現(xiàn)在web安全行業(yè)的培訓(xùn)比較多，而培訓(xùn)出來的人已經(jīng)初步具備了挖掘漏洞的能力，這比野路子學(xué)習(xí)web安全的人已經(jīng)具有了優(yōu)勢(shì)。但是野路子學(xué)習(xí)web安全的人，因?yàn)槭亲詫W(xué)成才，所以自學(xué)能力比大部分培訓(xùn)的人強(qiáng)，知識(shí)面也更廣?？偟膩碚f，web安全這個(gè)行業(yè)還是需要很多人才的，但現(xiàn)在更需要具備二進(jìn)制安全研究能力的web安全人員。

歡迎關(guān)注我，一個(gè)程序員老司機(jī)，和你分享編程、運(yùn)營、需求等等經(jīng)驗(yàn)和趣事。

恰好我就是一個(gè)WEB程序員，現(xiàn)在分享一些這個(gè)行業(yè)的信息給你，希望能夠幫助到你抉擇。

很少有公司請(qǐng)專門的安全工程師

在WEB這個(gè)行業(yè)很特殊，目前至少大部分中小互聯(lián)網(wǎng)公司都不會(huì)考慮提供一個(gè)專門的關(guān)于安全的崗位，為什么會(huì)出現(xiàn)這種現(xiàn)象，因?yàn)榘踩@塊需要的知識(shí)面非常多，大部分服務(wù)器都是LINUX的，所以需要了解Linux系統(tǒng)方面的知識(shí)、網(wǎng)絡(luò)基礎(chǔ)方面、TCP協(xié)議底層方面、各種工具原理方面等等，就拿一個(gè)非常著名的DDOS攻擊，估計(jì)都讓很多人都疼。

將安全委托給第三方

我們購買ucloud云、ucloud云的服務(wù)器時(shí)，會(huì)發(fā)現(xiàn)這些服務(wù)器都會(huì)提供各種各樣的安全保障，這也得到了很多企業(yè)的認(rèn)可，畢竟大公司嘛，做安全肯定不是一個(gè)人，肯定是很多很多人在做，這或許是很多互聯(lián)網(wǎng)公司不設(shè)這個(gè)崗位的最大原因。

一些后端程序員身兼安全員

除了上面的兩個(gè)原因，還有一個(gè)原因就是，很多后端程序員在安全方面還是有很多解決辦法的，所以他們除了充當(dāng)程序員，也充當(dāng)安全員。

任何一個(gè)事情都有兩面性，互聯(lián)網(wǎng)最初誕生的時(shí)候是安全的，但是伴隨著黑客的出現(xiàn)，互聯(lián)網(wǎng)變得越來越不安全。同樣的兩面性，黑客也有好有壞，好的黑客叫白帽子，壞的黑客叫黑帽子，也有介于二者中間的灰帽黑客。隨著Web技術(shù)發(fā)展越來越成熟，而非Web服務(wù)（如Windows操作系統(tǒng)）越來越少的暴露在互聯(lián)網(wǎng)上，現(xiàn)在互聯(lián)網(wǎng)安全主要指的是Web安全。

既然要講Web安全，首先介紹什么是安全，安全的本質(zhì)是什么？引用《白帽子講安全》里對(duì)安全的定義：安全問題的本質(zhì)就是信任問題。舉例來說，自行車的車鎖，我們認(rèn)為是安全的，因?yàn)槲覀冋J(rèn)為自行車鎖的制造商是不會(huì)背著我們留有鑰匙，如果這個(gè)信任都沒有的話，那么這個(gè)自行車就是不安全的。

廢話說完了咱開始正題。

一、零基礎(chǔ)，從哪點(diǎn)學(xué)起？

本人至今都不推薦純零基礎(chǔ)的小白開始直接看Web方向的書和資料，其難度仿佛你讓一個(gè)三歲小孩去自己申請(qǐng)斯坦福大學(xué)商學(xué)院一樣。

首先你要提前學(xué)習(xí)好Web安全需要用到的語言，先學(xué)會(huì)走在學(xué)會(huì)跑，這里就不多說了。

成功掌握語言后咱開始正式學(xué)習(xí)Web安全，咱用思維導(dǎo)圖的方式展現(xiàn)各級(jí)別需要學(xué)習(xí)的內(nèi)容（分的很細(xì)很全面），咱們以拿到中國信息安全認(rèn)證中心（ISCCC）的WEB證書為目標(biāo)，內(nèi)容分為“初級(jí)+中級(jí)”“高級(jí)”兩個(gè)部分（建議下載原圖后放大查看），希望對(duì)你有所幫助。

內(nèi)容看起來很多很龐大，其實(shí)是什么事細(xì)分后都是這樣，仿佛你點(diǎn)個(gè)贊的動(dòng)作需要手指、神經(jīng)、大腦、肌肉等等組織內(nèi)細(xì)胞一起工作后的結(jié)果（瘋狂明示）。

二、就業(yè)前景怎么樣

首先思考這個(gè)問題的前提是已經(jīng)學(xué)會(huì)“初級(jí)+中級(jí)”所有內(nèi)容，然后我們看看國內(nèi)某知名招聘網(wǎng)站上對(duì)公司規(guī)?！?0000人以上”對(duì)“WEB安全”崗位薪資默認(rèn)排序（大部分招聘均初中級(jí)，高級(jí)幾乎都是面議、跳槽、挖人）?？梢哉f你就能拿到國家頒發(fā)的資質(zhì)證書后，國內(nèi)知名互聯(lián)網(wǎng)公司隨你選，世界互聯(lián)網(wǎng)百強(qiáng)也也可嘗試。

目前賽虎學(xué)院所了解的朋友or學(xué)生，零基礎(chǔ)純小白學(xué)完初級(jí)后薪資在6-9K，中級(jí)薪資是10-15K，中級(jí)三年以上的朋友們是20-40K之間。高級(jí)的話咱都是抱大腿！他們的薪資在平臺(tái)網(wǎng)站上都是“面議”。

在和某大佬朋友們聚會(huì)酒后討論起壓力問題時(shí)聽大佬說過“我年薪百萬的壓力不比他們年薪十萬的小”。

三、學(xué)習(xí)的方法

第一種：完全自學(xué)型

能采用自學(xué)方法成材的人都是“狼人”，除了每天耗費(fèi)大量的時(shí)間精力來看書、查資料、做實(shí)驗(yàn)、問大佬以外，還需要自己摸索著前進(jìn)，最重要的是接近{{BANNED}}的自律能力和自我驅(qū)動(dòng)能力！

因?yàn)榉怯?jì)算機(jī)專業(yè)的人，最后靠自學(xué)成為專業(yè)程序員的，往往是因?yàn)榇_實(shí)對(duì)這事兒感興趣有熱情。而且他們中不少人視野更寬、興趣更廣泛，因此更有可能取得較高成就。例如全球幾乎都認(rèn)識(shí)的四位大佬，他們都是自學(xué)成才。

• Apple——Steve Jobs
• Facebook——Mark Elliot Zuckerberg
• Twitter——Jack Dorsey
• Microsoft——Bill Gates

相信很多人都嘗試過自學(xué)方法，效率低下和無法堅(jiān)持下來是兩大放棄的主要原因，其難度遠(yuǎn)遠(yuǎn)超出考研的難度。想想也是，如果隨隨便便自學(xué)成功的話，那網(wǎng)上的培訓(xùn)機(jī)構(gòu)還有什么存在的意義。

第二種：花錢報(bào)班型

這種方法可以說是“走捷徑”，因?yàn)槭谡n的老師幾乎不會(huì)講考試以外的知識(shí)點(diǎn)，完全為了應(yīng)對(duì)考試而上課的課程缺少靈魂?？梢哉f帶進(jìn)門可以，發(fā)展什么樣要看你以后的自學(xué)能力了，目前市場(chǎng)上很少有保證就業(yè)的課程班，有保證就業(yè)的班級(jí)也是為你推薦到某公司企業(yè)，試用期就看你的表現(xiàn)了（都是這樣的，不過大多數(shù)都留下來簽正式了）。

說道這里咱就要推薦一下咱家的課程了，雖說叫“Web安全工程師·訓(xùn)練營”但是咱是就業(yè)班，目前是第二次開課，第一批課程的學(xué)員們100%入職各大企業(yè)（啟明星辰、360、瑞星等）！

而且咱賽虎學(xué)院的課程很直接，明確告訴你在賽虎學(xué)院你能學(xué)到什么，不是讓你學(xué)完就自生自滅了！咱的目的是讓學(xué)生們拿到中認(rèn)的證書和國測(cè)的證書！不信各位看看下圖~

有想要學(xué)習(xí)Web安全的同學(xué)們最怕的就是沒保障、沒學(xué)到實(shí)用知識(shí)、沒官方認(rèn)證的證書和資質(zhì)，這些事在賽虎學(xué)院全部能得到解決！

比較狹窄的一個(gè)方向啊

Web安全的范圍實(shí)在太大，哪些先學(xué)，哪些后學(xué),如果沒有系統(tǒng)的路線會(huì)降低大家效率，對(duì)于剛?cè)腴T的同學(xué)們來說簡(jiǎn)直就是“噩夢(mèng)”。所以，這篇類似學(xué)習(xí)路線的文章，希望可以幫助剛?cè)腴T的萌新們少走彎路。（文末附學(xué)習(xí)資料及工具領(lǐng)?。?/strong>

首先我們來看看企業(yè)對(duì)Web安全工程師的崗位招聘需求是什么？

1職位描述

• 對(duì)公司各類系統(tǒng)進(jìn)行安全加固；
• 對(duì)公司網(wǎng)站、業(yè)務(wù)系統(tǒng)進(jìn)行安全評(píng)估測(cè)試（黑盒、白盒測(cè)試）
• 對(duì)公司安全事件進(jìn)行響應(yīng)、清理后門、根據(jù)日志分析攻擊途徑
• 安全技術(shù)研究，包括安全防范技術(shù)、黑客技術(shù)等；
• 跟蹤最新漏洞信息，進(jìn)行業(yè)務(wù)產(chǎn)品的安全檢查。

2崗位要求

• 熟悉Web滲透測(cè)試方法和攻防技術(shù)，包括SQL注入、XSS跨站、CSRF偽造請(qǐng)求、命令執(zhí)行等OWSP TOP10 安全漏洞與防御；
• 熟悉Linux、Windows不同平臺(tái)的滲透測(cè)試，對(duì)網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全有深入理解和自己的認(rèn)識(shí)；
• 熟悉國內(nèi)外安全工具，包括Kali、Linux、Metasploit、Nessus、Namp、AWVS、Burp等；
• 對(duì)Web安全整體有深刻理解，有一定漏洞分析和挖掘能力；

根據(jù)崗位技能需求，再來制定我們的學(xué)習(xí)路徑，如下：

一、Web安全學(xué)習(xí)路徑

01 HTTP基礎(chǔ)

只有搞明白Web是什么，我們才能對(duì)Web安全進(jìn)行深入研究，所以你必須了解HTTP，了解了HTTP，你就會(huì)明白安全術(shù)語的“輸入輸出”。黑客通過輸入提交“特殊數(shù)據(jù)”，特殊數(shù)據(jù)在數(shù)據(jù)流的每個(gè)層處理，如果某個(gè)層沒處理好，在輸出的時(shí)候，就會(huì)出現(xiàn)相應(yīng)層的安全問題。關(guān)于HTTP，你必須要弄明白以下知識(shí)：

HTTP/HTTPS特點(diǎn)、工作流程

HTTP協(xié)議（請(qǐng)求篇、響應(yīng)篇）

了解HTML、Javascript

Get/Post區(qū)別

Cookie/Session是什么？

02 了解如下專業(yè)術(shù)語的意思

Webshell
菜刀
0day
SQL注入
上傳漏洞
XSS
CSRF
一句話木馬

......

03 專業(yè)黑客工具使用

熟悉如何滲透測(cè)試安全工具，掌握這些工具能大大提高你在工作的中的效率。

Vmware安裝

Windows/kali虛擬機(jī)安裝

Phpstudy、LAMP環(huán)境搭建漏洞靶場(chǎng)

Java、Python環(huán)境安裝

子域名工具 Sublist3r

Sqlmap
Burpsuite
Nmap
W3af
Nessus
Appscan
AWVS

04 XSS

要研究 XSS 首先了解同源策略 ，Javascript 也要好好學(xué)習(xí)一下 ，以及HTML實(shí)體 HTML實(shí)體的10 或16進(jìn)制還有Javascript 的8進(jìn)制和16進(jìn)制編碼，最終掌握以下幾種類型的XSS：

反射型 XSS：可用于釣魚、引流、配合其他漏洞，如 CSRF 等。

存儲(chǔ)型 XSS：攻擊范圍廣，流量傳播大，可配合其他漏洞。

DOM 型 XSS：配合，長度大小不受限制 。

05 SQL注入

所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。你需要了解以下知識(shí)：

SQL 注入漏洞原理
SQL 注入漏洞對(duì)于數(shù)據(jù)安全的影響
SQL 注入漏洞的方法
常見數(shù)據(jù)庫的 SQL 查詢語法
MSSQL,MYSQL,ORACLE 數(shù)據(jù)庫的注入方法
SQL 注入漏洞的類型：數(shù)字型注入 、字符型注入、搜索注入 、盲注(sleep注入) 、Sqlmap使用、寬字節(jié)注入

SQL 注入漏洞修復(fù)和防范方法
一些 SQL 注入漏洞檢測(cè)工具的使用方法

06 文件上傳漏洞

了解下開源編輯器上傳都有哪些漏洞，如何繞過系統(tǒng)檢測(cè)上傳一句話木馬、WAF如何查殺Webshell，你必須要掌握的一些技能點(diǎn)：

1.客戶端檢測(cè)繞過（JS 檢測(cè)）

2.服務(wù)器檢測(cè)繞過（目錄路徑檢測(cè)）

3.黑名單檢測(cè)

4.危險(xiǎn)解析繞過攻擊

5..htaccess 文件

6.解析調(diào)用/漏洞繞過

7.白名單檢測(cè)

8.解析調(diào)用/漏洞繞過

9.服務(wù)端檢測(cè)繞過-文件內(nèi)容檢測(cè)

10.Apache 解析漏洞

11.IIS 解析漏洞

12.Nginx 解析漏洞

07 文件包含漏洞

去學(xué)習(xí)下 include() include_once() require() require_once() fopen() readfile() 這些php函數(shù)是如何產(chǎn)生文件包含漏洞, 本地包含與遠(yuǎn)程包含的區(qū)別，以及利用文件包含時(shí)的一些技巧如：截?cái)?/偽url/超長字符截?cái)嗟?。

08 命令執(zhí)行漏洞

PHP代碼中常見的代碼執(zhí)行函數(shù)有：
eval(), assert(), preg_replace(), call_user_func(), call_user_func_array(),create_function(), array_map()等。
了解這些函數(shù)的作用然后些搞清楚如何造成的代碼執(zhí)行漏洞。

09 CSRF 跨站點(diǎn)請(qǐng)求

為什么會(huì)造成CSRF，GET型與POST型CSRF 的區(qū)別, 如何防御使用 Token防止CSRF？

010 邏輯漏洞

了解以下幾類邏輯漏洞原理、危害及學(xué)會(huì)利用這幾類漏洞：

信息轟炸、支付邏輯漏洞、任意密碼修改、越權(quán)訪問、條件競(jìng)爭(zhēng)、任意注冊(cè)、任意登錄、順序執(zhí)行缺陷、URL跳轉(zhuǎn)漏洞.

011 XEE（XML外部實(shí)體注入）

當(dāng)允許XML引入外部實(shí)體時(shí)，通過構(gòu)造惡意內(nèi)容，可以導(dǎo)致文件讀取、命令執(zhí)行、內(nèi)網(wǎng)探測(cè)等危害。

012 SSRF

了解SSRF的原理,以及SSRF的危害。
SSRF能做什么？當(dāng)我們?cè)谶M(jìn)行Web滲透的時(shí)候是無法訪問目標(biāo)的內(nèi)部網(wǎng)絡(luò)的，那么這個(gè)時(shí)候就用到了SSRF漏洞，利用外網(wǎng)存在SSRF的Web站點(diǎn)可以獲取如下信息。
1.可以對(duì)外網(wǎng)、服務(wù)器所在內(nèi)網(wǎng)、本地進(jìn)行端口掃描，獲取一些服務(wù)的banner信息;
2.攻擊運(yùn)行在內(nèi)網(wǎng)或本地的應(yīng)用程序（比如溢出）;
3.對(duì)內(nèi)網(wǎng)Web應(yīng)用進(jìn)行指紋識(shí)別，通過訪問默認(rèn)文件實(shí)現(xiàn);
4.攻擊內(nèi)外網(wǎng)的Web應(yīng)用，主要是使用get參數(shù)就可以實(shí)現(xiàn)的攻擊（比如struts2，sqli等）;
5.利用file協(xié)議讀取本地文件等。

如果上述漏洞原理掌握的都差不多那么你就算入門Web安全了。

如果看了上面你還不知道具體如何學(xué)習(xí)？可參考合天網(wǎng)安實(shí)驗(yàn)室Web安全工程師崗位培養(yǎng)路徑學(xué)習(xí)：https://www.hetianlab.com/pages/newPostSystem.jsp#&pk_campaign=maibo-wemedia