標題裡所提到的工程師,就是傳說中的資訊保安工程師。
在安全的江湖之中,有一群武功高強、行俠仗義的英雄叫做:“白帽子駭客”。
他們熱衷於研究網路與計算機,善於發現安全漏洞。但他們並不會做壞事,而是將漏洞及時提交給企業協助修複,在鍛煉自己能力的同時也能獲取企業反饋的獎勵。
他們可以是醫生、可以是老闆,不過大部分 “白帽子駭客”本身也是企業的資訊保安工程師,從事著安全建設與安全維護的工作。
結合筆者這半年來參與的企業校招和社招活動的感受來看,安全類崗位平均收到的簡曆數遠遠小於其他技術崗位,而從為數不多的候選人中找到符合企業需求的安全人員更是難上加難。
物以稀為貴是個很樸素的道理,不管你是計算機相關專業的學生,還是已經工作的IT人,又或者只是對資訊保安有一定的興趣。在考慮個人職業發展規劃的時候,選擇網路安全這個行業都是一個不錯的選擇。
從目前的現狀和預期來看,Web應用層面的攻防對抗是網路安全的主戰場,Web安全也是時下熱門的安全方向。當然,Web安全還有一個重要的優勢,就是它相對於二進位制安全等安全技術更容易,學習難度低,便於快速上手。
所以,如果廣大IT從業者、計算機專業的同學想進入網路安全行業的話,Web安全是一個很好的切入點和發展方向。
那麼問題來了,如何從安全“小白”成為一名Web安全高手呢?讓我們模擬一下武俠小說中的橋段,為大家提供一些進階“白帽駭客”的提升建議。
1. 首先要有一定的Web基礎,才能更好的學習Web安全
Web基礎知識這裡我們不做詳解,基本上我們可以透過線上各種學習網站進行學習
2. 就像武俠小說一樣,學習神功通常需要一本武功秘籍
這裡,給大家推薦幾本非常厲害的Web安全武功秘籍:
1)《白帽子講Web安全》
2)《駭客攻防技術寶典—Web實戰篇》
3)《Web前端駭客技術揭秘》
這裡暫且就先推薦這三本,大家看完這幾本後如果還有興趣閱讀,可以再去搜尋其他書籍閱讀參考。回想起10年前,若想學習安全技術,就只能從《駭客X檔案》、《駭客手冊》的雜誌中汲取,學習起來真是非常不容易。所以我們不得不感謝安全前輩們沉澱分享了這麼優質的學習教材。
3. 行走江湖,除了好的武功,還需要選一件適合自己的武器
在Web安全中,使用和掌握一些常用的Web安全工具,不僅能夠達到事半功倍的效果,還能夠幫助我們擴充套件測試思路。如:
1)AWVS,綜合漏掃工具
2)burpsuite、Charles、fiddler等抓包工具
3)sqlmap,註入工具
4)御劍,經典的敏感檔案掃描工具
4. 在江湖中行走,俠客們都會在客棧一起聊天、討論,獲取最新的訊息
在Web安全中,我們也需要瞭解新的諮詢、技術等,我們需要關註一些常見的站點和微信公眾號。如:
1)Freebuf(http://www.freebuf.com/)
2)T00ls(https://www.t00ls.net/)
3)SecWiki(https://www.sec-wiki.com/)
4)安全圈info:http://www.anquanquan.info/
5)長亭技術專欄
https://zhuanlan.zhihu.com/chaitin-tech
6)烏雲知識庫專欄https://zhuanlan.zhihu.com/drops
7)安全客
https://www.anquanke.com/discovery
……
5. 紙上得來終覺淺,絕知此事要躬行
在山上修煉的武林高手,最終都需要下山進行實戰修煉。Web安全高手也是如此,不是掌握幾個概念就是高手,而是需要實戰,用漏洞喂出來的。
其實大部分的白帽子或者安全從業者,基本都是按照這個學習路線去學習和提高自己的。當然,對於初學者來說,找一個靠譜的教程或者老師,幫助自己快速入門是非常有必要的。下麵向大家推薦的這場直播,將會讓你更好地瞭解Web安全工程師的職業發展與規劃。
免費直播公開課
Web安全工程師職業發展規劃
分享人:王松 | VIPKID安全應急響應中心負責人、安全盒子團隊創始人
直播時間:5月15日 20:00
直播大綱:
1、Web安全工程師工作內容拆解
2、崗位技能提升與職業發展方向解析
3、工作效率與工作力的提升
參加方式:長按掃描下方二維碼,加入網易Web安全學習群,即可收聽直播~
為了保證學習體驗,本次Web安全學習群限時開放。數量有限,欲報從速。除了免費直播,進群還有Web安全學習資料包領取~