web安全工程師和滲透工程師哪個好?Despair2018-07-23 12:02:53

不一樣嗎?前期可能有區別,後期web安全工程同樣要學提權,內網,滲透測試也一樣要往原始碼層發展……

web安全工程師和滲透工程師哪個好?小青年2018-07-30 18:26:37

滲透測試工程師屬於乙方,需要掌握的東西特別多,工資比較高,未來可以往滲透測試師(專家)發展,做技術做久了,可以往管理層發展,比如轉到IT審計。

web安全工程師和滲透工程師哪個好?知乎使用者thgJES2018-08-14 22:36:37

大部分工作的要求其實都不高,就是簡單的搬磚,所以我儘可能少的例舉這些崗位的充分條件,很簡單的一些tips,但要踏踏實實做了並不容易。

首先是

滲透測試工程師

基本要求:對Web安全整體有較深刻理解,具備Web滲透技能,熟悉滲透測試流程,熟練掌握各類安全測試工具。

基本職責:負責公司承接的滲透測試專案,跟蹤國際/國內安全社群的安全動態,進行安全漏洞分析、研究與挖掘,並進行預警。

如何做到:

學習常用的安全工具

AWVS

掃描靶場瞭解常見漏洞的攻擊方式

透過漏洞報告學習漏洞原理

Burpsuite

學習 Proxy 抓包改包

學習 Intruder 爆破模組

學習實用 Bapp 應用商店中的外掛

Nmap

使用 Nmap 探測目標主機所開放的埠

使用 Nmap 探測目標主機的網路服務,判斷其服務名稱及版本號

SQLMap

對 AWVS 中掃描出的 SQL 注入漏洞使用 SQLMap 進行資料獲取

實踐常見漏洞型別的挖掘與利用方式

《駭客技術攻防寶典:Web實戰篇》

有一定基礎可以先看 9-12 章

練習常見 Web 漏洞的挖掘

http://www。

vulnweb。com/

http://www。

dvwa。co。uk/

使用 Docker 搭建

https://

hub。docker。com/r/citize

nstig/dvwa/

關注安全資訊

http://

freebuf。com/

http://

bobao。360。cn/

http://

wiki。ioin。in/

http://www。

mottoin。com/

安全開發工程師

基本要求:掌握ruby、NodeJS、python、java其中一種語言;熟悉主流的滲透攻擊的原理、利用方式,能夠以手工或結合工具的方式對目標系統進行滲透測試。

基本職責:負責對安全產品的開發與維護,也可能包括安全應急。

如何做到:

熟練運用Python各相關模組與機制

入門:《Python 學習手冊》

進階:《Python cookbook》

瞭解 HTTP 協議規範

http://www。

ruanyifeng。com/blog/201

6/08/http。html

瞭解漏洞常見漏洞型別的原理

《白帽子講 Web 安全》

關注新潮安全專案

https://

github。com/showcases/se

curity

跑通著名的開源 WAF: ModSecurity

https://

modsecurity。org/

使用 Docker 搭建

https://

hub。docker。com/r/jchane

y/modsecurity/

跑通著名的開源 Web 掃描器 w3af

http://

w3af。org/

使用 Docker 搭建

https://

hub。docker。com/r/andres

riancho/w3af/

主要還是開發,但是需要懂安全,對安全感興趣的開發可以考慮。

安全運維工程師

基本要求:熟悉Linux作業系統,熟練編寫shell 或python 指令碼;熟悉常見Web安全漏洞分析與防範,包括SQL注入、XSS、CSRF等OWASP TOP 10安全風險。

基本職責:負責業務伺服器作業系統的安全加固,系統層的應用程式的執行許可權檢測、評估。

如何做到:

學習 Shell 的日常開發

入門

https://

google。github。io/styleg

uide/shell。xml

進階

http://www。

runoob。com/linux/linux-

shell。html

學習 Docker 的使用

入門

http://www。

docker。org。cn/book/dock

er/what-is-docker-16。html

進階 《Docker進階與實戰》(有電子版)

瞭解 OWASP TOP TEN 的漏洞分類

https://www。

owasp。org/index。php/OWA

SP_Top_Ten_Cheat_Sheet

關注運維資訊

http://www。

infoq。com/cn/operation/

關注最新通用漏洞

https://www。

seebug。org/vuldb/vulner

abilities

學習搭建企業資產安全產品

https://

github。com/ysrc/xunfeng

Docker 搭建

https://

hub。docker。com/r/ysrc/x

unfeng/

安全研究員

基本要求:熟悉一種指令碼語言,至少在滲透測試,漏洞挖掘,程式碼審計其中一方面能力突出。

基本職責:國外最新安全技術熱點預研;應用安全漏洞挖掘及PoC編寫。

如何做到:

深入學習一門語言

Python

Java

Javascript

學習使用 Docker 編寫 CVE 漏洞 Exploit

https://

hub。docker。com/u/vulner

ables/

使用 Docker 復現常見的 Web 應用漏洞

https://

github。com/Medicean/Vul

Apps

關注最新漏洞分析

http://

paper。seebug。org/

http://

wiki。ioin。in/sort/vulne

rability

熟悉蜜罐的搭建

https://

github。com/schmalle/Mys

qlPot

https://

github。com/gfoss/phpmya

dmin_honeypot

實踐程式碼審計

《程式碼審計: 企業級web程式碼安全架構》

https://

github。com/Xyntax/1000p

hp

(下載到本地看)

瞭解國內安全會議議題

https://www。

hackinn。com/

web安全工程師和滲透工程師哪個好?CHENG2019-11-18 13:07:09

其實都差不多,想對來說,滲透工程師會好點

這個主要還是看你的技術實力

沒有技術實力,一切都是白搭

可以去找一些過來人,向他們諮詢一下

畢竟人家積累的東西很多

然後就是看一些大神的影片

這裡我推薦一個人,實力很強,你可以去跟他學習一些東西

DNS原理分析及應用_嗶哩嗶哩 (゜-゜)つロ 乾杯~-bilibili

web安全工程師和滲透工程師哪個好?楊小姐吶2020-03-27 19:25:52

部分工作的要求其實都不高,就是簡單的搬磚,所以我儘可能少的例舉這些崗位的充分條件,很簡單的一些tips,但要踏踏實實做了並不容易。

首先是 滲透測試工程師

基本要求:對Web安全整體有較深刻理解,具備Web滲透技能,熟悉滲透測試流程,熟練掌握各類安全測試工具。

基本職責:負責公司承接的滲透測試專案,跟蹤國際/國內安全社群的安全動態,進行安全漏洞分析、研究與挖掘,並進行預警。

如何做到:

學習常用的安全工具

AWVS

掃描靶場瞭解常見漏洞的攻擊方式

透過漏洞報告學習漏洞原理

Burpsuite

學習 Proxy 抓包改包

學習 Intruder 爆破模組

學習實用 Bapp 應用商店中的外掛

Nmap

使用 Nmap 探測目標主機所開放的埠

使用 Nmap 探測目標主機的網路服務,判斷其服務名稱及版本號

SQLMap

對 AWVS 中掃描出的 SQL 注入漏洞使用 SQLMap 進行資料獲取

實踐常見漏洞型別的挖掘與利用方式

《駭客技術攻防寶典:Web實戰篇》

有一定基礎可以先看 9-12 章

練習常見 Web 漏洞的挖掘

http://www。

vulnweb。com/

http://www。

dvwa。co。uk/

使用 Docker 搭建

https://

hub。docker。com/r/citize

nstig/dvwa/

關注安全資訊

http://

freebuf。com/

http://

bobao。360。cn/

http://

wiki。ioin。in/

http://www。

mottoin。com/

安全開發工程師

基本要求:掌握ruby、NodeJS、python、java其中一種語言;熟悉主流的滲透攻擊的原理、利用方式,能夠以手工或結合工具的方式對目標系統進行滲透測試。

基本職責:負責對安全產品的開發與維護,也可能包括安全應急。

如何做到:

熟練運用Python各相關模組與機制

入門:《Python 學習手冊》

進階:《Python cookbook》

瞭解 HTTP 協議規範

http://www。

ruanyifeng。com/blog/201

6/08/http。html

瞭解漏洞常見漏洞型別的原理

《白帽子講 Web 安全》

關注新潮安全專案

https://

github。com/showcases/se

curity

跑通著名的開源 WAF: ModSecurity

https://

modsecurity。org/

使用 Docker 搭建

https://

hub。docker。com/r/jchane

y/modsecurity/

跑通著名的開源 Web 掃描器 w3af

http://

w3af。org/

使用 Docker 搭建

https://

hub。docker。com/r/andres

riancho/w3af/

主要還是開發,但是需要懂安全,對安全感興趣的開發可以考慮。

安全運維工程師

基本要求:熟悉Linux作業系統,熟練編寫shell 或python 指令碼;熟悉常見Web安全漏洞分析與防範,包括SQL注入、XSS、CSRF等OWASP TOP 10安全風險。

基本職責:負責業務伺服器作業系統的安全加固,系統層的應用程式的執行許可權檢測、評估。

如何做到:

學習 Shell 的日常開發

入門

https://

google。github。io/styleg

uide/shell。xml

進階

http://www。

runoob。com/linux/linux-

shell。html

學習 Docker 的使用

入門

http://www。

docker。org。cn/book/dock

er/what-is-docker-16。html

進階 《Docker進階與實戰》(有電子版)

瞭解 OWASP TOP TEN 的漏洞分類

https://www。

owasp。org/index。php/OWA

SP_Top_Ten_Cheat_Sheet

關注運維資訊

http://www。

infoq。com/cn/operation/

關注最新通用漏洞

https://www。

seebug。org/vuldb/vulner

abilities

學習搭建企業資產安全產品

https://

github。com/ysrc/xunfeng

Docker 搭建

https://

hub。docker。com/r/ysrc/x

unfeng/

安全研究員

基本要求:熟悉一種指令碼語言,至少在滲透測試,漏洞挖掘,程式碼審計其中一方面能力突出。

基本職責:國外最新安全技術熱點預研;應用安全漏洞挖掘及PoC編寫。

如何做到:

深入學習一門語言

Python

Java

Javascript

學習使用 Docker 編寫 CVE 漏洞 Exploit

https://

hub。docker。com/u/vulner

ables/

使用 Docker 復現常見的 Web 應用漏洞

https://

github。com/Medicean/Vul

Apps

關注最新漏洞分析

http://

paper。seebug。org/

http://

wiki。ioin。in/sort/vulne

rability

熟悉蜜罐的搭建

https://

github。com/schmalle/Mys

qlPot

https://

github。com/gfoss/phpmya

dmin_honeypot

實踐程式碼審計

《程式碼審計: 企業級web程式碼安全架構》

https://

github。com/Xyntax/1000p

hp

(下載到本地看)

瞭解國內安全會議議題