web安全工程师

web安全工程师是信息安全领域的一个职位，它担任对公司网站、事务体系进行安全评价测验；对公司各类体系进行安全加固；对公司安全事情进行呼应，整理后门，依据日志剖析进犯途径；安全技能研讨，包含安全防备技能，黑客技能等；盯梢最新缝隙信息，进行事务产品的安全查看。

职位描绘

1. 对公司网站、事务体系进行安全评价测验（黑盒、白盒测验）；

2. 对公司各类体系进行安全加固；

3. 对公司安全事情进行呼应，整理后门，依据日志剖析进犯途径；

4. 安全技能研讨，包含安全防备技能，黑客技能等；

5. 盯梢最新缝隙信息，进行事务产品的安全查看。

职位要求

1. 了解干流的Web安全技能，包含SQL注入、XSS、CSRF、一句话木马等安全危险；

2. 了解国内外干流安全产品和东西，如：Nessus、Nmap、AWVS、Burp、Appscan等；

3. 了解windows、linux平台浸透测验、后门剖析、加固；

4. 至少把握一门编程语言C/C++/Perl/Python/PHP/Go/Java等；

5. 了解浸透测验的进程、办法、流程，具有Web安全实战经验；

6. 了解常见安全攻防技能，对网络安全、体系安全、运用安全有深化的了解和自己的知道；

7. 对Web安全全体有深刻了解，具有代码审计和独立缝隙挖掘才能；

8. 具有较强的团队知道，高度的责任感，文档、计划才能优异者优先。

学习道路：

2周
Web安全相关概念
        了解根本概念（SQL注入、上传、XSS、CSRF、一句话木马等）。

        经过关键字（SQL注入、上传、XSS、CSRF、一句话木马等）进行Google/SecWiki；

        阅览《精通脚本黑客》，尽管很旧也有错误，但是入门仍是能够的；

        看一些浸透笔记/视频，了解浸透实战的整个进程，能够Google（浸透笔记、浸透进程、侵略进程等）；

3周
了解浸透相关东西
了解AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关东西运用。

了解该类东西的用途和运用场景，先用软件姓名Google/SecWiki；

下载无后门版的这些软件进行装置；

学习并进行运用，详细教材能够在SecWiki上搜索，例如：Brup的教程、sqlmap；

待常用的这几个软件都学会了能够装置音速发动做一个浸透东西箱；

5周
浸透实战操作
把握浸透的整个阶段并能够独立浸透小型站点。

网上找浸透视频看并考虑其间的思路和原理，关键字（浸透、SQL注入视频、文件上传侵略、数据库备份、dedecms缝隙运用等等）；

自己找站点/树立测验环境进行测验，记住请隐藏好你自己；

考虑浸透首要分为几个阶段，每个阶段需要做那些工作，例如这个：PTES浸透测验执行标准；

研讨SQL注入的品种、注入原理、手动注入技巧；

研讨文件上传的原理，怎么进行切断、两层后缀诈骗(IIS、PHP)、解析缝隙运用（IIS、Nignix、Apache）等，参照：上传进犯结构；

研讨XSS构成的原理和品种，详细学习办法能够Google/SecWiki，能够参阅：XSS；

研讨Windows/Linux提权的办法和详细运用，能够参阅：提权；

能够参阅: 开源浸透测验脆弱体系；

1周
重视安全圈动态
        重视安全圈的最新缝隙、安全事情与技能文章。

        经过SecWiki阅读每日的安全技能文章/事情；

        经过Weibo/twitter重视安全圈的从业人员（遇到大牛的重视或许老友决断重视），天天抽时间刷一下；

        经过feedly/鲜果订阅国内外安全技能博客（不要仅限于国内，平时多留意积累），没有订阅源的能够看一下SecWiki的聚合栏目；

        养成习气，每天自动提交安全技能文章链接到SecWiki进行沉淀；

        多重视下最新缝隙列表，引荐几个：exploit-db、CVE中文库等，遇到揭露的缝隙都去实践下。

        重视国内国际上的安全会议的议题或许录像，引荐SecWiki-Conference。

3周
了解Windows/Kali Linux
学习Windows/Kali Linux根本指令、常用东西；

了解Windows下的常用的cmd指令；

了解Linux下的常用指令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；

了解Kali Linux体系下的常用东西；

了解metasploit东西，能够参阅SecWiki、《Metasploit浸透测验攻略》。

3周
服务器安全装备
    学习服务器环境装备，并能经过考虑发现装备存在的安全问题。

Windows2003/2008环境下的IIS装备，特别留意装备安全和运转权限，能够参阅：SecWiki-装备；

Linux环境下的LAMP的安全装备，首要考虑运转权限、跨目录、文件夹权限等，能够参阅：SecWiki-装备；

长途体系加固，约束用户名和口令登陆，经过iptables约束端口；

装备软件Waf加强体系安全，在服务器装备mod_security等体系，拜见SecWiki-ModSecurity；

经过Nessus软件对装备环境进行安全检测，发现未知安全威胁。

 

4周
脚本编程学习
挑选脚本语言Perl/Python/PHP/Go/Java中的一种，对常用库进行编程学习。

树立开发环境和挑选IDE，PHP环境引荐Wamp和XAMPP，IDE强烈引荐Sublime，一些Sublime的技巧：SecWiki-Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，引荐《Python中心编程》，不要看完；

用Python编写缝隙的exp，然后写一个简略的网络爬虫，可拜见SecWiki-爬虫、视频；

PHP根本语法学习并书写一个简略的博客体系，拜见《PHP与MySQL程序设计（第4版）》、视频；

了解MVC架构，并试着学习一个PHP结构或许Python结构（可选）；

了解Bootstrap的布局或许CSS，能够参阅：SecWiki-Bootstrap;

3周
源码审计与缝隙剖析
能独立剖析脚本源码程序并发现安全问题；

了解源码审计的动态和静态办法，并知道怎么去剖析程序，拜见SecWiki-审计；

从CVE上寻觅开源程序的缝隙进行剖析并试着自己剖析；

了解Web缝隙的构成原因，然后经过关键字进行查找剖析，拜见SecWiki-代码审计、高档PHP运用程序缝隙审阅技能；

研讨Web缝隙构成原理和怎么从源码层面防止该类缝隙，并整理成checklist。

5周
安全体系设计与开发
能树立自己的安全体系，并能提出一些安全主张或许体系架构。

开发一些有用的安全小东西并开源，表现个人实力；

树立自己的安全体系，对公司安全有自己的一些知道和见解；

提出或许参加大型安全体系的架构或许开发；