現(xiàn)在web安全行業(yè)的培訓(xùn)比較多，而培訓(xùn)出來的人已經(jīng)初步具備了挖掘漏洞的能力，這比野路子學(xué)習(xí)web安全的人已經(jīng)具有了優(yōu)勢。但是野路子學(xué)習(xí)web安全的人，因?yàn)槭亲詫W(xué)成才，所以自學(xué)能力比大部分培訓(xùn)的人強(qiáng)，知識面也更廣?？偟膩碚f，web安全這個行業(yè)還是需要很多人才的，但現(xiàn)在更需要具備二進(jìn)制安全研究能力的web安全人員。

歡迎關(guān)注我，一個程序員老司機(jī)，和你分享編程、運(yùn)營、需求等等經(jīng)驗(yàn)和趣事。

恰好我就是一個WEB程序員，現(xiàn)在分享一些這個行業(yè)的信息給你，希望能夠幫助到你抉擇。

很少有公司請專門的安全工程師

在WEB這個行業(yè)很特殊，目前至少大部分中小互聯(lián)網(wǎng)公司都不會考慮提供一個專門的關(guān)于安全的崗位，為什么會出現(xiàn)這種現(xiàn)象，因?yàn)榘踩@塊需要的知識面非常多，大部分服務(wù)器都是LINUX的，所以需要了解Linux系統(tǒng)方面的知識、網(wǎng)絡(luò)基礎(chǔ)方面、TCP協(xié)議底層方面、各種工具原理方面等等，就拿一個非常著名的DDOS攻擊，估計都讓很多人都疼。

將安全委托給第三方

我們購買ucloud云、ucloud云的服務(wù)器時，會發(fā)現(xiàn)這些服務(wù)器都會提供各種各樣的安全保障，這也得到了很多企業(yè)的認(rèn)可，畢竟大公司嘛，做安全肯定不是一個人，肯定是很多很多人在做，這或許是很多互聯(lián)網(wǎng)公司不設(shè)這個崗位的最大原因。

一些后端程序員身兼安全員

除了上面的兩個原因，還有一個原因就是，很多后端程序員在安全方面還是有很多解決辦法的，所以他們除了充當(dāng)程序員，也充當(dāng)安全員。

任何一個事情都有兩面性，互聯(lián)網(wǎng)最初誕生的時候是安全的，但是伴隨著黑客的出現(xiàn)，互聯(lián)網(wǎng)變得越來越不安全。同樣的兩面性，黑客也有好有壞，好的黑客叫白帽子，壞的黑客叫黑帽子，也有介于二者中間的灰帽黑客。隨著Web技術(shù)發(fā)展越來越成熟，而非Web服務(wù)（如Windows操作系統(tǒng)）越來越少的暴露在互聯(lián)網(wǎng)上，現(xiàn)在互聯(lián)網(wǎng)安全主要指的是Web安全。

既然要講Web安全，首先介紹什么是安全，安全的本質(zhì)是什么？引用《白帽子講安全》里對安全的定義：安全問題的本質(zhì)就是信任問題。舉例來說，自行車的車鎖，我們認(rèn)為是安全的，因?yàn)槲覀冋J(rèn)為自行車鎖的制造商是不會背著我們留有鑰匙，如果這個信任都沒有的話，那么這個自行車就是不安全的。

廢話說完了咱開始正題。

一、零基礎(chǔ)，從哪點(diǎn)學(xué)起？

本人至今都不推薦純零基礎(chǔ)的小白開始直接看Web方向的書和資料，其難度仿佛你讓一個三歲小孩去自己申請斯坦福大學(xué)商學(xué)院一樣。

首先你要提前學(xué)習(xí)好Web安全需要用到的語言，先學(xué)會走在學(xué)會跑，這里就不多說了。

成功掌握語言后咱開始正式學(xué)習(xí)Web安全，咱用思維導(dǎo)圖的方式展現(xiàn)各級別需要學(xué)習(xí)的內(nèi)容（分的很細(xì)很全面），咱們以拿到中國信息安全認(rèn)證中心（ISCCC）的WEB證書為目標(biāo)，內(nèi)容分為“初級+中級”“高級”兩個部分（建議下載原圖后放大查看），希望對你有所幫助。

內(nèi)容看起來很多很龐大，其實(shí)是什么事細(xì)分后都是這樣，仿佛你點(diǎn)個贊的動作需要手指、神經(jīng)、大腦、肌肉等等組織內(nèi)細(xì)胞一起工作后的結(jié)果（瘋狂明示）。

二、就業(yè)前景怎么樣

首先思考這個問題的前提是已經(jīng)學(xué)會“初級+中級”所有內(nèi)容，然后我們看看國內(nèi)某知名招聘網(wǎng)站上對公司規(guī)?！?0000人以上”對“WEB安全”崗位薪資默認(rèn)排序（大部分招聘均初中級，高級幾乎都是面議、跳槽、挖人）?？梢哉f你就能拿到國家頒發(fā)的資質(zhì)證書后，國內(nèi)知名互聯(lián)網(wǎng)公司隨你選，世界互聯(lián)網(wǎng)百強(qiáng)也也可嘗試。

目前賽虎學(xué)院所了解的朋友or學(xué)生，零基礎(chǔ)純小白學(xué)完初級后薪資在6-9K，中級薪資是10-15K，中級三年以上的朋友們是20-40K之間。高級的話咱都是抱大腿！他們的薪資在平臺網(wǎng)站上都是“面議”。

在和某大佬朋友們聚會酒后討論起壓力問題時聽大佬說過“我年薪百萬的壓力不比他們年薪十萬的小”。

三、學(xué)習(xí)的方法

第一種：完全自學(xué)型

能采用自學(xué)方法成材的人都是“狼人”，除了每天耗費(fèi)大量的時間精力來看書、查資料、做實(shí)驗(yàn)、問大佬以外，還需要自己摸索著前進(jìn)，最重要的是接近{{BANNED}}的自律能力和自我驅(qū)動能力！

因?yàn)榉怯嬎銠C(jī)專業(yè)的人，最后靠自學(xué)成為專業(yè)程序員的，往往是因?yàn)榇_實(shí)對這事兒感興趣有熱情。而且他們中不少人視野更寬、興趣更廣泛，因此更有可能取得較高成就。例如全球幾乎都認(rèn)識的四位大佬，他們都是自學(xué)成才。

• Apple——Steve Jobs
• Facebook——Mark Elliot Zuckerberg
• Twitter——Jack Dorsey
• Microsoft——Bill Gates

相信很多人都嘗試過自學(xué)方法，效率低下和無法堅持下來是兩大放棄的主要原因，其難度遠(yuǎn)遠(yuǎn)超出考研的難度。想想也是，如果隨隨便便自學(xué)成功的話，那網(wǎng)上的培訓(xùn)機(jī)構(gòu)還有什么存在的意義。

第二種：花錢報班型

這種方法可以說是“走捷徑”，因?yàn)槭谡n的老師幾乎不會講考試以外的知識點(diǎn)，完全為了應(yīng)對考試而上課的課程缺少靈魂?？梢哉f帶進(jìn)門可以，發(fā)展什么樣要看你以后的自學(xué)能力了，目前市場上很少有保證就業(yè)的課程班，有保證就業(yè)的班級也是為你推薦到某公司企業(yè)，試用期就看你的表現(xiàn)了（都是這樣的，不過大多數(shù)都留下來簽正式了）。

說道這里咱就要推薦一下咱家的課程了，雖說叫“Web安全工程師·訓(xùn)練營”但是咱是就業(yè)班，目前是第二次開課，第一批課程的學(xué)員們100%入職各大企業(yè)（啟明星辰、360、瑞星等）！

而且咱賽虎學(xué)院的課程很直接，明確告訴你在賽虎學(xué)院你能學(xué)到什么，不是讓你學(xué)完就自生自滅了！咱的目的是讓學(xué)生們拿到中認(rèn)的證書和國測的證書！不信各位看看下圖~

有想要學(xué)習(xí)Web安全的同學(xué)們最怕的就是沒保障、沒學(xué)到實(shí)用知識、沒官方認(rèn)證的證書和資質(zhì)，這些事在賽虎學(xué)院全部能得到解決！

比較狹窄的一個方向啊

Web安全的范圍實(shí)在太大，哪些先學(xué)，哪些后學(xué),如果沒有系統(tǒng)的路線會降低大家效率，對于剛?cè)腴T的同學(xué)們來說簡直就是“噩夢”。所以，這篇類似學(xué)習(xí)路線的文章，希望可以幫助剛?cè)腴T的萌新們少走彎路。（文末附學(xué)習(xí)資料及工具領(lǐng)取）

首先我們來看看企業(yè)對Web安全工程師的崗位招聘需求是什么？

1職位描述

• 對公司各類系統(tǒng)進(jìn)行安全加固；
• 對公司網(wǎng)站、業(yè)務(wù)系統(tǒng)進(jìn)行安全評估測試（黑盒、白盒測試）
• 對公司安全事件進(jìn)行響應(yīng)、清理后門、根據(jù)日志分析攻擊途徑
• 安全技術(shù)研究，包括安全防范技術(shù)、黑客技術(shù)等；
• 跟蹤最新漏洞信息，進(jìn)行業(yè)務(wù)產(chǎn)品的安全檢查。

2崗位要求

• 熟悉Web滲透測試方法和攻防技術(shù)，包括SQL注入、XSS跨站、CSRF偽造請求、命令執(zhí)行等OWSP TOP10 安全漏洞與防御；
• 熟悉Linux、Windows不同平臺的滲透測試，對網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全有深入理解和自己的認(rèn)識；
• 熟悉國內(nèi)外安全工具，包括Kali、Linux、Metasploit、Nessus、Namp、AWVS、Burp等；
• 對Web安全整體有深刻理解，有一定漏洞分析和挖掘能力；

根據(jù)崗位技能需求，再來制定我們的學(xué)習(xí)路徑，如下：

一、Web安全學(xué)習(xí)路徑

01 HTTP基礎(chǔ)

只有搞明白Web是什么，我們才能對Web安全進(jìn)行深入研究，所以你必須了解HTTP，了解了HTTP，你就會明白安全術(shù)語的“輸入輸出”。黑客通過輸入提交“特殊數(shù)據(jù)”，特殊數(shù)據(jù)在數(shù)據(jù)流的每個層處理，如果某個層沒處理好，在輸出的時候，就會出現(xiàn)相應(yīng)層的安全問題。關(guān)于HTTP，你必須要弄明白以下知識：

HTTP/HTTPS特點(diǎn)、工作流程

HTTP協(xié)議（請求篇、響應(yīng)篇）

了解HTML、Javascript

Get/Post區(qū)別

Cookie/Session是什么？

02 了解如下專業(yè)術(shù)語的意思

Webshell
菜刀
0day
SQL注入
上傳漏洞
XSS
CSRF
一句話木馬

......

03 專業(yè)黑客工具使用

熟悉如何滲透測試安全工具，掌握這些工具能大大提高你在工作的中的效率。

Vmware安裝

Windows/kali虛擬機(jī)安裝

Phpstudy、LAMP環(huán)境搭建漏洞靶場

Java、Python環(huán)境安裝

子域名工具 Sublist3r

Sqlmap
Burpsuite
Nmap
W3af
Nessus
Appscan
AWVS

04 XSS

要研究 XSS 首先了解同源策略 ，Javascript 也要好好學(xué)習(xí)一下 ，以及HTML實(shí)體 HTML實(shí)體的10 或16進(jìn)制還有Javascript 的8進(jìn)制和16進(jìn)制編碼，最終掌握以下幾種類型的XSS：

反射型 XSS：可用于釣魚、引流、配合其他漏洞，如 CSRF 等。

存儲型 XSS：攻擊范圍廣，流量傳播大，可配合其他漏洞。

DOM 型 XSS：配合，長度大小不受限制 。

05 SQL注入

所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。你需要了解以下知識：

SQL 注入漏洞原理
SQL 注入漏洞對于數(shù)據(jù)安全的影響
SQL 注入漏洞的方法
常見數(shù)據(jù)庫的 SQL 查詢語法
MSSQL,MYSQL,ORACLE 數(shù)據(jù)庫的注入方法
SQL 注入漏洞的類型：數(shù)字型注入 、字符型注入、搜索注入 、盲注(sleep注入) 、Sqlmap使用、寬字節(jié)注入

SQL 注入漏洞修復(fù)和防范方法
一些 SQL 注入漏洞檢測工具的使用方法

06 文件上傳漏洞

了解下開源編輯器上傳都有哪些漏洞，如何繞過系統(tǒng)檢測上傳一句話木馬、WAF如何查殺Webshell，你必須要掌握的一些技能點(diǎn)：

1.客戶端檢測繞過（JS 檢測）

2.服務(wù)器檢測繞過（目錄路徑檢測）

3.黑名單檢測

4.危險解析繞過攻擊

5..htaccess 文件

6.解析調(diào)用/漏洞繞過

7.白名單檢測

8.解析調(diào)用/漏洞繞過

9.服務(wù)端檢測繞過-文件內(nèi)容檢測

10.Apache 解析漏洞

11.IIS 解析漏洞

12.Nginx 解析漏洞

07 文件包含漏洞

去學(xué)習(xí)下 include() include_once() require() require_once() fopen() readfile() 這些php函數(shù)是如何產(chǎn)生文件包含漏洞, 本地包含與遠(yuǎn)程包含的區(qū)別，以及利用文件包含時的一些技巧如：截斷 /偽url/超長字符截斷等 。

08 命令執(zhí)行漏洞

PHP代碼中常見的代碼執(zhí)行函數(shù)有：
eval(), assert(), preg_replace(), call_user_func(), call_user_func_array(),create_function(), array_map()等。
了解這些函數(shù)的作用然后些搞清楚如何造成的代碼執(zhí)行漏洞。

09 CSRF 跨站點(diǎn)請求

為什么會造成CSRF，GET型與POST型CSRF 的區(qū)別, 如何防御使用 Token防止CSRF？

010 邏輯漏洞

了解以下幾類邏輯漏洞原理、危害及學(xué)會利用這幾類漏洞：

信息轟炸、支付邏輯漏洞、任意密碼修改、越權(quán)訪問、條件競爭、任意注冊、任意登錄、順序執(zhí)行缺陷、URL跳轉(zhuǎn)漏洞.

011 XEE（XML外部實(shí)體注入）

當(dāng)允許XML引入外部實(shí)體時，通過構(gòu)造惡意內(nèi)容，可以導(dǎo)致文件讀取、命令執(zhí)行、內(nèi)網(wǎng)探測等危害。

012 SSRF

了解SSRF的原理,以及SSRF的危害。
SSRF能做什么？當(dāng)我們在進(jìn)行Web滲透的時候是無法訪問目標(biāo)的內(nèi)部網(wǎng)絡(luò)的，那么這個時候就用到了SSRF漏洞，利用外網(wǎng)存在SSRF的Web站點(diǎn)可以獲取如下信息。
1.可以對外網(wǎng)、服務(wù)器所在內(nèi)網(wǎng)、本地進(jìn)行端口掃描，獲取一些服務(wù)的banner信息;
2.攻擊運(yùn)行在內(nèi)網(wǎng)或本地的應(yīng)用程序（比如溢出）;
3.對內(nèi)網(wǎng)Web應(yīng)用進(jìn)行指紋識別，通過訪問默認(rèn)文件實(shí)現(xiàn);
4.攻擊內(nèi)外網(wǎng)的Web應(yīng)用，主要是使用get參數(shù)就可以實(shí)現(xiàn)的攻擊（比如struts2，sqli等）;
5.利用file協(xié)議讀取本地文件等。

如果上述漏洞原理掌握的都差不多那么你就算入門Web安全了。

如果看了上面你還不知道具體如何學(xué)習(xí)？可參考合天網(wǎng)安實(shí)驗(yàn)室Web安全工程師崗位培養(yǎng)路徑學(xué)習(xí)：https://www.hetianlab.com/pages/newPostSystem.jsp#&pk_campaign=maibo-wemedia

IT男日常分享實(shí)用技術(shù)，了解技術(shù)原理，喜歡的請關(guān)注一下

作為網(wǎng)絡(luò)安全從業(yè)人員，從本人這兩年所見來看，這一行業(yè)還是十分有前景的，因?yàn)檫@一行業(yè)需要的知識面是很多人無法達(dá)到的，需要你自己去努力學(xué)習(xí)。

其實(shí)大學(xué)時期真的很重要，現(xiàn)在你如果能意識到，就請專心的去學(xué)習(xí)，去積累，如果你能專心的堅持下去，我敢說你出了學(xué)校，可以挑自己喜歡的工作環(huán)境和公司，前提是你一定的堅持的積累學(xué)習(xí)，另外要至少要掌握好一門程序語言，目前來看較多的是python、Java，另外shell也最好學(xué)習(xí)一下，還有就是各個系統(tǒng)的日志要能夠分析。能力有限暫時能夠想到的就這些，當(dāng)初我沒有堅持下去，沒有在這條路上走在前面，現(xiàn)在工作的其實(shí)有點(diǎn)無力、、、希望你能堅持下去，如果需要相關(guān)學(xué)習(xí)資料的可以私信我，我這邊相關(guān)的資料可以送給你，加油！堅定自己的目標(biāo)！

習(xí)大大出席會議并發(fā)表重要講話：

信息化為中華民族帶來了千載難逢的機(jī)遇。我們必須敏銳抓住信息化發(fā)展的歷史機(jī)遇，加強(qiáng)網(wǎng)上正面宣傳，維護(hù)網(wǎng)絡(luò)安全，推動信息領(lǐng)域核心技術(shù)突破，發(fā)揮信息化對經(jīng)濟(jì)社會發(fā)展的引領(lǐng)作用，加強(qiáng)網(wǎng)信領(lǐng)域軍民融合，主動參與網(wǎng)絡(luò)空間國際治理進(jìn)程，自主創(chuàng)新推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè)，為決勝全面建成小康社會、奪取新時代中國特色社會主義偉大勝利、實(shí)現(xiàn)中華民族偉大復(fù)興的中國夢作出新的貢獻(xiàn)。