如何成为一个的web安全工程师-梦想

M0L0K's Blog—关注网络安全与渗透测试~:

ch1st --代码审计,web安全:

一.做安全的三个起点:

1.可以无学历,但是绝对要比别人付出三倍的努力

2.人可以高调,但是在技术方面必须虚心

3.你可以没有女朋友,但是你必须有梦想

web-security-web-monitoring-web-filtering.jpg


二.写的了代码,懂的了原理

1.在码农与web安全工程师的之间的鸿沟就是码农一门语言行走天下,但是web安全工程师就要懂,代码,安全,运维这三方面,这也是一个创业公司愿意招的人的类型,首先例如php的注入原理,注入原理就是sql语句被恶意执行。如何防止php的sql注入,一方面是通过正则匹配,filter来判断get或者post的数据,第二方面就是预编译处理例如php的stmt->prepare直接绑定,尼玛你不是黑客么,来注入吧,攻防之间明了黑客与程序员的攻防,关于xss,尼玛你不是要储存xss么,我直接格式化输出,你打cookie?,打的出来?


2.需要学会三门编程语言,我推荐php,python,go,对于我学php的原因因为要学习php的代码审计,以及网站开发速度之快,这就是php的优势,php的缺点就是在于单线程,所以我们就要学习,第二门语言,那就是python,python 写web那叫一个搓,但是他的优势就在于多线程数据处理,这是他的优势也是黑客的首选,但是他的缺点是是虚拟机语言,这也就促使我们学习第三门语言go,我看了一个月的go语言,这种语言的神奇之处就在于控制多个cpu来进行工作,学C不如学GO,LET'S go


3.学习两门数据库语言,第一门我认为是mysql。这个数据库可以让你快速的开发,属于关系型数据库,通过学习mysql了解sql的语句和注入,我更认为它的开源吸引了我,还有一门数据库语言mongodb,这个数据库跟json绝对是绝配,作为安全工程师这两个数据库算是入门工具,我是不建议新手涉及hadoop,然后再涉猎access,mssql,postgresql,oracle,以及各种注入手法


4.必须懂汇编语言这样你做免杀的时候就会方便多了,至今为自己不会逆向而悲哀,但是免杀我认为我当初做的还可以,但是现在杀毒软件都是基于虚拟机运行,免杀的时代已经过去,但是懂汇编就相当于懂底层


5.你可以不懂window但是你必须懂linux,你可以学习debiian跟centos来理解操作系统,关注操作系统的exp,以及用操作系统来完成你想要的任务,例如搭建lamp,lnnp以及正确安全的配置php权限,apache以及nginx的权限,禁用php函数,以及mysql禁止外联以及ssh禁止多次爆破。。等等各种安全方法,例如配置一个网站目录除上传目录给777前线其他的全是755以及上传的文件设置644权限,尼玛你不是黑客么,你执行个试试,还有在php配置文件限制访问目录,文件卡的死死的,在入侵与反入侵中成长


6熟悉各种黑客工具的使用,以及自己开发工具,涉猎必须要广,但是围绕的点就一个那就是web安全,就像一把剑一样刺痛别人的心扉,一瞬间毙命,web安全工程师也就是白帽子,但是都是追求权限的极限,两者的区别是授权,也就是做安全是个很苦逼的事情


三.忘记所有,不断学习


学习多门语言就在于忘记自己学过的所有语言,这就是最高境界,做安全的最高境界就是不断学习,忘记一切


评论
热度(11)
  1. Dinarybuilding 转载了此文字
    (转)
  2. 千秋雪building 转载了此文字
  3. buildingch1st- web安全,wifi攻防,代码审计 转载了此文字
  4. 多米良品ch1st- web安全,wifi攻防,代码审计 转载了此文字
    略有所悟,谢谢
 

© 千秋雪 | Powered by LOFTER