如何從源碼層面避免該類漏洞，並整理成checklist。

學習地址：i春秋官網（系統視頻課程）

課程地址（PC端體驗更佳）：

https://www.ichunqiu.com/newRelease/webaqgcs

九、安全體系設計與開發

建議學習時間：5周

學習內容以下：

一、能創建本身的安全體系，並能提出一些安全建議或者系統架構。

二、開發一些實用的安全小工具並開源，體現我的實力。

三、創建本身的安全體系，對公司安全有本身的一些認識和看法。

四、提出或者加入大型安全系統的架構或者開發。

學習地址：i春秋官網（系統視頻課程）

課程地址（PC端體驗更佳）：

https://www.ichunqiu.com/newRelease/webaqgcs

以上九大塊內容包含了Web安全的總體學習內容及思路，相信會給不少新手小白或者職場菜鳥一個清晰的系統框架，但願對你們有所幫助，若是對於基礎很差，自學能力較弱的人來講也能夠報名線下培訓班，100%就業，90%以上名企錄用，這對不少人來講也算是一條「捷徑」。

固然，還有不少牛人選擇自學成才，咱們整理一批關於學習心得、實用工具的相關內容，助你快速提高安全技能！

一、瞭解iOS URL Schemes

二、數據庫安全體系構建

三、刺透內網的HTTP代理

四、利用Burpsuite學習注入工具語句 

五、滲透技術的使用案例

小夥伴們還有什麼想要了解的內容，歡迎留言給咱們，咱們儘可能知足你們的需求，但願i春秋公衆號能夠陪你一塊兒走過最黑的夜，看見最亮的光！