怎樣做一名web安全工程師?
　　怎樣做一名web安全工程師?由起步網校www.hgwzm.tw小編在百忙之中為您搜集整理的，旨在為各類考資格、職稱的考生免費提供一些相關的考試題及相關資訊，希望小編的付出能給您帶來一定的幫助！
　　如何做一名好的web安全工程師？
　　在網絡安全行業里面，web安全方向的人相對來說算是占大頭，因為web安全初學階段不像系統底層安全那么枯燥，而且成功hack目標網站的成就感相對也是比較強的。
　　web安全工程師這個職位在甲方和乙方公司都有，在安全這塊，甲方指提出安全需求的公司，而乙方公司則是指提供安全服務的公司，一般的中小型公司沒有安全崗位，甲方的安全部大多都掛在運維部下面。另外在大公司和小公司web安全工程師做的事情也不一樣，大公司工作分的相對細，一般做滲透測試的就只做滲透測試，在[正規小公司]就不一樣了，一般本職工作就比較多，可能安全服務、安全研究以及安全開發都會放一部分在身上，這對工程師的要求比較高，也非常難招到。這也就是平時經常跟朋友開玩笑說的[招個會搞運維、又懂安全、又懂開發的，打燈籠都難找]，當然這也是我對公司安全team成員的要求。
　　回到正題，如何做一名好的web安全工程師？主要是[職業操守]和[技術]兩大方面。
　　職業操守是為人處世最基本的東西，職業操守好的人就比較靠譜，我非常討厭的三種人就是
　　1.經常莫名其妙聯系不上，不注重溝通。
　　2.經常無故失約，放鴿子。
　　3.工作沒有積極性，非本職工作怨天尤人。
　　這三點都有一個共同點就是[尊重]。從這三點就可以看出一個人靠譜不靠譜，靠譜的人往往注重交流，不管是工作還是生活，他能隨時把最新情況通知出來，有非常強的合作精神，能讓你有搭檔的感覺。
　　態度決定一切，這是非常好的一句話，做任何事之前首先要看的就是態度，在資源這么豐富的互聯網時代，如果有心做一件事，技術不好網上都可以找，做事態度不好，能力再強也沒用。
　　技術這塊，方向不同需要的技術也不一樣，不過既然是做安全工作，必須要知道的更全面，就算不做到熟練，熟悉還是得要。
　　我之前說過一句話[沒有安全研究能力的公司不能叫安全公司]，研究能力是一家公司創新的根本，所以web安全工程師一定要具備[安全研究能力]。如果一個web安全工程師做滲透測試，沒有安全研究能力，就永遠跨不過腳本小子的坎，只會使用別人的研究成果，從來不去思考原理性的東西，就算經驗再多再熟練也只是做重復的事情，沒有創新性，不能對現有資源進行改進。
　　我還說過一句話[編程和運維是安全的基礎]，為什么這么說？代碼寫多了，思維邏輯就能轉的很快，對安全問題也能看的更仔細，理解的更通透，能讓你在技術的任何領域都能快速成長，所謂一通百通。運維能力在安全中也非常重要，舉個最簡單的例子，如果跑去別人公司做應急響應，連別人的設備、環境、架構這些都不懂，那后面的應急響應是非常困難的，另外具備運維能力，也能讓自己快速的搭建各種環境，快速學習。
　　下面我總結出來一個好的web安全工程師應該具備的素質，用人單位在招人的時候可以參考下。
　　1.靠譜的職業操守。
　　2.有積極進取的心，能夠不斷強化自己。
　　3.安全研究能力，創新能力，能夠對現有資源進行改進。
　　4.編程和運維能力。
　　想轉行做web安全工程師，求指教。
　　Web安全相關概念
　　熟悉基本概念（SQL注入、上傳、XSS、CSRF、一句話木馬等）。
　　通過關鍵字（SQL注入、上傳、XSS、CSRF、一句話木馬等）進行Google/SecWiki；
　　閱讀《精通腳本黑客》，雖然很舊也有錯誤，但是入門還是可以的；
　　看一些滲透筆記/視頻，了解滲透實戰的整個過程，可以Google（滲透筆記、滲透過程、入侵過程等）；
　　3周熟悉滲透相關工具
　　熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關工具的使用。
　　了解該類工具的用途和使用場景，先用軟件名字Google/SecWiki；
　　下載無后門版的這些軟件進行安裝；
　　學習并進行使用，具體教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；
　　待常用的這幾個軟件都學會了可以安裝音速啟動做一個滲透工具箱；
　　起步網校會一如既往的為各位考生提供相關職業考試的模擬試題、試卷、復習題等，希望在考試中能夠得心應手，取得好的成績！早日拿到自己想的各類證書，同時也祝各位有個好工作，有個好待遇！