Web安全工程师,web安全工程师是干什么的
根据网上收集的网页安全工程师的技能、岗位要求和如何入门,以及学习网易推出的网页安全工程师微专业课程,为自己做了一些深造的小规划,希望能给同样想成为网页安全工程师的同事一些参考。
第一部分-基础学习1 #网络安全工程师职位描述及要求:
2#需要掌握的基本层次图:
!3354首先,在我们开始之前,我们肯定需要了解什么是web,一个网站是如何搭建的?——!
3#基础学习——静态层
按照上面的分层学习,第一步是学习静态层,包括HTML和javascript。
关于初学者的掌握程度:
HTML可以在w3school(http://www.w3school.com.cn/html/index.asp)学习
一般需要2-3天才能学会入门。只要知道每个标签的意思,写一个简单的静态网站就可以了。如果以后还需要别的,查查手册。
Javascript学习也可以在w3school上开始,只需要学习dom部分,然后参考《javascript dom编程艺术》这本书进行学习。
还是要深入学习javascript,有利于后期研究xss漏洞。(为期5天的介绍)
还需要了解http协议。您应该知道状态代码的含义以及http头中的信息。
HTTP协议http://www.yiibai.com/http/# #学会它,骚年。(1-2天)
4#基础学习——脚本层(动态层)
关于编程,大部分人认为学习php比较推荐。其他编程语言推荐java等。这个我们以后再学。
先学简单的php(毕竟开源,嘻嘻),还有python这种安全工程师必备的脚本语言。
买了两本关于php和python的书(后面会把读书笔记贴到博客上,嘻嘻):
!3354我在学习python之前听了一个直播,仅供参考3354!
【python学习链接:电子版——【学习Python的笨办法】http://www.kancloud.cn/kancloud/learn-python-hard-way/49863
Crossin的编程课堂——Python http://res.crossincode.com/wechat/python.html
Python 2.7教程-廖雪峰官网3358 www . liaoxuefeng . com/wiki/001374738125095 c 955 C1 e 6d 8 bb 493182103 fac 9270762 a 000
Python教程http://www.yiibai.com/python3/-,如果你想学习Python3,请看看这个。先学了Python 2,后来又学了python3。】
如果改天听php直播有推荐分享给大家,嘻嘻。-关于python和php,重要的是不断学习,坚持下去,坚持下去。
5#基础学习——数据库层
关于数据库的学习,可以先掌握一些sql语句,再派点时间去学一个。我选择mysql来学习。
SQL教程_ W3C学校http://www.w3cschool.cn/sql/
教程MySQL _ W3C学校http://www.w3cschool.cn/mysql/
1分钟Mysql入门教程-wid-博客公园http://www.cnblogs.com/mr-wid/archive/2013/05/09/3068229.html(我个人觉得学完sql语句再看这个还是可以的)
6#基础学习——服务器层
第一,这个过程主要是开始学习如何搭建环境,了解各个服务器中间件的概念。
目前常见的web服务器:
大型:微软IIS,IBM WebSphere,BEA WebLogic,Apache,Tomcat
小:nginx,micro_httpd,mini_httpd,thttpd,lighttpd,Shttpd
中间件:
# # #你需要先了解一些东西,不需要深入了解。只要有些部分是常用的,就可以深入。
第二,渗透环境的构建
php的采集环境软件:phpstudy
jsp的采集环境软件:jspstudy
Asp的采集环境软件:Cyclone ASP服务器
# # #环境都在,现在就开始吧。
【初学者指南:教你如何构建自己的渗透测试environment-FreeBuf.COM 聚焦黑客和极客
http://www.freebuf.com/sectool/102661.html】
除了FreeBuf搭建的环境,最近看到一个不错的环境,可以推荐给大家:
Webug漏洞环境-http://www.webug.org/#page1官方
!-关于环境建设还是可以向Docker学习的。下面找出具体链接。- !
Docker教程菜鸟教程http://www.runoob.com/docker/docker-tutorial.html
#7基础学习3354系统层
现在来到了我们的魔法系统层,主要是linux系统和Windows系统,主要了解相关命令。
DOS技能100例_ W3C学校http://www.w3cschool.cn/dosmlxxsc1/cudkrf.html
Linux教程菜鸟教程http://www.runoob.com/linux/linux-tutorial.html
!-为了学习它,只需敲更多的订单,享受更多的乐趣。我决定建Ubuntu和windows2012玩玩,嘻嘻-!
差不多该学linux了。你可以玩卡莉。唷,耶!
玄卡莉链接:https://pan.baidu.com/s/1ccTB7S密码:bp4y(如果失败请联系我,我来补)
# # #第一部分是基础。你必须有一些基本技能为国家而战。让我们干起来,为国家学习基础。是啊。
第二部分web常见漏洞原理基础学的差不多了。我们先来学习一下web相关的漏洞原理。owasp top 10应该很好理解。现在已经出2017版了,没错。
【
【2017 OWASP Top 10十大安全漏洞候选发布。你怎么想呢?弗里布。COM 聚焦黑客和极客http://www.freebuf.com/news/131778.html】
【WEB安全】常见的WEB漏洞-莫声律的专栏-博客频道-http://Blog . csdn . net/莫声律/article/details/53439579,csdn。网
网络安全漏洞科学与概念理解——网络安全聚焦http://www.chncto.com/0day/16091.html
Web安全测试常见逻辑漏洞分析(实用篇)-FreeBuf。COM 聚焦黑客和极客http://www.freebuf.com/vuls/112339.html
「安全科普」WEB Security渗透测试流程-anka 9080-博客园http://www.cnblogs.com/anka9080/p/shentouliucheng.html
】
大概就是这样。先了解一下吧。还有的平时去论坛,逛大博客,看漏洞案例,学习漏洞的原理,以及如何发现漏洞。
推荐网站:
[脆弱的银行:http://www.bugbank.cn/skills.html
弗里布。COM 聚焦黑客和极客http://www.freebuf.com/
莫托因http://www.mottoin.com
春秋论坛白帽黑客论坛网络渗透技术网站安全移动安全通信安全https://bbs.ichunqiu.com/portal.php
安全脉冲https://www.secpulse.com/
91Ri.orghttp://www.91ri.org
漏洞研究-https://xianzhi.aliyun.com/forum/thread/4.html安全技术社区
叶安智-知乎专栏(知乎还有其他好的专栏可以找)]
web安全工具第三部分就是所谓的“欲善其事,必先利其器”。
工具太多了,就不多介绍了。只要找到自己得心应手的工具,熟练掌握python就可以自己编写工具了。
下面说一些对比神器的工具。
1.火狐浏览器、谷歌浏览器
2.nmap(端口扫描其他)
3.漏洞扫描
4.御剑(后台目录扫描)
5、sqlmap(注入神器)
6.伪造品
7、WebRobot(爬虫,看文件结构等。挺好的)
8、子域布线和层子域挖掘机
我自己找到了其他人。
附:
安全从业者自研开源扫描器合集(2017 . 1 . 11更新)-莫多安http://www.mottoin.com/94492.html
https://t0data.gitbooks.io/burpsuite/content/?实用指南q=
粗糙的鞋子白帽培训讲义-下载Channel-http://download.csdn.net/detail/wizardforcel/9728354, CSDN。网
书籍推荐:
网络图书recommendation-https://zhuanlan.zhihu.com/p/23065460,知乎专栏
就是这样。您可以稍后构建自己的。
WEB安全系统的建设会结合已建环境,还是去实战吧。
参考:
安全工程师-安全技能-sec wiki https://www.sec-wiki.com/skill/2
知乎专栏Security-https://zhuanlan.zhihu.com/p/26053309介绍
如何从基础开始学习Web安全?https://www.zhihu.com/question/21606800,知乎
网络安全介绍-书籍和建议-简书http://www.jianshu.com/p/6dcebd54fb24
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。