一个月薪两万的Web安全工程师要掌握哪些技能?
作为一个薪水两万起步的工作,我想知道这些牛人们都会哪些技能呢?
Web安全相关概念、熟悉渗透相关工具、渗透实战操作、关注安全圈动态、熟悉Windows/Kali Linux、服务器安全配置、脚本编程学习、源码审计与漏洞分析、安全体系设计与开发等。
看着就很厉害的样子,怪不得技术好的牛人都叫大神呢,虽然我们达不到大神的境界,但是我们可以了解一些简单的基础知识,比如说今天给大家介绍一个实用技能:利用BurpSuite学习注入工具语句。
大家都知道,BurpSuite可以代理浏览器,那它还能代理别的客户端吗?如果能,会是怎样的效果呢?让我们一起来看一下:
原理
首先我们要来搞清楚 BurpSuite代理的原理,下面这图一目了然:
Buipsuit作为中间人可以拦截PC的数据,如果把PC换成其他客户端,理论上也可以拦截其他客户端的数据。而我们就是想学习注入工具的语句,那就把PC换成注入工具。
实践
1、Pangolin:我们先用注入神器pangolin试试,为什么要用pangolin?因为它可以设置代理,要知道不是谁都可以设置代理的。
首先设置好Burpsuit为127.0.0.1端口为8080,与平时设置相同。
其次设置Pangolin的代理,依次点击“编辑”、“配置”,设置**为127.0.0.1端口为8080,代理类型选择HTTP。
这个时候设置就基本完成了,也就是说已经把上图中的PC换成Pangolin了,下面就是见证奇迹的时刻了!
等一下,还没有注入点呢,怎么办?本地搭建一套渗透测试实验系统以协助注入点检测,这里用了“btslab渗透测试实验室”,大家也可以搭建DVWA等系统。
这里有个小问题,就是History里的注入语句URL编码了,不太直观,我们可以把鼠标放在数据包中的注入语句(橙色部分)上,会自动显示解码结果,或者可以发送到“Decoder”进行解码。
将BurpSuite设置为"Intercept is Off",以便放行数据,然后在history里查看记录。
如下图,已成功拦截数据。
我们再来注入数据看看注入语句是什么样的,包括返回页面。
这里有个小问题,就是History里的注入语句URL编码了,不太直观,我们可以把鼠标放在数据包中的注入语句(橙色部分)上,会自动显示解码结果,或者可以发送到“Decoder”进行解码。
可以看到,成功拦截数据,Intercept is Off 以后,History里继续查看注入语句。
没有看过瘾的小伙伴们,可以去 i 春秋公众号输入“半月刊”,还有更多实用技能等你去解锁!
半月刊是在i春秋论坛精挑细选出优质、系统的内容,重新进行设计排版,以期刊的形式发布在论坛和技术交流群中。
内容由浅入深,图文结合,实用性强,真正做到学以致用,不管是刚入门的小白,初级学习者,还是技术从业者,都可以在里面学到知识并运用到实际工作中。
第四期半月刊上线后,好评如潮,公众号决定要为小伙伴们谋福利,于是向管理员申请了免费发放的优惠,大家只要在公众号回复:半月刊,就可以免费领取最新一期的内容,好东西就是要互相分享,大家一定不要错过哦!
福利预告
今天微信公众号将发布免费送票活动:价值468元的FIT大会极客2日通票若干张。
如果你想参加2019互联网安全创新大会,想和来自全球的行业先锋们探索安全最前沿技术,那么一定要关注今天的微信活动,抢到就是赚到,机会不容错过!
一个月薪两万的Web安全工程师要掌握哪些技能?的更多相关文章
- 超有料丨小白如何成功逆袭为年薪30万的Web安全工程师
今天的文章是一篇超实用的学习指南,尤其是对于即将毕业的学生,新入职场的菜鸟,对Web安全感兴趣的小白,真的非常nice,希望大家能够好好阅读,真的可以让你少走很多弯路,至少年薪30万so easy! ...
- 入门迅速、应用广泛、月薪两万,马哥Python前景为什么这么好?
随着Python的技术的流行,Python在为人们带来工作与生活上带来了很多的便捷,因为Python简单,学起来快,也是不少新手程序员入门的首选语言.新手们比较关心的就是Python的发展前景与方向. ...
- 月薪3万Java程序员要达到的技术层次
要达到月薪3万,一般要在北上广深杭知名的互联网公司,同时要在某一个知识领域达到专家级别,而不是简单的掌握SSH那么简单.虽然对部分人有点难,但目标还是要有的,万一实现呢? 首先三万的月薪在BAT实在太 ...
- Java程序员月薪三万,需要技术达到什么水平?
最近跟朋友在一起聚会的时候,提了一个问题,说 Java 程序员如何能月薪达到二万,技术水平需要达到什么程度?人回答说这只能是大企业或者互联网企业工程师才能拿到.也许是的,小公司或者非互联网企业拿二万的 ...
- 猿灯塔:Java程序员月薪三万,需要技术达到什么水平?
最近跟朋友在一起聚会的时候,提了一个问题,说Java程序员如何能月薪达到二万,技术水平需要达到什么程度?人回答说这只能是大企业或者互联网企业工程师才能拿到.也许是的,小公司或者非互联网企业拿二万的不太 ...
- 我的web安全工程师学习之路——规划篇
据网上收集的web安全工程师需要掌握哪些技能,职位要求以及如何入门,加上学习网易推出的web安全工程师微专业课程,为了进一步学习,所以给自己做了一些小小规划,也希望给同样想成为web安全工程师的同仁们 ...
- 写了一个Windows API Viewer,提供VBA语句的导出功能。提供两万多个API的MSDN链接内容的本地查询
始出处:http://www.cnblogs.com/Charltsing/p/APIViewer.html QQ:564955427,QQ群:550672198 世面上的API Viewer已经不少 ...
- 一个Web前端工程师或程序员的发展方向,未来困境及穷途末路
如果你刚好是一个Web前端工程师,或者你将要从事web前端工作.你应该和我有同样的感慨,web前端技术到了自己的天花板,前端工作我能做多少年?3年或5年?自己的职业规划应该怎么样?收入为什么没有增长? ...
- (转)国内外优秀的Web前端工程师
1. 国内外优秀的Web前端工程师 寻找Github.微博.知乎等技术社区上比较活跃.影响力大的圈内大神,供大家膜拜! 视野所限,未必全面,欢迎大家推荐.自荐. 排名不分先后,序号只为标记方便. 提供 ...
随机推荐
- codeblocks 配置 opengl 编程宝典 的 gltools 环境
懒得多说,亲测,这个问题,csdn 和 cnblog 上的博客真的没有一个能解决的. 这个帖子2L的答案则完美解决了问题,虽然步骤有些繁琐,过程还是英文,但考虑到了可能出现的各种问题,跟着走一遍就完美 ...
- 模块2 hashlib;configparser; logging;
hashlib模块: hashlib模块提供了提供了常用的摘要算法,例如MD5,SHA1等. 什么是摘要算法呢?摘要算法又称哈希算法.散列算法.它通过一个函数,把任意长度的数据转换为一个长度固定的数据 ...
- 通过GIT_COMMIT进行代码回滚
首先需要安装插件:conditional-buildstep A buildstep wrapping any number of other buildsteps, controlling thei ...
- [原创]iFPGA-USB2.0 FT2232H USB & UART开发板使用说明
iFPGA-USB2.0 FT2232H USB & UART 开发板使用说明 基本特性: 沉金工艺: 速度达到30MB/S以上: FT2232H USB2.0免固件开发: FPGA-USB2 ...
- [原创]iFPGA-USB2.0新板
- kettle基础概念的学习
参考书籍:Pentaho Kettle Solutions中文版.由于最近不断的使用kettle,随着不断深入使用,遇到的问题越来越多,发现脑子那点货根本不够用,所以根据阅读把一些概念记录一下,方便自 ...
- PBRT笔记(7)——反射模型
基础术语 表面反射可以分为4大类: diffuse 漫反射 glossy specular 镜面反射高光 perfect specular 完美反射高光 retro-reflective distri ...
- 如何给小学生讲清楚ECC椭圆曲线加密
对于RSA这套公私钥加密的思路,我以为我挺明白的,运用的娴熟自如. 当然现在RSA用的不多,而是基于ECC曲线来做签名验签,最大名鼎鼎的莫过于比特币. 可是前两天和别人讲代码,被问了ECC为什么可以用 ...
- redis的过期策略都有哪些?
1.面试题 redis的过期策略都有哪些?内存淘汰机制都有哪些?手写一下LRU代码实现? 2.面试官心里分析 1)老师啊,我往redis里写的数据怎么没了? 之前有同学问过我,说我们生产环境的redi ...
- MySQL8主从配置
最近在看MySQL的主从配置,罗列一下过程. 一.环境介绍 我使用的是两个MySQL8.0.13Windows版,Master和Slave安装的在一个机器上,Master库的端口为3306,Slave ...