1.学习内容:
(图片来自网络)
2.书籍推荐:
《JavaScript DOM编程艺术》,《Python 核心编程》,《SQL注入攻击防御》,《细说PHP》,《白帽子讲Web安全》,《Web前端黑客技术揭秘》,《Web安全深度剖析》,《XSS跨站脚本-攻击剖析与防御》,《代码审计》,《Web安全应用权威指南》,《图解TCP/IP》,《图解HTTP》
3.相关网站:
http://www.wechall.net/challs
http://www.shiyanbar.com/
http://prompt.ml
https://github.com
https://www.owasp.org/index.php
http://redtiger.labs.overthewire.org/
4.Web安全师:
职责:
1)国内外Web安全技术跟进与重现,Web应用最新漏洞分析,提出解决方案;
2)为公司安全产品提供代码及技术源性支持;
3)对业界前沿攻击和防御手法进行研究跟踪;
4)制定源代码安全规范,并进行源代码安全方面的审核;
5)Web软件安全测试,代码审计;
6)测试报告编制;
7)负责配合开发,运维部门解决安全问题;
8)全面了解公司业务,及时发现公司网络及系统安全隐患并给出解决方案;
要求:
熟悉Windows/Linux攻防技术
熟悉http协议,了解主流Web技术;
熟悉JS/PHP/JSP/aspx等web开发语言;
熟悉常见Web安全漏洞分析与防范,充分理解漏洞原理,包括SQL注入,XSS,CSRF等OWASP TOP 10 安全风险;
熟悉安全编码规范,代码审计;
熟悉使用测试工具,并理解原理;
具有沟通能力,文档编写能力;
PS:有个人博客,参加过SRC,众测活动,发布过安全相关paper者优先