我是大二开始自学网络安全的,现在学了有5年了,现在在做安全运维,参加过CTF和HW,最近一年在学习逆向分析,也是兴趣使然,如果你兴趣特别浓厚,可以坚持学下去,网络安全理念细分的岗位这挺多的,看自己喜欢什么方向就先去研究什么,制定好规划和目标。
经常有粉丝朋友给笔者留言,询问能否转行学网络安全。
现阶段,爆发安全问题最多的就是web安全,大部分攻击都是从web安全入手的。例如:内网渗透、工控安全都要依托于web安全。因此,web安全在整个网络攻击中起着特别关键的作用。
那么,如何学习web安全呢?
第一步:了解系统
Windows系统、Linux系统和有关运维维护系统。
第二步:熟练掌握前端和后端编程语言
前端:HTML,css,js脚本
后端:Java,PHP,MySQL,Python脚本
第三步:熟悉web渗透相关工具
AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用。
了解该类工具的用途和使用场景,先用软件名字Google/SecWiki;下载无后门版的这些软件进行安装;待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱;
第三步:了解web十大漏洞进入实战
1.sql注入
2.失效的身份认证和会话管理
3.跨站脚本攻击 XSS
4.直接引用不安全的对象
5.安全配置错误
6.敏感信息泄露
7.缺少功能级的访问控制
8.跨站请求伪造 CSRF
9.使用含有已知漏洞的组件
10.未验证的重定向和转发
下面我们再看看,web安全岗位的薪资情况: