web安全工程師和滲透工程師哪個好?
不一樣嗎?前期可能有區別,後期web安全工程同樣要學提權,內網,滲透測試也一樣要往原始碼層發展……
滲透測試工程師屬於乙方,需要掌握的東西特別多,工資比較高,未來可以往滲透測試師(專家)發展,做技術做久了,可以往管理層發展,比如轉到IT審計。
大部分工作的要求其實都不高,就是簡單的搬磚,所以我儘可能少的例舉這些崗位的充分條件,很簡單的一些tips,但要踏踏實實做了並不容易。
首先是
滲透測試工程師
基本要求:對Web安全整體有較深刻理解,具備Web滲透技能,熟悉滲透測試流程,熟練掌握各類安全測試工具。
基本職責:負責公司承接的滲透測試專案,跟蹤國際/國內安全社群的安全動態,進行安全漏洞分析、研究與挖掘,並進行預警。
如何做到:
學習常用的安全工具
AWVS
掃描靶場瞭解常見漏洞的攻擊方式
透過漏洞報告學習漏洞原理
Burpsuite
學習 Proxy 抓包改包
學習 Intruder 爆破模組
學習實用 Bapp 應用商店中的外掛
Nmap
使用 Nmap 探測目標主機所開放的埠
使用 Nmap 探測目標主機的網路服務,判斷其服務名稱及版本號
SQLMap
對 AWVS 中掃描出的 SQL 注入漏洞使用 SQLMap 進行資料獲取
實踐常見漏洞型別的挖掘與利用方式
《駭客技術攻防寶典:Web實戰篇》
有一定基礎可以先看 9-12 章
練習常見 Web 漏洞的挖掘
http://www。
vulnweb。com/
http://www。
dvwa。co。uk/
使用 Docker 搭建
https://
hub。docker。com/r/citize
nstig/dvwa/
關注安全資訊
http://
freebuf。com/
http://
bobao。360。cn/
http://
wiki。ioin。in/
http://www。
mottoin。com/
安全開發工程師
基本要求:掌握ruby、NodeJS、python、java其中一種語言;熟悉主流的滲透攻擊的原理、利用方式,能夠以手工或結合工具的方式對目標系統進行滲透測試。
基本職責:負責對安全產品的開發與維護,也可能包括安全應急。
如何做到:
熟練運用Python各相關模組與機制
入門:《Python 學習手冊》
進階:《Python cookbook》
瞭解 HTTP 協議規範
http://www。
ruanyifeng。com/blog/201
6/08/http。html
瞭解漏洞常見漏洞型別的原理
《白帽子講 Web 安全》
關注新潮安全專案
https://
github。com/showcases/se
curity
跑通著名的開源 WAF: ModSecurity
https://
modsecurity。org/
使用 Docker 搭建
https://
hub。docker。com/r/jchane
y/modsecurity/
跑通著名的開源 Web 掃描器 w3af
http://
w3af。org/
使用 Docker 搭建
https://
hub。docker。com/r/andres
riancho/w3af/
主要還是開發,但是需要懂安全,對安全感興趣的開發可以考慮。
安全運維工程師
基本要求:熟悉Linux作業系統,熟練編寫shell 或python 指令碼;熟悉常見Web安全漏洞分析與防範,包括SQL注入、XSS、CSRF等OWASP TOP 10安全風險。
基本職責:負責業務伺服器作業系統的安全加固,系統層的應用程式的執行許可權檢測、評估。
如何做到:
學習 Shell 的日常開發
入門
https://
google。github。io/styleg
uide/shell。xml
進階
http://www。
runoob。com/linux/linux-
shell。html
學習 Docker 的使用
入門
http://www。
docker。org。cn/book/dock
er/what-is-docker-16。html
進階 《Docker進階與實戰》(有電子版)
瞭解 OWASP TOP TEN 的漏洞分類
https://www。
owasp。org/index。php/OWA
SP_Top_Ten_Cheat_Sheet
關注運維資訊
http://www。
infoq。com/cn/operation/
關注最新通用漏洞
https://www。
seebug。org/vuldb/vulner
abilities
學習搭建企業資產安全產品
https://
github。com/ysrc/xunfeng
Docker 搭建
https://
hub。docker。com/r/ysrc/x
unfeng/
安全研究員
基本要求:熟悉一種指令碼語言,至少在滲透測試,漏洞挖掘,程式碼審計其中一方面能力突出。
基本職責:國外最新安全技術熱點預研;應用安全漏洞挖掘及PoC編寫。
如何做到:
深入學習一門語言
Python
Java
Javascript
學習使用 Docker 編寫 CVE 漏洞 Exploit
https://
hub。docker。com/u/vulner
ables/
使用 Docker 復現常見的 Web 應用漏洞
https://
github。com/Medicean/Vul
Apps
關注最新漏洞分析
http://
paper。seebug。org/
http://
wiki。ioin。in/sort/vulne
rability
熟悉蜜罐的搭建
https://
github。com/schmalle/Mys
qlPot
https://
github。com/gfoss/phpmya
dmin_honeypot
實踐程式碼審計
《程式碼審計: 企業級web程式碼安全架構》
https://
github。com/Xyntax/1000p
hp
(下載到本地看)
瞭解國內安全會議議題
https://www。
hackinn。com/
其實都差不多,想對來說,滲透工程師會好點
這個主要還是看你的技術實力
沒有技術實力,一切都是白搭
可以去找一些過來人,向他們諮詢一下
畢竟人家積累的東西很多
然後就是看一些大神的影片
這裡我推薦一個人,實力很強,你可以去跟他學習一些東西
DNS原理分析及應用_嗶哩嗶哩 (゜-゜)つロ 乾杯~-bilibili
部分工作的要求其實都不高,就是簡單的搬磚,所以我儘可能少的例舉這些崗位的充分條件,很簡單的一些tips,但要踏踏實實做了並不容易。
首先是 滲透測試工程師
基本要求:對Web安全整體有較深刻理解,具備Web滲透技能,熟悉滲透測試流程,熟練掌握各類安全測試工具。
基本職責:負責公司承接的滲透測試專案,跟蹤國際/國內安全社群的安全動態,進行安全漏洞分析、研究與挖掘,並進行預警。
如何做到:
學習常用的安全工具
AWVS
掃描靶場瞭解常見漏洞的攻擊方式
透過漏洞報告學習漏洞原理
Burpsuite
學習 Proxy 抓包改包
學習 Intruder 爆破模組
學習實用 Bapp 應用商店中的外掛
Nmap
使用 Nmap 探測目標主機所開放的埠
使用 Nmap 探測目標主機的網路服務,判斷其服務名稱及版本號
SQLMap
對 AWVS 中掃描出的 SQL 注入漏洞使用 SQLMap 進行資料獲取
實踐常見漏洞型別的挖掘與利用方式
《駭客技術攻防寶典:Web實戰篇》
有一定基礎可以先看 9-12 章
練習常見 Web 漏洞的挖掘
http://www。
vulnweb。com/
http://www。
dvwa。co。uk/
使用 Docker 搭建
https://
hub。docker。com/r/citize
nstig/dvwa/
關注安全資訊
http://
freebuf。com/
http://
bobao。360。cn/
http://
wiki。ioin。in/
http://www。
mottoin。com/
安全開發工程師
基本要求:掌握ruby、NodeJS、python、java其中一種語言;熟悉主流的滲透攻擊的原理、利用方式,能夠以手工或結合工具的方式對目標系統進行滲透測試。
基本職責:負責對安全產品的開發與維護,也可能包括安全應急。
如何做到:
熟練運用Python各相關模組與機制
入門:《Python 學習手冊》
進階:《Python cookbook》
瞭解 HTTP 協議規範
http://www。
ruanyifeng。com/blog/201
6/08/http。html
瞭解漏洞常見漏洞型別的原理
《白帽子講 Web 安全》
關注新潮安全專案
https://
github。com/showcases/se
curity
跑通著名的開源 WAF: ModSecurity
https://
modsecurity。org/
使用 Docker 搭建
https://
hub。docker。com/r/jchane
y/modsecurity/
跑通著名的開源 Web 掃描器 w3af
http://
w3af。org/
使用 Docker 搭建
https://
hub。docker。com/r/andres
riancho/w3af/
主要還是開發,但是需要懂安全,對安全感興趣的開發可以考慮。
安全運維工程師
基本要求:熟悉Linux作業系統,熟練編寫shell 或python 指令碼;熟悉常見Web安全漏洞分析與防範,包括SQL注入、XSS、CSRF等OWASP TOP 10安全風險。
基本職責:負責業務伺服器作業系統的安全加固,系統層的應用程式的執行許可權檢測、評估。
如何做到:
學習 Shell 的日常開發
入門
https://
google。github。io/styleg
uide/shell。xml
進階
http://www。
runoob。com/linux/linux-
shell。html
學習 Docker 的使用
入門
http://www。
docker。org。cn/book/dock
er/what-is-docker-16。html
進階 《Docker進階與實戰》(有電子版)
瞭解 OWASP TOP TEN 的漏洞分類
https://www。
owasp。org/index。php/OWA
SP_Top_Ten_Cheat_Sheet
關注運維資訊
http://www。
infoq。com/cn/operation/
關注最新通用漏洞
https://www。
seebug。org/vuldb/vulner
abilities
學習搭建企業資產安全產品
https://
github。com/ysrc/xunfeng
Docker 搭建
https://
hub。docker。com/r/ysrc/x
unfeng/
安全研究員
基本要求:熟悉一種指令碼語言,至少在滲透測試,漏洞挖掘,程式碼審計其中一方面能力突出。
基本職責:國外最新安全技術熱點預研;應用安全漏洞挖掘及PoC編寫。
如何做到:
深入學習一門語言
Python
Java
Javascript
學習使用 Docker 編寫 CVE 漏洞 Exploit
https://
hub。docker。com/u/vulner
ables/
使用 Docker 復現常見的 Web 應用漏洞
https://
github。com/Medicean/Vul
Apps
關注最新漏洞分析
http://
paper。seebug。org/
http://
wiki。ioin。in/sort/vulne
rability
熟悉蜜罐的搭建
https://
github。com/schmalle/Mys
qlPot
https://
github。com/gfoss/phpmya
dmin_honeypot
實踐程式碼審計
《程式碼審計: 企業級web程式碼安全架構》
https://
github。com/Xyntax/1000p
hp
(下載到本地看)
瞭解國內安全會議議題