超有料丨小白如何成功逆襲為年薪30萬的Web安全工程師
今天的文章是一篇超實用的學習指南,尤其是對於即將畢業的學生,新入職場的菜鳥,對Web安全感興趣的小白,真的非常nice,希望大家能夠好好閱讀,真的可以讓你少走很多彎路,至少年薪30萬so easy!
Web安全工程師的學習路線如下:
1、Web安全相關概念
建議學習時間:2周
學習內容如下:
1、熟悉基本概念(SQL注入、上傳、XSS、CSRF、一句話木馬等)。
2、通過關鍵字(SQL注入、上傳、XSS、CSRF、一句話木馬等)進行Google。
3、閱讀《Web安全深度剖析》,作為入門學習還是可以的。
4、看一些滲透筆記/視訊,瞭解滲透實戰的整個過程,可以Google(滲透筆記、滲透過程、入侵過程等)。
學習地址:i春秋官網(免費視訊課程)
課程地址(PC端體驗更佳):
https://www.ichunqiu.com/coursepack/detail?id=138
2、熟悉滲透相關工具
建議學習時間:3周
學習內容如下:
1、熟悉AWVS、Sqlmap、Burpsuite、Nessus、China chopper 、Nmap、Appscan等相關工具的使用。
2、瞭解該類工具的用途和使用場景。
3、下載無後門版的這些軟體進行安裝。
4、學習並進行使用,具體教材可以在網上搜索,例如:Burpsuite的教程、Sqlmap。
5、常用的這幾個軟體都學會後,可以安裝音速啟動做一個滲透工具箱。
學習地址:i春秋官網(小投資大回報)
課程地址(PC端體驗更佳):
https://www.ichunqiu.com/coursepack/detail?id=138
3、滲透實戰操作
建議學習時間:5周
學習內容如下:
1、掌握滲透的整個階段並能夠獨立滲透小型站點。
2、網上找滲透視訊看並思考其中的思路和原理,關鍵字(滲透、SQL注入視訊、檔案上傳入侵、資料庫備份、Dedecms漏洞利用等等)。
3、自己找站點/搭建測試環境進行測試,記住請隱藏好你自己。
4、思考滲透主要分為幾個階段,每個階段需要做哪些工作,例如這個:PTES滲透測試執行標準。
5、研究SQL注入的種類、注入原理、手動注入技巧。
6、研究檔案上傳的原理,如何進行截斷、解析漏洞利用等,參照:上傳攻擊框架。
7、研究XSS形成的原理和種類,具體學習方法可以Google。
8、研究Windows/Linux提權的方法和具體使用,可以參考:提權。
9、可以參考: 開源滲透測試脆弱系統。
學習地址:i春秋官網(免費視訊課程)
課程地址(PC端體驗更佳):
https://www.ichunqiu.com/courses
4、關注安全圈動態
建議學習時間:1周
學習內容如下:
1、關注安全圈的最新漏洞、安全事件與技術文章。
2、瀏覽每日的安全技術文章/事件。
3、通過微博、微信關注安全圈的從業人員(遇到大牛的關注或者好友果斷關注),天天抽時間刷一下。
4、通過feedly/鮮果訂閱國內外安全技術部落格(不要僅限於國內,平時多注意積累)。
5、養成習慣,每天主動提交安全技術文章連結到i春秋社群進行積澱。
6、多關注下最新漏洞列表,可以看看hackerone、freebuf、安全客等,遇到公開的漏洞都去實踐下。
7、關注國內國際上的安全會議的議題或者錄影。
8、加入技術交流群,與群內大佬們討教一些經驗和技巧。
5、熟悉Windows/Kali Linux
建議學習時間:3周
學習內容如下:
1、學習Windows/Kali Linux基本命令、常用工具。
2、熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill等。
3、熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等。
4、熟悉Kali Linux系統下的常用工具,可以參考《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等。
5、熟悉metasploit工具,可以參考《Metasploit滲透測試指南》。
學習地址:i春秋官網(免費視訊課程)
課程地址(PC端體驗更佳):
https://www.ichunqiu.com/coursepack/detail?id=138
6、中介軟體和伺服器的安全配置
建議學習時間:3周
學習內容如下:
1、學習伺服器環境配置,並能通過思考發現配置存在的安全問題。
2、Windows server2012環境下的IIS配置,特別注意配置安全和執行許可權。
3、Linux環境下的LAMP的安全配置,主要考慮執行許可權、跨目錄、資料夾許可權等。
4、遠端系統加固,限制使用者名稱和口令登陸,通過iptables限制埠;配置軟體Waf加強系統安全,在伺服器配置mod_security等系統。
5、通過Nessus軟體對配置環境進行安全檢測,發現未知安全威脅。
7、指令碼程式設計學習
建議學習時間:4周
學習內容如下:
1、選擇指令碼語言:Perl/Python/PHP/Go/Java中的一種,對常用庫進行程式設計學習。
2、搭建開發環境和選擇IDE,PHP環境推薦Wamp和XAMPP,IDE強烈推薦Sublime。
3、Python程式設計學習,學習內容包含:語法、正則、檔案、網路、多執行緒等常用庫,推薦《Python核心程式設計》。
4、用Python編寫漏洞的exp,然後寫一個簡單的網路爬蟲。
5、PHP基本語法學習並書寫一個簡單的部落格系統,參見《PHP與MySQL程式設計(第4版)》、視訊。
6、熟悉MVC架構,並試著學習一個PHP框架或者Python框架(可選)。
7、瞭解Bootstrap的佈局或者CSS。
學習地址:i春秋官網(系統視訊課程)
課程地址(PC端體驗更佳):
https://www.ichunqiu.com/newRelease/webaqgcs
8、原始碼審計與漏洞分析
建議學習時間:3周
學習內容如下:
1、能獨立分析指令碼原始碼程式並發現安全問題。
2、熟悉原始碼審計的動態和靜態方法,並知道如何去分析程式。
3、瞭解Web漏洞的形成原因,然後通過關鍵字進行查詢分析。
4、研究Web漏洞形成原理和如何從原始碼層面避免該類漏洞,並整理成checklist。
學習地址:i春秋官網(系統視訊課程)
課程地址(PC端體驗更佳):
https://www.ichunqiu.com/newRelease/webaqgcs
9、安全體系設計與開發
建議學習時間:5周
學習內容如下:
1、能建立自己的安全體系,並能提出一些安全建議或者系統架構。
2、開發一些實用的安全小工具並開源,體現個人實力。
3、建立自己的安全體系,對公司安全有自己的一些認識和見解。
4、提出或者加入大型安全系統的架構或者開發。
學習地址:i春秋官網(系統視訊課程)
課程地址(PC端體驗更佳):
https://www.ichunqiu.com/newRelease/webaqgcs
以上九大塊內容包含了Web安全的整體學習內容及思路,相信會給很多新手小白或者職場菜鳥一個清晰的系統框架,希望對大家有所幫助,如果對於基礎不好,自學能力較弱的人來說也可以報名線下培訓班,100%就業,90%以上名企錄用,這對很多人來說也算是一條“捷徑”。
當然,還有很多牛人選擇自學成才,我們整理一批關於學習心得、實用工具的相關內容,助你快速提升安全技能!
小夥伴們還有什麼想要了解的內容,歡迎留言給我們,我們儘量滿足大家的需求,希望i春秋公眾號可以陪你一起走過最黑的夜,看見最亮的光!