准备从事web安全这个行业,我浅谈自己对web安全工程师的理解。
按照web安全工程师的岗位职责分为了以下几个部分:
1.熟悉Web常见的安全测试,如客户端的XSS,CSRF等,服务器端的SQL注入、上传文件漏洞等
2.了解OWASP TOP 10的常见风险,并且能够进行修复
3.能够对web服务器做一些安全配置,加强安全防护
4.修补最新出现的漏洞
然而对于这些职责主要是偏向于web安全的渗透测试类,它还可以分为web安全研究、web安全开发、web安全维护。
针对于如何进行web安全的学习,分成了以下的这些方向:
1.Web服务器部署搭建,如SQL server、nginx、Apache、IIS7
2.web服务器稳定运行
3.web应用攻击,如web应用漏洞应用和中间件漏洞、操作系统漏洞、整体威胁分析
4.web安全防御,如网络、服务器、操作系统、数据库和应用服务
5.web安全设计,如web设计、web开发和第三方服务
6.源代码安全,如针对于源代码的审计,以及编写poc
7.web安全加固修复,如编写查阅测试报告、系统补丁设计方法、配置及完善程序脚本
这都是对web安全工程师如何进行系统学习的方向吧。
除此之外,还有就是对于我们自身要做一些学习,如每天一文、每天一推、每天一事、每天一人。详细的如下:
每天一文指自己对于学习的知识,实战经历写下来,转发到朋友圈啊,提高自己的水平
每天一推指在各大安全社区等去查看交流分享帖,掌握前沿技术或知识,并进行推广
每天一事指当自己能够做一些安全分析的时候,将这些想法写下来,做交流分享
每天一人指去各大安全社区去关注一些安全圈子的人,与他们交流互动分享