截至2018年底，中国互联网用户数已达到80200万，位居世界第一。这个虚拟的土壤已经涉及中国生活的方方面面。互联网安全不再是角落里隐藏的需求，而是8亿中国人的安全战。
极端发达的互联网的开放性和安全性漏洞带来的风险无处不在。黑客攻击更加猖獗，更有组织。作为Linux操作和维护的兄弟，我也被原来的“受害者”误打了。误入网络安全领域。
在2015年初，我一直在学习Linux。经过一点基础，我下载了一个CMS来建立一个博客。建立博客就足够了。这还不够好。几天后，我发现博客网站无法正常打开，刷新它，一个框出现“被xxx联系QQxxxxxxx”攻击。
那时，编写代码的标准是我可以感谢你运行它。完全没有概念。我登录到ftp，发现我的主页有一些奇怪的文件。我被挂断了
然后我真的添加了这个QQ，通过这个小兄弟的动态看到了一个着名的Web安全社区，并开始关注Web安全。
在安全行业，我已经爬了三年多了。我今天碰到了它。我真的不希望新人尝试再试一次。以下是我在过去几年分享弟弟经历的经历。
开始使用Web Security需要哪些基本技能？
想要打开网站窗口并获取cookie吗？ （JavaScript的基本语法是否熟悉？）
想获得网站的用户数据？ （MySQL，MSSQL，Oracle，PostgrSQL基本操作命令，你要了解吗？）
想通过命令执行漏洞获取服务器信息吗？ （Linux命令，目录文件信息有心吗？）
想知道你的网站被黑了吗？ （webshell实现原理不禁让人知道？）
...
知识方面，决定看看攻击面有多广泛。知识链决定了杀戮链的发布深度。
合格的Web安全测试人员应具备以下技能：
A.工具使用能力
工具让每个人都有机会发现漏洞，但那些真正掌握工具的人，而不是他们掌握的工具，可以成为优秀的白帽子。工作人员必须首先磨练他们的工具，良好的安全测试工具可以帮助白帽快速有效地找到可能的漏洞，并协助Web安全测试人员完成漏洞利用（exp）和漏洞证书（poc）。 。因此，作为Web安全测试人员，掌握各种安全测试软件是一项基本技能。目前常用的Web安全测试工具有：burstite，sqlmap，wireshark，fiddler，avws等.Burpsuite和sqlmap是漏洞挖掘过程中使用最多，效率最高的工件。
B.编程能力
只有当漏洞的原则明确时，你才能自己做。只有具备编写工具的能力，您才能从工具中解脱出来。
此外，尽管CC ++ JAVA编程语言可以在Web安全测试中编写许多强大的工具（例如业界最着名的工具，Burpsuite是用Java编写的），这些语言对初学者来说并不友好。这需要花费大量的时间和精力才能开始，因此我不建议新手在开始时学习这些语言。
我建议你学习Python，因为Python代码相对简单，学习困难，Python程序很小，占用的系统资源少，而且便于携带。
对于Web安全人员来说，Python就像普罗米修斯的火焰，它具有无限的可能性。
C.代码审计功能
供应商现在注重安全性，因此很多时候只有黑盒测试无法实现全方位的安全评估，这次我们需要具备一定的代码审核能力才能对白盒测试项目。通过分析源代码，我们将针对一些可能的漏洞进行有针对性的审核，以实现高效，准确的测试。
此外，许多制造商的生产环境使用一些开源服务。在利用漏洞的过程中遇到瓶颈时，审核这些开源服务通常是一个突破。
D.见解
Web安全是一项需要不断学习的技术。 Web安全测试人员必须跟上时代的步伐，并密切关注最新的漏洞发展。
很多时候，一些最有影响力的漏洞都是从国外披露出来的，因此我们也应该能够随时访问全球网络安全信息（科学在线和英语基础）。
E.守法
任何未经授权的渗透测试都可构成犯罪。作为网络安全测试人员，您必须知道如何保护自己的法律，同时确保您不违反法律。
F.报告文件写作能力
了解如何编写完整有效的漏洞报告可以节省您和制造商的时间，同时提高双方的效率。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 5G即将到来，但你必须支付这些价格！

• 分享到：