HI，大家好，我是盾盾，欢迎关注我，跟我一起成长

有人的地方就有江湖，有互联网安全的地方，就必然有Web安全工程师的身影。

 

想从其他行业转行到安全工程师的人，无外乎以下几个原因：

1、现在工资太低

2、工作没有前景

3、对现在的工作没有热情

4、软件开发、编程太难

5、对web安全工程师很感兴趣

众所周知，这两年，网络安全行业真的很热，说是网红行业一点不为过。

但是网络安全行业的岗位很多，比如信息安全工程师、渗透测试工程师、应急响应、逆向安全、安全架构师、恶意软件分析师等等，然而为什么这么多人在为初学者提供入行推荐的时候，都会优先建议先学Web安全？

盾叔认为，大家之所以推荐Web安全，主要因为两个原因。

一方面，这几年互联网时代的大爆发，大量的信息泄露事件暴露在大众视野，导致黑客攻防、渗透测试越来越多的被大家熟知，很大一部分安全从业人员都是从对黑客技术感兴趣而开启安全职业生涯的。

然而，虽然渗透测试工程师、CTF、红蓝攻防听着很酷，但是技术门槛也确实很高。

而Web安全是所有安全技术的基础，相对来说，Web安全是最简单的、最好入门的首选项。事实上，业内之中的技术大佬大多数都是从 web 安全学起的。

另一方面， 在Web安全的学习中，会涉及HTML/JAVA/PHP/PYTHON等常用语言的基本使用，即使没有代码基础的小白，也可以听得懂，学的会。

就目前来说，相对其他安全方向，Web安全是发展时间最长，也是最成熟的，学习起来相对简单。

同时Web安全的就业面相对来说更广，不夸张的说，网络安全行业里，WEB安全方向的人才需求，相对来说绝对占大头。

另外，从Web安全的学习过程中，可以锻炼我们的安全思维或极客思维，让我们有余力去思考安全问题引申的含义。

任何安全问题都是在设计之初没有考虑到的、或者觉得没有必要做的事情。

举个例子：越权的问题就是在设计的时候没有考虑权限问题，认为没有提供操作的按钮就没人做额外的操作。

那么，Web安全学什么？怎么学？

确实，Web安全的范围很大，哪些先学，哪些后学，如果没有系统的路线会降低大家效率，对于刚入门的同学们来说简直就是“噩梦”。

盾叔这里整理一些学习Web安全的知识点，带你 “入门” Web安全。

01 基础语言

做web安全的人如果不懂开发，不会语言，也就是所谓的脚本小子了，是很可怕的，所以，在安全行业中，你第一个可能遇到的瓶颈，那就是语言。如果你有代码知识，那太棒了，转行Web安全对你来说，将会十分轻松。

在这里，我们希望大家从刚开始就打好基础，学好语言，你学的越好，你遇到的瓶颈也就越高。

常见语言：HTML、CSS、JS、JAVA、PHP、SQL、Python、Ruby

以上这些语言都涉及到开发和脚本编写，试想一下，在你未来做代码审计和脚本编写的时候，如果你已经掌握这些语言，岂不是美滋滋。

02 基础协议

因为是web安全，所以HTTP协议和TCP/IP协议是需要重点要学习的，这也将是决定你的瓶颈高低的一个重要因素。

03 常见漏洞和工具

常见工具：AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan……（要自己实操一下这些工具，才会对工具的使用、功能更加了解）

常见漏洞：SQL注入 、XSS攻击、CSRF漏洞、文件上传绕过、文件包含漏洞、任意代码执行、业务逻辑漏洞……

这些是必须要学的，而且还需要精通，漏洞和工具最好可以自己在靶场实践一下。

04 服务器安全配置

首先要熟悉Linux下的常用命令，例如：ifconfig，ls，cp，mv，vi，wget，service，sudo等；

熟悉Windows下的常用的cmd命令，例如：ipconfig，nslookup，tracert，net，tasklist等；

然后学习服务器环境配置，并能通过思考发现配置存在的安全问题。例如：

Windows环境下的IIS配置，特别注意配置安全和运行权限； Linux环境下的LAMP的安全配置，主要考虑运行权限、跨目录、文件夹权限等； 远程系统加固，限制用户名和口令登陆，通过iptables限制端口； 配置软件Waf加强系统安全，在服务器配置mod_security等系统通过。

如果你完全熟练掌握了以上知识点，那么，恭喜你，你已经成功入门Web安全。即使是网安萌新，也完全可以给自己进入网安行业打下坚实基础啦。

但切记，网安这个行业，速成是不可能的，想学完够用一辈子，更是不可能哒！以上内容只是帮助你快速入门这个行业，谋取一份Web安全的工作。

网安行业是一个与时俱进的行业，安全漏洞、病毒在不断更新，相对应的安全技术也需要不断学习、精进。