現在web安全行業(yè)的培訓比較多，而培訓出來的人已經初步具備了挖掘漏洞的能力，這比野路子學習web安全的人已經具有了優(yōu)勢。但是野路子學習web安全的人，因為是自學成才，所以自學能力比大部分培訓的人強，知識面也更廣。總的來說，web安全這個行業(yè)還是需要很多人才的，但現在更需要具備二進制安全研究能力的web安全人員。

歡迎關注我，一個程序員老司機，和你分享編程、運營、需求等等經驗和趣事。

恰好我就是一個WEB程序員，現在分享一些這個行業(yè)的信息給你，希望能夠幫助到你抉擇。

很少有公司請專門的安全工程師

在WEB這個行業(yè)很特殊，目前至少大部分中小互聯網公司都不會考慮提供一個專門的關于安全的崗位，為什么會出現這種現象，因為安全這塊需要的知識面非常多，大部分服務器都是LINUX的，所以需要了解Linux系統(tǒng)方面的知識、網絡基礎方面、TCP協(xié)議底層方面、各種工具原理方面等等，就拿一個非常著名的DDOS攻擊，估計都讓很多人都疼。

將安全委托給第三方

我們購買阿里云、騰訊云的服務器時，會發(fā)現這些服務器都會提供各種各樣的安全保障，這也得到了很多企業(yè)的認可，畢竟大公司嘛，做安全肯定不是一個人，肯定是很多很多人在做，這或許是很多互聯網公司不設這個崗位的最大原因。

一些后端程序員身兼安全員

除了上面的兩個原因，還有一個原因就是，很多后端程序員在安全方面還是有很多解決辦法的，所以他們除了充當程序員，也充當安全員。

任何一個事情都有兩面性，互聯網最初誕生的時候是安全的，但是伴隨著黑客的出現，互聯網變得越來越不安全。同樣的兩面性，黑客也有好有壞，好的黑客叫白帽子，壞的黑客叫黑帽子，也有介于二者中間的灰帽黑客。隨著Web技術發(fā)展越來越成熟，而非Web服務（如Windows操作系統(tǒng)）越來越少的暴露在互聯網上，現在互聯網安全主要指的是Web安全。

既然要講Web安全，首先介紹什么是安全，安全的本質是什么？引用《白帽子講安全》里對安全的定義：安全問題的本質就是信任問題。舉例來說，自行車的車鎖，我們認為是安全的，因為我們認為自行車鎖的制造商是不會背著我們留有鑰匙，如果這個信任都沒有的話，那么這個自行車就是不安全的。

廢話說完了咱開始正題。

一、零基礎，從哪點學起？

本人至今都不推薦純零基礎的小白開始直接看Web方向的書和資料，其難度仿佛你讓一個三歲小孩去自己申請斯坦福大學商學院一樣。

首先你要提前學習好Web安全需要用到的語言，先學會走在學會跑，這里就不多說了。

成功掌握語言后咱開始正式學習Web安全，咱用思維導圖的方式展現各級別需要學習的內容（分的很細很全面），咱們以拿到中國信息安全認證中心（ISCCC）的WEB證書為目標，內容分為“初級+中級”“高級”兩個部分（建議下載原圖后放大查看），希望對你有所幫助。

內容看起來很多很龐大，其實是什么事細分后都是這樣，仿佛你點個贊的動作需要手指、神經、大腦、肌肉等等組織內細胞一起工作后的結果（瘋狂明示）。

二、就業(yè)前景怎么樣

首先思考這個問題的前提是已經學會“初級+中級”所有內容，然后我們看看國內某知名招聘網站上對公司規(guī)�！�10000人以上”對“WEB安全”崗位薪資默認排序（大部分招聘均初中級，高級幾乎都是面議、跳槽、挖人）�？梢哉f你就能拿到國家頒發(fā)的資質證書后，國內知名互聯網公司隨你選，世界互聯網百強也也可嘗試。

目前賽虎學院所了解的朋友or學生，零基礎純小白學完初級后薪資在6-9K，中級薪資是10-15K，中級三年以上的朋友們是20-40K之間。高級的話咱都是抱大腿！他們的薪資在平臺網站上都是“面議”。

在和某大佬朋友們聚會酒后討論起壓力問題時聽大佬說過“我年薪百萬的壓力不比他們年薪十萬的小”。

三、學習的方法

第一種：完全自學型

能采用自學方法成材的人都是“狼人”，除了每天耗費大量的時間精力來看書、查資料、做實驗、問大佬以外，還需要自己摸索著前進，最重要的是接近變態(tài)的自律能力和自我驅動能力！

因為非計算機專業(yè)的人，最后靠自學成為專業(yè)程序員的，往往是因為確實對這事兒感興趣有熱情。而且他們中不少人視野更寬、興趣更廣泛，因此更有可能取得較高成就。例如全球幾乎都認識的四位大佬，他們都是自學成才。

• Apple——Steve Jobs
• Facebook——Mark Elliot Zuckerberg
• Twitter——Jack Dorsey
• Microsoft——Bill Gates

相信很多人都嘗試過自學方法，效率低下和無法堅持下來是兩大放棄的主要原因，其難度遠遠超出考研的難度。想想也是，如果隨隨便便自學成功的話，那網上的培訓機構還有什么存在的意義。

第二種：花錢報班型

這種方法可以說是“走捷徑”，因為授課的老師幾乎不會講考試以外的知識點，完全為了應對考試而上課的課程缺少靈魂。可以說帶進門可以，發(fā)展什么樣要看你以后的自學能力了，目前市場上很少有保證就業(yè)的課程班，有保證就業(yè)的班級也是為你推薦到某公司企業(yè)，試用期就看你的表現了（都是這樣的，不過大多數都留下來簽正式了）。

說道這里咱就要推薦一下咱家的課程了，雖說叫“Web安全工程師·訓練營”但是咱是就業(yè)班，目前是第二次開課，第一批課程的學員們100%入職各大企業(yè)（啟明星辰、360、瑞星等）！

而且咱賽虎學院的課程很直接，明確告訴你在賽虎學院你能學到什么，不是讓你學完就自生自滅了！咱的目的是讓學生們拿到中認的證書和國測的證書！不信各位看看下圖~

有想要學習Web安全的同學們最怕的就是沒保障、沒學到實用知識、沒官方認證的證書和資質，這些事在賽虎學院全部能得到解決！

比較狹窄的一個方向啊

IT男日常分享實用技術，了解技術原理，喜歡的請關注一下

作為網絡安全從業(yè)人員，從本人這兩年所見來看，這一行業(yè)還是十分有前景的，因為這一行業(yè)需要的知識面是很多人無法達到的，需要你自己去努力學習。

其實大學時期真的很重要，現在你如果能意識到，就請專心的去學習，去積累，如果你能專心的堅持下去，我敢說你出了學校，可以挑自己喜歡的工作環(huán)境和公司，前提是你一定的堅持的積累學習，另外要至少要掌握好一門程序語言，目前來看較多的是python、Java，另外shell也最好學習一下，還有就是各個系統(tǒng)的日志要能夠分析。能力有限暫時能夠想到的就這些，當初我沒有堅持下去，沒有在這條路上走在前面，現在工作的其實有點無力、、、希望你能堅持下去，如果需要相關學習資料的可以私信我，我這邊相關的資料可以送給你，加油！堅定自己的目標！

習大大出席會議并發(fā)表重要講話：

信息化為中華民族帶來了千載難逢的機遇。我們必須敏銳抓住信息化發(fā)展的歷史機遇，加強網上正面宣傳，維護網絡安全，推動信息領域核心技術突破，發(fā)揮信息化對經濟社會發(fā)展的引領作用，加強網信領域軍民融合，主動參與網絡空間國際治理進程，自主創(chuàng)新推進網絡強國建設，為決勝全面建成小康社會、奪取新時代中國特色社會主義偉大勝利、實現中華民族偉大復興的中國夢作出新的貢獻。

Web安全的范圍實在太大，哪些先學，哪些后學,如果沒有系統(tǒng)的路線會降低大家效率，對于剛入門的同學們來說簡直就是“噩夢”。所以，這篇類似學習路線的文章，希望可以幫助剛入門的萌新們少走彎路。（文末附學習資料及工具領�。�

首先我們來看看企業(yè)對Web安全工程師的崗位招聘需求是什么？

1職位描述

• 對公司各類系統(tǒng)進行安全加固；
• 對公司網站、業(yè)務系統(tǒng)進行安全評估測試（黑盒、白盒測試）
• 對公司安全事件進行響應、清理后門、根據日志分析攻擊途徑
• 安全技術研究，包括安全防范技術、黑客技術等；
• 跟蹤最新漏洞信息，進行業(yè)務產品的安全檢查。

2崗位要求

• 熟悉Web滲透測試方法和攻防技術，包括SQL注入、XSS跨站、CSRF偽造請求、命令執(zhí)行等OWSP TOP10 安全漏洞與防御；
• 熟悉Linux、Windows不同平臺的滲透測試，對網絡安全、系統(tǒng)安全、應用安全有深入理解和自己的認識；
• 熟悉國內外安全工具，包括Kali、Linux、Metasploit、Nessus、Namp、AWVS、Burp等；
• 對Web安全整體有深刻理解，有一定漏洞分析和挖掘能力；

根據崗位技能需求，再來制定我們的學習路徑，如下：

一、Web安全學習路徑

01 HTTP基礎

只有搞明白Web是什么，我們才能對Web安全進行深入研究，所以你必須了解HTTP，了解了HTTP，你就會明白安全術語的“輸入輸出”。黑客通過輸入提交“特殊數據”，特殊數據在數據流的每個層處理，如果某個層沒處理好，在輸出的時候，就會出現相應層的安全問題。關于HTTP，你必須要弄明白以下知識：

HTTP/HTTPS特點、工作流程

HTTP協(xié)議（請求篇、響應篇）

了解HTML、Javascript

Get/Post區(qū)別

Cookie/Session是什么？

02 了解如下專業(yè)術語的意思

Webshell
菜刀
0day
SQL注入
上傳漏洞
XSS
CSRF
一句話木馬

......

03 專業(yè)黑客工具使用

熟悉如何滲透測試安全工具，掌握這些工具能大大提高你在工作的中的效率。

Vmware安裝

Windows/kali虛擬機安裝

Phpstudy、LAMP環(huán)境搭建漏洞靶場

Java、Python環(huán)境安裝

子域名工具 Sublist3r

Sqlmap
Burpsuite
Nmap
W3af
Nessus
Appscan
AWVS

04 XSS

要研究 XSS 首先了解同源策略 ，Javascript 也要好好學習一下 ，以及HTML實體 HTML實體的10 或16進制還有Javascript 的8進制和16進制編碼，最終掌握以下幾種類型的XSS：

反射型 XSS：可用于釣魚、引流、配合其他漏洞，如 CSRF 等。

存儲型 XSS：攻擊范圍廣，流量傳播大，可配合其他漏洞。

DOM 型 XSS：配合，長度大小不受限制 。

05 SQL注入

所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令。你需要了解以下知識：

SQL 注入漏洞原理
SQL 注入漏洞對于數據安全的影響
SQL 注入漏洞的方法
常見數據庫的 SQL 查詢語法
MSSQL,MYSQL,ORACLE 數據庫的注入方法
SQL 注入漏洞的類型：數字型注入 、字符型注入、搜索注入 、盲注(sleep注入) 、Sqlmap使用、寬字節(jié)注入

SQL 注入漏洞修復和防范方法
一些 SQL 注入漏洞檢測工具的使用方法

06 文件上傳漏洞

了解下開源編輯器上傳都有哪些漏洞，如何繞過系統(tǒng)檢測上傳一句話木馬、WAF如何查殺Webshell，你必須要掌握的一些技能點：

1.客戶端檢測繞過（JS 檢測）

2.服務器檢測繞過（目錄路徑檢測）

3.黑名單檢測

4.危險解析繞過攻擊

5..htaccess 文件

6.解析調用/漏洞繞過

7.白名單檢測

8.解析調用/漏洞繞過

9.服務端檢測繞過-文件內容檢測

10.Apache 解析漏洞

11.IIS 解析漏洞

12.Nginx 解析漏洞

07 文件包含漏洞

去學習下 include() include_once() require() require_once() fopen() readfile() 這些php函數是如何產生文件包含漏洞, 本地包含與遠程包含的區(qū)別，以及利用文件包含時的一些技巧如：截斷 /偽url/超長字符截斷等 。

08 命令執(zhí)行漏洞

PHP代碼中常見的代碼執(zhí)行函數有：
eval(), assert(), preg_replace(), call_user_func(), call_user_func_array(),create_function(), array_map()等。
了解這些函數的作用然后些搞清楚如何造成的代碼執(zhí)行漏洞。

09 CSRF 跨站點請求

為什么會造成CSRF，GET型與POST型CSRF 的區(qū)別, 如何防御使用 Token防止CSRF？

010 邏輯漏洞

了解以下幾類邏輯漏洞原理、危害及學會利用這幾類漏洞：

信息轟炸、支付邏輯漏洞、任意密碼修改、越權訪問、條件競爭、任意注冊、任意登錄、順序執(zhí)行缺陷、URL跳轉漏洞.

011 XEE（XML外部實體注入）

當允許XML引入外部實體時，通過構造惡意內容，可以導致文件讀取、命令執(zhí)行、內網探測等危害。

012 SSRF

了解SSRF的原理,以及SSRF的危害。
SSRF能做什么？當我們在進行Web滲透的時候是無法訪問目標的內部網絡的，那么這個時候就用到了SSRF漏洞，利用外網存在SSRF的Web站點可以獲取如下信息。
1.可以對外網、服務器所在內網、本地進行端口掃描，獲取一些服務的banner信息;
2.攻擊運行在內網或本地的應用程序（比如溢出）;
3.對內網Web應用進行指紋識別，通過訪問默認文件實現;
4.攻擊內外網的Web應用，主要是使用get參數就可以實現的攻擊（比如struts2，sqli等）;
5.利用file協(xié)議讀取本地文件等。

如果上述漏洞原理掌握的都差不多那么你就算入門Web安全了。

如果看了上面你還不知道具體如何學習？可參考合天網安實驗室Web安全工程師崗位培養(yǎng)路徑學習：https://www.hetianlab.com/pages/newPostSystem.jsp#&pk_campaign=maibo-wemedia