许多人所谓的成熟,不过是被习俗磨去了棱角,变得世故而实际了。那不是成熟,而是精神的早衰和个性的消亡!

web安全学习路线

IT资讯 凌汐 285℃ 0评论

web安全工程师

web安全工程师是信息安全领域的一个职位,它担任对公司网站、事务体系进行安全评价测验;对公司各类体系进行安全加固;对公司安全事情进行呼应,整理后门,依据日志剖析进犯途径;安全技能研讨,包含安全防备技能,黑客技能等;盯梢最新缝隙信息,进行事务产品的安全查看。

职位描绘

1. 对公司网站、事务体系进行安全评价测验(黑盒、白盒测验);

2. 对公司各类体系进行安全加固;

3. 对公司安全事情进行呼应,整理后门,依据日志剖析进犯途径;

4. 安全技能研讨,包含安全防备技能,黑客技能等;

5. 盯梢最新缝隙信息,进行事务产品的安全查看。

职位要求

1. 了解干流的Web安全技能,包含SQL注入、XSS、CSRF、一句话木马等安全危险;

2. 了解国内外干流安全产品和东西,如:Nessus、Nmap、AWVS、Burp、Appscan等;

3. 了解windows、linux平台浸透测验、后门剖析、加固;

4. 至少把握一门编程语言C/C++/Perl/Python/PHP/Go/Java等;

5. 了解浸透测验的进程、办法、流程,具有Web安全实战经验;

6. 了解常见安全攻防技能,对网络安全、体系安全、运用安全有深化的了解和自己的知道;

7. 对Web安全全体有深刻了解,具有代码审计和独立缝隙挖掘才能;

8. 具有较强的团队知道,高度的责任感,文档、计划才能优异者优先。

学习道路:

2周

Web安全相关概念

        了解根本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。

        经过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki;

        阅览《精通脚本黑客》,尽管很旧也有错误,但是入门仍是能够的;

        看一些浸透笔记/视频,了解浸透实战的整个进程,能够Google(浸透笔记、浸透进程、侵略进程等);

3周

了解浸透相关东西

了解AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关东西运用。

了解该类东西的用途和运用场景,先用软件姓名Google/SecWiki;

下载无后门版的这些软件进行装置;

学习并进行运用,详细教材能够在SecWiki上搜索,例如:Brup的教程、sqlmap;

待常用的这几个软件都学会了能够装置音速发动做一个浸透东西箱;

5周

浸透实战操作

把握浸透的整个阶段并能够独立浸透小型站点。

网上找浸透视频看并考虑其间的思路和原理,关键字(浸透、SQL注入视频、文件上传侵略、数据库备份、dedecms缝隙运用等等);

自己找站点/树立测验环境进行测验,记住请隐藏好你自己;

考虑浸透首要分为几个阶段,每个阶段需要做那些工作,例如这个:PTES浸透测验执行标准;

研讨SQL注入的品种、注入原理、手动注入技巧;

研讨文件上传的原理,怎么进行切断、两层后缀诈骗(IIS、PHP)、解析缝隙运用(IIS、Nignix、Apache)等,参照:上传进犯结构;

研讨XSS构成的原理和品种,详细学习办法能够Google/SecWiki,能够参阅:XSS;

研讨Windows/Linux提权的办法和详细运用,能够参阅:提权;

能够参阅: 开源浸透测验脆弱体系;

1周

重视安全圈动态

        重视安全圈的最新缝隙、安全事情与技能文章。

        经过SecWiki阅读每日的安全技能文章/事情;

        经过Weibo/twitter重视安全圈的从业人员(遇到大牛的重视或许老友决断重视),天天抽时间刷一下;

        经过feedly/鲜果订阅国内外安全技能博客(不要仅限于国内,平时多留意积累),没有订阅源的能够看一下SecWiki的聚合栏目;

        养成习气,每天自动提交安全技能文章链接到SecWiki进行沉淀;

        多重视下最新缝隙列表,引荐几个:exploit-db、CVE中文库等,遇到揭露的缝隙都去实践下。

        重视国内国际上的安全会议的议题或许录像,引荐SecWiki-Conference。

3周

了解Windows/Kali Linux

学习Windows/Kali Linux根本指令、常用东西;

了解Windows下的常用的cmd指令;

了解Linux下的常用指令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等;

了解Kali Linux体系下的常用东西;

了解metasploit东西,能够参阅SecWiki、《Metasploit浸透测验攻略》。

3周

服务器安全装备

    学习服务器环境装备,并能经过考虑发现装备存在的安全问题。

Windows2003/2008环境下的IIS装备,特别留意装备安全和运转权限,能够参阅:SecWiki-装备;

Linux环境下的LAMP的安全装备,首要考虑运转权限、跨目录、文件夹权限等,能够参阅:SecWiki-装备;

长途体系加固,约束用户名和口令登陆,经过iptables约束端口;

装备软件Waf加强体系安全,在服务器装备mod_security等体系,拜见SecWiki-ModSecurity;

经过Nessus软件对装备环境进行安全检测,发现未知安全威胁。

 

4周

脚本编程学习

挑选脚本语言Perl/Python/PHP/Go/Java中的一种,对常用库进行编程学习。

树立开发环境和挑选IDE,PHP环境引荐Wamp和XAMPP,IDE强烈引荐Sublime,一些Sublime的技巧:SecWiki-Sublime;

Python编程学习,学习内容包含:语法、正则、文件、网络、多线程等常用库,引荐《Python中心编程》,不要看完;

用Python编写缝隙的exp,然后写一个简略的网络爬虫,可拜见SecWiki-爬虫、视频;

PHP根本语法学习并书写一个简略的博客体系,拜见《PHP与MySQL程序设计(第4版)》、视频;

了解MVC架构,并试着学习一个PHP结构或许Python结构(可选);

了解Bootstrap的布局或许CSS,能够参阅:SecWiki-Bootstrap;

3周

源码审计与缝隙剖析

能独立剖析脚本源码程序并发现安全问题;

了解源码审计的动态和静态办法,并知道怎么去剖析程序,拜见SecWiki-审计;

从CVE上寻觅开源程序的缝隙进行剖析并试着自己剖析;

了解Web缝隙的构成原因,然后经过关键字进行查找剖析,拜见SecWiki-代码审计、高档PHP运用程序缝隙审阅技能;

研讨Web缝隙构成原理和怎么从源码层面防止该类缝隙,并整理成checklist。

5周

安全体系设计与开发

能树立自己的安全体系,并能提出一些安全主张或许体系架构。

开发一些有用的安全小东西并开源,表现个人实力;

树立自己的安全体系,对公司安全有自己的一些知道和见解;

提出或许参加大型安全体系的架构或许开发;

第三篇:如何做一名优秀的web安全工程师

本文出自:http://www.itzhihui.com/?p=333&preview=true

转载请注明:IT智慧 » web安全学习路线

喜欢 (3)or分享 (0)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(3)个小伙伴在吐槽
  1. 交换链接吗
    小艾博客2018-05-19 13:03 回复