1. 熟悉基本的编程语言
熟悉C、html、javascript、php、java等语言的语法,能看懂简单的程序。附上学习基本语法的网站,可以在网站上边学边动手http://www.w3school.com.cn/
2. 了解OWASP top10漏洞
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP top10漏洞是一些常见的危害比较大的漏洞,也是从事Web安全必备的基础知识。附上翻译好的链接http://www.360zhijia.com/360anquanke/190921.html
3. 搭建Web漏洞测试环境,动手练习
学习安全技术,光看是不行的,一定要多实践,实践出真知。今年国家网络安全法颁布之后,网络安全管理更加严格了,未授权直接对着别人公司的网站测,一是违法行为;二是刚入门,找不到漏洞,容易带来挫折感,事物都是由易到难,先要从容易的地方着手。那搭建本地的Web测试环境就很有必要了。
常用的Web漏洞测试环境有2个。
- php语言的DVWA
- Java语言Webgoat
刚入门使用到的工具BurpSuite,够了,测试Web应用的神器。关于BurpSuite的使用,见:http://www.freebuf.com/video/10468.html
1、DVWA的搭建,需要使用XMAPP软件。详细的搭建步奏:http://www.freebuf.com/sectool/102661.html
2、Webgoat搭建,需要安装Java环境。详细的搭建环境步奏:http://blog.csdn.net/baishileily/article/details/50444935
搭建好环境好,把所有的题目刷一遍,一定要自己动手刷题,不会的baidu和google。刷完题目后,你对Web安全就有一个大概的了解,知道大概怎么测了,怎么防护Owasp top10攻击了。
4. Web安全技术提升
在了解基本的漏洞后,如果你还抱有好奇心,想进一步了解Web安全技术,想全面了解Web安全,想扩大自己的视野(从没听过过的漏洞,你在测试的时候很难发现),这时候你就要需要阅读安全书籍和逛安全技术论坛了。
推荐的看经典的Web安全书籍(没必要看那么多,很多内容重复):
- 黑客攻防技术宝典 web实战篇 第2版
- Web应用漏洞侦测与防御
推荐去的安全技术论坛(国内):
更多安全技术论坛:
精灵博客整理的国内外安全技术论坛
通过上面四步,应聘国内的Web方向的渗透安全工程师是足够的,但安全技术是永无止境的,需要我们保持一颗好奇的心,不断的去学习和实践。(勉励自己)
