web安全 Web安全学习规划

随着互联网进入下半年，竞争越来越激烈，能和人工智能竞争的热门职业并不多。互联网越发达，各大企业面临的网络安全问题越严峻，Web安全工程师的人才缺口仍在扩大。经济学理论揭示了当需求大于供给时，供应商必然会涨价的市场结论，这也为Web安全工程师的高薪奠定了市场基础。

安全技术是完全可以量化的技能。随着Web安全技能的不断提高，可预测的月薪水平也会上升。

网络安全工程师的整体月薪分配

图1:网络安全工程师的总体平均月薪分布

网络安全工程师的基本技能

一个合格的Web安全工程师需要具备大量的知识点，比如熟悉网站架构、通信协议、测试流程和测试工具的使用、漏洞利用的脚本编写、经验的积累等。每一种能力都需要仔细的推敲和深入的研究，才能提升到更高的层次。在这个过程中，需要前辈的指导和个人的努力和坚持，缺一不可。

网络安全工程师的整体月薪分配

1.基本网络协议/网站架构

互联网的本质是一系列网络协议。C/S架构和B/S架构都是基于网络通信的。渗透者需要知道通信流程和数据包方向，才能使用相应的手段和工具进行渗透。网站的通用协议和请求方法是渗透所必需的。甚至渗透测试也可以通过使用协议来完成。所有的知识都是紧密联系的，都是必要的。

2.基本编程能力

一个Web渗透测试人员必须具备一定的基本编程能力，每天都要处理代码。如果他不会写代码，或者看不懂代码，他会很痛苦。比如你需要写一个适合当前形势脆弱性的工具。写不出来会大大降低效率。然后就是后续的高级代码审计问题。如果不会写代码，看不懂代码，就不知道如何从源代码中审计漏洞，找出原因。对于只会使用工具的渗透测试人员和会写代码的渗透测试人员来说，在某些情况下，优势可以马上体现出来。

3.渗透测试工具

网上有很多开源的渗透测试工具。渗透测试人员使用渗透测试工具至关重要。学会使用一些优秀的工具，学会自己写工具。比如在做渗透测试的时候，比如大量的数据FUZZ，手工操作会大大浪费时间和效率。如果在线工具不满足此漏洞场景，您需要手动编写自己的工具来调试它们。当然，互联网上有很多优秀的工具，优先使用它们会大大提高我们的效率。

4.了解网站的构成

试着去了解一个网站的构成架构，语言，中间件容器等等。如果不知道一个网站是怎么搭建的，做渗透的时候没有相应的渗透测试方案。比如一个网站使用某种中间件，或者某种数据库，或者使用互联网上的开源CMS。如果不懂这些东西，只能在网页上乱逛，甚至无从下手。了解一个网站的建设和构成，对你的前期步骤和信息收集有很大的帮助，让你事半功倍。

5.脆弱性原则

渗透测试人员必须深入研究漏洞原理，这样会发现更多有趣的东西。所有有趣的事情都是你可能会在原有的基础漏洞中配合其他漏洞，从而达到漏洞的组合，这样效果可能会更好。如果不能打通对漏洞原理和漏洞产生的认识，如果不从代码层入手，就不知道漏洞产生的原因。后期会很难渗透使用和修复程序。这时候可能需要检查数据，以某种形式降低了速度和效率。所以，知识和积累。

6.报告写作能力

每次渗透测试后都需要一份渗透测试报告，所以写报告的能力也是必不可少的。梳理自己的漏洞挖掘，对网络结构印象深刻，对后期与客户沟通，与开发者提出修复建议有很大帮助。这些小细节决定了你的服务质量和你的责任感，所以这些都是一个需要不断积累和改进的过程。

初级网络安全工程师的学习建议

对于想入门Web安全的同学，在学习过程中千万不要放弃，尤其是前期。同时，我们应该在研究过程中记录有插图的笔记。作为知识的积累，最重要的是实践，实践，实践！在实践中发现和解决问题，安全不是一蹴而就的。

如果您对网络安全感兴趣，可以向您推荐以下书籍资源:

白帽子讲Web安全，白帽子讲浏览器安全，Sql注入攻击与防御，XSS跨站脚本攻击剖析与防御，一本书读TCP/IP《Metasploit渗透测试指南》