當前位置:首頁 » 網頁前端 » web安全師找工作嗎還需要什麼
擴展閱讀
webinf下怎麼引入js 2023-08-31 21:54:13
堡壘機怎麼打開web 2023-08-31 21:54:11

web安全師找工作嗎還需要什麼

發布時間: 2023-06-10 23:20:32

A. web安全要學什麼

Web安全的范圍實在太大,哪些先學,哪些後學,如果沒有系統的路線會降低大家效率,對於剛入門的同學們來說簡直就是「噩夢」。所以,這篇類似學習路線的文章,希望可以幫助剛入門的萌新們少走彎路。(文末附學習資料及工具領取)

首先我們來看看企業對Web安全工程師的崗位招聘需求是什麼?

1職位描述

  • 對公司各類系統進行安全加固;

  • 對公司網站、業務系統進行安全評估測試(黑盒、白盒測試)

  • 對公司安全事件進行響應、清理後門、根據日誌分析攻擊途徑

  • 安全技術研究,包括安全防範技術、黑客技術等;

  • 跟蹤最新漏洞信息,進行業務產品的安全檢查。

  • 2崗位要求

  • 熟悉Web滲透測試方法和攻防技術,包括sql注入、XSS跨站、CSRF偽造請求、命令執行等OWSP TOP10 安全漏洞與防禦;

  • 熟悉Linux、Windows不同平台的滲透測試,對網路安全、系統安全、應用安全有深入理解和自己的認識;

  • 熟悉國內外安全工具,包括Kali、Linux、Metasploit、Nessus、Namp、AWVS、Burp等;

  • 對Web安全整體有深刻理解,有一定漏洞分析和挖掘能力;

  • 根據崗位技能需求,再來制定我們的學習路徑,如下:

    一、Web安全學習路徑


    01 HTTP基礎

    只有搞明白Web是什麼,我們才能對Web安全進行深入研究,所以你必須了解HTTP,了解了HTTP,你就會明白安全術語的「輸入輸出」。黑客通過輸入提交「特殊數據」,特殊數據在數據流的每個層處理,如果某個層沒處理好,在輸出的時候,就會出現相應層的安全問題。關於HTTP,你必須要弄明白以下知識:

    HTTP/HTTPS特點、工作流程

    HTTP協議(請求篇、響應篇)

    了解HTML、Javascript

    Get/Post區別

    Cookie/Session是什麼?

    02 了解如下專業術語的意思

    Webshell
    菜刀
    0day
    SQL注入
    上傳漏洞
    XSS
    CSRF
    一句話木馬

    ......

    03 專業黑客工具使用

    熟悉如何滲透測試安全工具,掌握這些工具能大大提高你在工作的中的效率。

    Vmware安裝

    Windows/kali虛擬機安裝

    Phpstudy、LAMP環境搭建漏洞靶場

    Java、Python環境安裝

    子域名工具 Sublist3r

    Sqlmap
    Burpsuite
    Nmap
    W3af
    Nessus
    Appscan
    AWVS

    04 XSS

    要研究 XSS 首先了解同源策略 ,Javascript 也要好好學習一下 ,以及HTML實體 HTML實體的10 或16進制還有Javascript 的8進制和16進制編碼,最終掌握以下幾種類型的XSS:

    反射型 XSS:可用於釣魚、引流、配合其他漏洞,如 CSRF 等。

    存儲型 XSS:攻擊范圍廣,流量傳播大,可配合其他漏洞。

    DOM 型 XSS:配合,長度大小不受限制 。

    05 SQL注入

    所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令。你需要了解以下知識:

    SQL 注入漏洞原理
    SQL 注入漏洞對於數據安全的影響
    SQL 注入漏洞的方法
    常見資料庫的 SQL 查詢語法
    MSSQL,MYSQL,ORACLE 資料庫的注入方法
    SQL 注入漏洞的類型:數字型注入 、字元型注入、搜索注入 、盲注(sleep注入) 、Sqlmap使用、寬位元組注入

    SQL 注入漏洞修復和防範方法
    一些 SQL 注入漏洞檢測工具的使用方法

    06 文件上傳漏洞

    了解下開源編輯器上傳都有哪些漏洞,如何繞過系統檢測上傳一句話木馬、WAF如何查殺Webshell,你必須要掌握的一些技能點:

    1.客戶端檢測繞過(JS 檢測)

    2.伺服器檢測繞過(目錄路徑檢測)

    3.黑名單檢測

    4.危險解析繞過攻擊

    5..htaccess 文件

    6.解析調用/漏洞繞過

    7.白名單檢測

    8.解析調用/漏洞繞過

    9.服務端檢測繞過-文件內容檢測

    10.Apache 解析漏洞

    11.IIS 解析漏洞

    12.Nginx 解析漏洞

    07 文件包含漏洞

    去學習下
    include() include_once() require() require_once() fopen() readfile()
    這些php函數是如何產生文件包含漏洞, 本地包含與遠程包含的區別,以及利用文件包含時的一些技巧如:截斷 /偽url/超長字元截斷等 。

    08 命令執行漏洞

    PHP代碼中常見的代碼執行函數有:
    eval(), assert(), preg_replace(), call_user_func(), call_user_func_array(),create_function(), array_map()等。
    了解這些函數的作用然後些搞清楚如何造成的代碼執行漏洞。

    09 CSRF 跨站點請求

    為什麼會造成CSRF,GET型與POST型CSRF 的區別, 如何防禦使用 Token防止CSRF?

    010 邏輯漏洞

    了解以下幾類邏輯漏洞原理、危害及學會利用這幾類漏洞:

    信息轟炸、支付邏輯漏洞、任意密碼修改、越權訪問、條件競爭、任意注冊、任意登錄、順序執行缺陷、URL跳轉漏洞.

    011 XEE(XML外部實體注入)

    當允許XML引入外部實體時,通過構造惡意內容,可以導致文件讀取、命令執行、內網探測等危害。

    012 SSRF

    了解SSRF的原理,以及SSRF的危害。
    SSRF能做什麼?當我們在進行Web滲透的時候是無法訪問目標的內部網路的,那麼這個時候就用到了SSRF漏洞,利用外網存在SSRF的Web站點可以獲取如下信息。
    1.可以對外網、伺服器所在內網、本地進行埠掃描,獲取一些服務的banner信息;
    2.攻擊運行在內網或本地的應用程序(比如溢出);
    3.對內網Web應用進行指紋識別,通過訪問默認文件實現;
    4.攻擊內外網的Web應用,主要是使用get參數就可以實現的攻擊(比如struts2,sqli等);
    5.利用file協議讀取本地文件等。

    如果上述漏洞原理掌握的都差不多那麼你就算入門Web安全了。

    如果看了上面你還不知道具體如何學習?可參考合天網安實驗室Web安全工程師崗位培養路徑學習:網頁鏈接

B. 網路安全工程師需要學什麼

1、了解各種SQL注入類型:報錯注入、布爾盲注、時間盲注、DNSLog盲注、二次注入、寬位元組注入、還有偽靜態SQL注入
2、SQL XSS、XXE、SSRF命令執行等無回顯,如何測試證明漏洞存在?
3、PHP代碼審計常見危險函數測試思路防禦方法你了解多少?
成為一個Web安全工程師需要扎實的基礎,需要系統化的學習,更需要攻防模擬演練,從而培養獨立完成項目實戰的能力。不是懂一點皮毛就可以勝任的!
如果你能掌握安全漏洞高級利用方法與防禦方法,熟練使用滲透測試工具的高級使用技巧,漏洞手工利用技巧,掌握對外網滲透和內網滲透技術,並掌握PHP代碼審計,python安全腳本開發等技能,那麼你才算是在Web安全行業小有所成了!
當然了,如果你入門網路安全,但是對技術又不太敏感,覺得自己很愚鈍找不到好工作,其實也不用怕,之前提到網路安全裡麵包含了售前工程師,這個崗位需要對網路知識理論足夠了解,也懂得相關的安全知識、安全標准,但是對技術要求不高,服務與各大企業薪酬也是很高的。
最後做總結,網路安全工程師需要學什麼?了解網路基礎和基本理論、操作系統、編程語言,然後入門Web安全,掌握了一定的網路安全技術後,再考慮以後的大職業方向。

C. 我想問下學web安全這方面容易找工作嗎,就是滲透這方面

這方面還是可以的
因為企業個人網站越來越多
市場上
也沒有特別管用的安全防護軟體
一般差不多的公司
都會有網路安全管理人員
純手打
望採納

D. 網路安全都有哪些就業方向

能夠勝任的崗位主要有:滲透測試工程師、大數據安全工程師、信息安全工程師、安全測試工程師、安全服務工程師、安全運維工程師、系統安全工程師、伺服器安全工程師、雲計算安全工程師、網路安全工程師、安全分析師、滲透講師等;
說了這么多,可能還是有挺多人不太明白,詞彙太過專業,那就來點接地氣的說法;
按照web滲透、內網滲透、自動化滲透、代碼審計、日誌分析、應急響應、安全加固等知識點學完後,上述大部分崗位勝任完全沒有問題,前提是實戰技術要過硬,工具要使用得溜溜的。
1.專業對口:滲透測試工程師
專業比較對口的工作是滲透測試工程師,主要是在企業中承擔找漏洞的角色,找漏的對象主要是企業授權的站或者自己家系統的漏洞;也有定點突破的一些來自GA的網站等;
2.能力提升階段:安全服務崗位
如果能力處於提升階段的,從事安全服務崗位是較為合適的,該崗位需要懂Web漏洞的一些原理,能夠使用一些滲透工具做Web漏洞掃描或內網掃描 ,針對掃描結果生成滲透測試報告,並能夠提出一些整改的建議即可;難度相對要低一些,更多的時候都是採用工具去完成滲透,主要原因也是因為任務較重,一天需要滲透測試的網站較多,需要短時間測試完畢;
3.能力較強:進入企業/實驗室跟進產品線
有一些能力強一點的也會選擇進入企業或者實驗室,跟產品線的,很多時候需要做安全分析,如態勢感知的產品,需要懂Web滲透的原理、利用和編寫POC或EXP,然後利用wireshark抓包分析,提取漏洞攻擊和利用的一些規律,提取對應的規則等;
4.能力強、口才好:滲透講師崗位
當然如果你的能力和口才不錯,也可以選擇滲透講師崗位,不過該崗位對工作經驗有一定的要求。

E. 自學web滲透測試學成什麼樣能找工作正常需要多久

學成能獨立完成web層面滲透,修復,能在web架構層面提供安全解決方案的樣子就可以找工作了,一般的話,全日制脫產學習網路安全課程需要4個月左右,滲透測試階段的內容學習大概20天,當然,這些僅供參考。

學成WEB前端開發的必要因素,一樣都不可以少:

1.自主學習的能力,自己不動,誰都幫不了你。

2.有經驗的技術好的人在前期帶你少走彎路。

3.明確的學習規劃路線,學最新最有用的東西。

4.堅定的目標感,沒有持之以恆的態度,什麼都學不了,學習都是枯燥的。

關於WEB前端的教程以及學習內容

基礎:HTML+CSS網站頁面搭建,CS核心和PC端頁面開發,HTML5移動端頁面開發

核心:web前端核心技術Java,ecmasript,dom,ajax,json,正則,作用域,運動框架,核心演算法,高級函數,插件封裝,jQuery等。

高級:html5+高級Java開發,大數據可視化,webapp交互介面,lbs定位,微信sdk,es6標准,高級演算法,數據結構,插件封裝。

框架:vue、react、angular企業開發應用。

企業要求:bootstrap,swiper,iscroll,sass,ps切圖,網站上線等。

以上知識點內容都真正的掌握了,當然可以找到一份很不錯的WEB前端開發的工作。但是能持之以恆學下去的人並不多,彎路走的太多了,人的狀態自然就下降了。所以學習WEB前端開發最好的還是少走彎路,這樣的效率才會高。