怎樣做一名web安全工程師?
怎樣做一名web安全工程師?由起步網校www.hgwzm.tw小編在百忙之中為您搜集整理的,旨在為各類考資格、職稱的考生免費提供一些相關的考試題及相關資訊,希望小編的付出能給您帶來一定的幫助!
如何做一名好的web安全工程師?
在網絡安全行業里面,web安全方向的人相對來說算是占大頭,因為web安全初學階段不像系統底層安全那么枯燥,而且成功hack目標網站的成就感相對也是比較強的。
web安全工程師這個職位在甲方和乙方公司都有,在安全這塊,甲方指提出安全需求的公司,而乙方公司則是指提供安全服務的公司,一般的中小型公司沒有安全崗位,甲方的安全部大多都掛在運維部下面。另外在大公司和小公司web安全工程師做的事情也不一樣,大公司工作分的相對細,一般做滲透測試的就只做滲透測試,在[正規小公司]就不一樣了,一般本職工作就比較多,可能安全服務、安全研究以及安全開發都會放一部分在身上,這對工程師的要求比較高,也非常難招到。這也就是平時經常跟朋友開玩笑說的[招個會搞運維、又懂安全、又懂開發的,打燈籠都難找],當然這也是我對公司安全team成員的要求。
回到正題,如何做一名好的web安全工程師?主要是[職業操守]和[技術]兩大方面。
職業操守是為人處世最基本的東西,職業操守好的人就比較靠譜,我非常討厭的三種人就是
1.經常莫名其妙聯系不上,不注重溝通。
2.經常無故失約,放鴿子。
3.工作沒有積極性,非本職工作怨天尤人。
這三點都有一個共同點就是[尊重]。從這三點就可以看出一個人靠譜不靠譜,靠譜的人往往注重交流,不管是工作還是生活,他能隨時把最新情況通知出來,有非常強的合作精神,能讓你有搭檔的感覺。
態度決定一切,這是非常好的一句話,做任何事之前首先要看的就是態度,在資源這么豐富的互聯網時代,如果有心做一件事,技術不好網上都可以找,做事態度不好,能力再強也沒用。
技術這塊,方向不同需要的技術也不一樣,不過既然是做安全工作,必須要知道的更全面,就算不做到熟練,熟悉還是得要。
我之前說過一句話[沒有安全研究能力的公司不能叫安全公司],研究能力是一家公司創新的根本,所以web安全工程師一定要具備[安全研究能力]。如果一個web安全工程師做滲透測試,沒有安全研究能力,就永遠跨不過腳本小子的坎,只會使用別人的研究成果,從來不去思考原理性的東西,就算經驗再多再熟練也只是做重復的事情,沒有創新性,不能對現有資源進行改進。
我還說過一句話[編程和運維是安全的基礎],為什么這么說?代碼寫多了,思維邏輯就能轉的很快,對安全問題也能看的更仔細,理解的更通透,能讓你在技術的任何領域都能快速成長,所謂一通百通。運維能力在安全中也非常重要,舉個最簡單的例子,如果跑去別人公司做應急響應,連別人的設備、環境、架構這些都不懂,那后面的應急響應是非常困難的,另外具備運維能力,也能讓自己快速的搭建各種環境,快速學習。
下面我總結出來一個好的web安全工程師應該具備的素質,用人單位在招人的時候可以參考下。
1.靠譜的職業操守。
2.有積極進取的心,能夠不斷強化自己。
3.安全研究能力,創新能力,能夠對現有資源進行改進。
4.編程和運維能力。
想轉行做web安全工程師,求指教。
Web安全相關概念
熟悉基本概念(SQL注入、上傳、XSS、CSRF、一句話木馬等)。
通過關鍵字(SQL注入、上傳、XSS、CSRF、一句話木馬等)進行Google/SecWiki;
閱讀《精通腳本黑客》,雖然很舊也有錯誤,但是入門還是可以的;
看一些滲透筆記/視頻,了解滲透實戰的整個過程,可以Google(滲透筆記、滲透過程、入侵過程等);
3周熟悉滲透相關工具
熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關工具的使用。
了解該類工具的用途和使用場景,先用軟件名字Google/SecWiki;
下載無后門版的這些軟件進行安裝;
學習并進行使用,具體教材可以在SecWiki上搜索,例如:Brup的教程、sqlmap;
待常用的這幾個軟件都學會了可以安裝音速啟動做一個滲透工具箱;
起步網校會一如既往的為各位考生提供相關職業考試的模擬試題、試卷、復習題等,希望在考試中能夠得心應手,取得好的成績!早日拿到自己想的各類證書,同時也祝各位有個好工作,有個好待遇!