1. 熟悉基本的編程語言
熟悉C、html、javascript缕探、php、java等語言的語法分别,能看懂簡單的程序。附上學習基本語法的網(wǎng)站窿吩,可以在網(wǎng)站上邊學邊動手http://www.w3school.com.cn/
2. 了解OWASP top10漏洞
OWASP是一個開源的、非盈利的全球性安全組織错览,致力于應用軟件的安全研究纫雁。OWASP top10漏洞是一些常見的危害比較大的漏洞,也是從事Web安全必備的基礎知識倾哺。附上翻譯好的鏈接http://www.360zhijia.com/360anquanke/190921.html
3. 搭建Web漏洞測試環(huán)境轧邪,動手練習
學習安全技術刽脖,光看是不行的,一定要多實踐忌愚,實踐出真知曲管。今年國家網(wǎng)絡安全法頒布之后,網(wǎng)絡安全管理更加嚴格了硕糊,未授權直接對著別人公司的網(wǎng)站測院水,一是違法行為;二是剛?cè)腴T简十,找不到漏洞檬某,容易帶來挫折感,事物都是由易到難螟蝙,先要從容易的地方著手恢恼。那搭建本地的Web測試環(huán)境就很有必要了。
常用的Web漏洞測試環(huán)境有2個胰默。
- php語言的DVWA
- Java語言Webgoat
剛?cè)腴T使用到的工具BurpSuite场斑,夠了,測試Web應用的神器牵署。關于BurpSuite的使用漏隐,見:http://www.freebuf.com/video/10468.html
1、DVWA的搭建碟刺,需要使用XMAPP軟件锁保。詳細的搭建步奏:http://www.freebuf.com/sectool/102661.html
2、Webgoat搭建半沽,需要安裝Java環(huán)境爽柒。詳細的搭建環(huán)境步奏:http://blog.csdn.net/baishileily/article/details/50444935
搭建好環(huán)境好,把所有的題目刷一遍者填,一定要自己動手刷題浩村,不會的baidu和google。刷完題目后占哟,你對Web安全就有一個大概的了解心墅,知道大概怎么測了,怎么防護Owasp top10攻擊了榨乎。
4. Web安全技術提升
在了解基本的漏洞后怎燥,如果你還抱有好奇心,想進一步了解Web安全技術蜜暑,想全面了解Web安全铐姚,想擴大自己的視野(從沒聽過過的漏洞,你在測試的時候很難發(fā)現(xiàn))肛捍,這時候你就要需要閱讀安全書籍和逛安全技術論壇了隐绵。
推薦的看經(jīng)典的Web安全書籍(沒必要看那么多之众,很多內(nèi)容重復):
- 黑客攻防技術寶典 web實戰(zhàn)篇 第2版
- Web應用漏洞偵測與防御
推薦去的安全技術論壇(國內(nèi)):
更多安全技術論壇:
精靈博客整理的國內(nèi)外安全技術論壇
通過上面四步,應聘國內(nèi)的Web方向的滲透安全工程師是足夠的依许,但安全技術是永無止境的棺禾,需要我們保持一顆好奇的心,不斷的去學習和實踐峭跳。(勉勵自己)