据网上收集的web安全工程师需要掌握哪些技能,职位要求以及如何入门,加上学习网易推出的web安全工程师微专业课程,为了进一步学习,所以给自己做了一些小小规划,也希望给同样想成为web安全工程师的同仁们一些参考。

第一部分--基础学习

1#web安全工程师职位描述与要求:

2#需要掌握基础分层图:

!——首先在我们入门前,肯定需要知道什么是web,一个网站是怎么搭建的?——!
3#基础学习——静态层
根据上面的分层学习,第一步进行静态层的学习,包括HTML和javascript。
关于入门掌握的程度:
HTML学习可以在w3school上(http://www.w3school.com.cn/html/index.asp
一般2-3天学习入门即可,懂得编各个标签的意思和写简单的静态网站就成,后期有用到别的就查查手册即可。
javascript的学习也可以在w3school上先入门,学习到dom部分即可,然后参考书籍《javascript dom编程艺术》进行学习,
javascript还是有必要学习深入些的,有利于后面进行xss漏洞的学习。(5天入门)

还有需要学习学习http协议的相关内容,要知道状态码什么意思,http头部都有什么信息。

HTTP协议™ http://www.yiibai.com/http/   ##学起来吧,骚年。(1-2天)

4#基础学习——脚本层(动态层)
关于编程的学习的话大部分认为建议学习php,其他的编程语言有推荐java的还有其他,这个以后再学,
先学习简单的php(毕竟开源,嘻嘻),还有安全工程师必备的脚本语言python。
关于php和python的学习我是买了两本书(后续会把读书笔记发到博客上,嘻嘻):

!——关于python的学习之前有听了一个live,仅供参考——!
【python学习链接:电子版- [ 笨办法学Python ] http://www.kancloud.cn/kancloud/learn-python-hard-way/49863
Crossin的编程教室 - Python http://res.crossincode.com/wechat/python.html
Python 2.7教程 - 廖雪峰的官方网站 http://www.liaoxuefeng.com/wiki/001374738125095c955c1e6d8bb493182103fac9270762a000

Python3教程 http://www.yiibai.com/python3/ --如果想学python3的就看看这个吧,我是先学2的然后后面在慢慢学3的。】
改天如果有听php的live有推荐在分享给大家,嘻嘻。        --关于python和php贵在坚持学习,挺住,坚持下去。

5#基础学习——数据库层

关于数据库的学习,可以先掌握些sql语句,然后再发点时间学习学习一门就好,我选择mysql来学习。

SQL教程_w3cschool http://www.w3cschool.cn/sql/

MySQL教程_w3cschool http://www.w3cschool.cn/mysql/

21分钟 MySQL 入门教程 - wid - 博客园 http://www.cnblogs.com/mr-wid/archive/2013/05/09/3068229.html(个人觉得学了sql语句在看看这个还是OK的)

6#基础学习——服务器层

一,这个过程主要是要开始学习学习如何搭建环境,了解各个服务器中间件的概念。

目前常见web服务器:
                          大型:Microsoft IIS、IBM WebSphere、BEA WebLogic、Apache、Tomcat
                          小型:nginx、 micro_httpd、mini_httpd、thttpd、 lighttpd、Shttpd

中间件:

###主要了解下先,也不需要掌握特别深,只要部分常用的话的时候就多去深入。

二,渗透环境的搭建

php的集合环境软件:phpstudy

jsp的集合环境软件:jspstudy

asp的集合环境软件:小旋风ASP服务器

###环境都有了,那现在就开搞吧。。。

【新手指南:手把手教你如何搭建自己的渗透测试环境 - FreeBuf.COM | 关注黑客与极客

http://www.freebuf.com/sectool/102661.html 】

除了 FreeBuf这篇文章搭建的环境,最近看到个不错的环境也可以推荐给大家:

webug漏洞环境-官方 http://www.webug.org/#page1

!--关于环境搭建还是可以学学Docker的,了解具体的戳下面链接。--!

Docker 教程 | 菜鸟教程http://www.runoob.com/docker/docker-tutorial.html

#7基础学习——系统层

现在来到了我们的神奇系统层,主要是linux系统和Windows系统,主要了解相关的命令。

DOS技巧100例_w3cschool http://www.w3cschool.cn/dosmlxxsc1/cudkrf.html

Linux 教程 | 菜鸟教程 http://www.runoob.com/linux/linux-tutorial.html

!--关于的学习就多敲命令,多玩玩。我决定了搭建个Ubuntu和windows2012来玩玩,嘻嘻嘻--!

linux学习的差不多了,可以玩转起kali哟,耶!

玄魂kali链接: https://pan.baidu.com/s/1ccTB7S 密码: bp4y(失效的话在联系我,我在补吧)

###第一部分都是基础,打江山必备一些基础技能,燥起来吧,为江山,学好基础,耶。

第二部分web常见漏洞原理

基础学习的差不多了,先来学习学习web相关的漏洞原理吧,owasp top 10 这个要好好了解哦,现在已经出2017版了,耶。

【2017 OWASP Top 10十大安全漏洞候选出炉,你怎么看? - FreeBuf.COM | 关注黑客与极客 http://www.freebuf.com/news/131778.html】

【WEB安全】常见WEB漏洞 - moshenglv的专栏 - 博客频道 - CSDN.NET http://blog.csdn.net/moshenglv/article/details/53439579

网络安全漏洞科普及概念认识 - 网络安全焦点 http://www.chncto.com/0day/16091.html

Web安全测试中常见逻辑漏洞解析(实战篇) - FreeBuf.COM | 关注黑客与极客 http://www.freebuf.com/vuls/112339.html

『安全科普』WEB安全之渗透测试流程 - Anka9080 - 博客园http://www.cnblogs.com/anka9080/p/shentouliucheng.html

差不多就这些先了解了解吧,其他的平时多上论坛,大佬博客逛逛,看看漏洞案例,学习学习漏洞原理以及如何发现漏洞的。

推荐网站:

【漏洞银行:http://www.bugbank.cn/skills.html

FreeBuf.COM | 关注黑客与极客 http://www.freebuf.com/

MottoIN http://www.mottoin.com

i春秋论坛|白帽黑客论坛|网络渗透技术|网站安全|移动安全|通信安全 https://bbs.ichunqiu.com/portal.php

安全脉搏 https://www.secpulse.com/

91Ri.org http://www.91ri.org

漏洞研究 - 安全技术社区 https://xianzhi.aliyun.com/forum/thread/4.html

一叶知安 - 知乎专栏 https://zhuanlan.zhihu.com/leafsec(知乎还有其他不错的专栏可以去找找看)】

第三部分web安全工具

正所谓工欲善其事,必先利其器。

工具太多了,就不过多介绍了,去找找自己得心应手的工具就好,等python学精通了,也可以自己写工具来。

就说说比较神器的几个工具吧,

1,火狐浏览器,谷歌浏览器

2,nmap(端口扫描+其他)

3,awvs(漏洞扫描)

4,御剑(后台目录扫描)

5,sqlmap(注入神器)

6,burpsuite(神器)

7,WebRobot(爬虫,看文件结构等,挺不错的)

8,subDomainsBrute和Layer子域名挖掘机

其他的自己去发现了。。。

附上:

安全行业从业人员自研开源扫描器合集(2017/01/11更新)-MottoIN http://www.mottoin.com/94492.html

burpsuite实战指南 https://t0data.gitbooks.io/burpsuite/content/?q=

米斯特白帽培训讲义 - 下载频道 - CSDN.NET http://download.csdn.net/detail/wizardforcel/9728354

书籍推荐:

Web安全书籍推荐 - 知乎专栏 https://zhuanlan.zhihu.com/p/23065460

就这样吧,后面可以慢慢建立自己的

WEB安全体系建设

接下来就结合搭建的环境,实战去吧。。。

参考:
Web安全工程师-安全技能 -SecWiki https://www.sec-wiki.com/skill/2
Web安全入门心法 - 知乎专栏 https://zhuanlan.zhihu.com/p/26053309
零基础如何学习 Web 安全? - 知乎 https://www.zhihu.com/question/21606800
Web 安全入门-书籍及建议 - 简书 http://www.jianshu.com/p/6dcebd54fb24

我的web安全工程师学习之路——规划篇的更多相关文章

  1. web前端工程师学习之路开启(前言)

    web前端工程师需要掌握的所有技能 图解1: 图解2:

  2. Web前端工程师成长之路

    一.何为Web前端工程师?        前端工程师,也叫Web前端开发工程师.他是随着web发展,细分出来的行业.Web前端开发工程师,主要职责是利用(X)HTML/CSS/JavaScript/D ...

  3. Java工程师学习指南(中级篇)

    Java工程师学习指南 中级篇 最近有很多小伙伴来问我,Java小白如何入门,如何安排学习路线,每一步应该怎么走比较好.原本我以为之前的几篇文章已经可以解决大家的问题了,其实不然,因为我写的文章都是站 ...

  4. STM32学习之路入门篇之指令集及cortex——m3的存储系统

    STM32学习之路入门篇之指令集及cortex——m3的存储系统 一.汇编语言基础 一).汇编语言:基本语法 1.汇编指令最典型的书写模式: 标号 操作码        操作数1, 操作数2,... ...

  5. Web前端工程师成长之路——知识汇总

    一.何为Web前端工程师?          前端工程师,也叫Web前端开发工程师.他是随着web发展,细分出来的行业.Web前端开发工程师,主要职责是利用(X)HTML/CSS/JavaScript ...

  6. WEB前端工程师如何做职业规划?

    对于一个WEB前端的职业规划,其实是有各种的答案,没有哪种答案是完全正确的,全凭自己的选择,只要是自己选定了,坚持去认真走,就好.在这里, 我只是 简要说一下自己对于这块儿内容的理解.有一个观点想要分 ...

  7. Vue学习之路第一篇(学习准备)

    1.开发工具的选择 这个和个人的开发习惯有关,并不做强求,厉害的话用记事本也可以.但是我还是建议用人气比较高的编辑工具,毕竟功能比较全面,开发起来效率比较高. 我之前写前端一直用的是sublimete ...

  8. Java工程师学习指南(入门篇)

    Java工程师学习指南 入门篇 最近有很多小伙伴来问我,Java小白如何入门,如何安排学习路线,每一步应该怎么走比较好.原本我以为之前的几篇文章已经可以解决大家的问题了,其实不然,因为我之前写的文章都 ...

  9. Java工程师学习指南(初级篇)

    Java工程师学习指南 初级篇 最近有很多小伙伴来问我,Java小白如何入门,如何安排学习路线,每一步应该怎么走比较好.原本我以为之前的几篇文章已经可以解决大家的问题了,其实不然,因为我之前写的文章都 ...

随机推荐

  1. ConfigureAwait(false)

    昨天在做项目的时候,用的dapper查数据用的QueryAsync 异步方法.给上级做代码审核时,上级说最好加上ConfigureAwait(false).能减少一些性能开销. 因为之前没用过所以看了 ...

  2. oracle常用函数总结(一)

    最近在读数据库存储过程,或者在xml里写sql时用到数据库函数,笔者觉得有必要总结一下,当然有的函数笔者也很懵逼,不过可以问度娘啊!好了!开始正题. )s from dual;--1 若nvl第一个参 ...

  3. windows 10微软账户不能访问局域网共享,但是本地账户可以访问

    windows10有时候无法访问局域网的共享文件夹.会提示没有权限. 如果共享的文件夹已经设置为everyone,那么通常是windows 10用的是微软账户登录的. 有两个方案可以处理这种情况. 一 ...

  4. 1-EasyNetQ介绍(黄亮翻译)

    EasyNetQ 是一个容易使用,坚固的,针对RabbitMQ的 .NET API. 假如你尽可能快的想去安装和运行RabbitMQ,请去看入门指南. EasyNetQ是为了提供一个尽可能简洁的适用与 ...

  5. loader的意义和内部机制浅析

    意义: loader可以异步的加载数据到我们的activity或者fragment上面,让加载数据的时候ui线程不阻塞. 而且当数据发生变化的时候,还可以及时更新 具体用法参考 http://deve ...

  6. memcache windows64 位安装

    --环境: windows 2008 R2 64位 wampserver2.2e-php5.3.13-httpd2.2.22-mysql5.5.24-x64 --目标: 实现 php 用memcach ...

  7. mybatis项目报错:java.sql.SQLException: ORA-00911: 无效字符 解决方法

    如果你用java写程序访问数据库,出现这个问题:java.sql.SQLException: ORA-00911: 无效字符 at oracle.jdbc.driver.DatabaseError.t ...

  8. Java之IO流学习总结

    流:可以理解为数据的流动,就是一个数据流,IO流最终要以对象来体现 流的分类:     按照流的方向:输入流和输出流  (输入流只能进行读操作,输出流只能进行写操作)     按照处理数据的不同:字节 ...

  9. Luogu 2921 [USACO08DEC]在农场万圣节Trick or Treat on the Farm

    基环树森林,然而我比较菜,直接tarjan找环. 发现缩点之后变成了DAG,每一个点往下走一定会走到一个环,缩点之后搜一遍看看会走到哪个环以及那个环的编号是多少,答案就是环的$siz$$ + $要走的 ...

  10. Oracle数据库之多表查询一

    上一篇给大家介绍了数据的单表查询,相信大家对于单表的查询应该都有了一些了解.单表查询在数据库中的使用会有一些,但并不是很多,但是作为初学者,我们需要学习单表查询的思路.今天呢,我们为大家介绍一下数据库 ...