Web安全工程师路线

2018/6/9

0x01：写在前面

推荐安全学习网站：

https://www.sec-wiki.com/index.php

https://paper.tuisec.win/

https://www.ichunqiu.com

http://www.hetianlab.com

https://yq.aliyun.com/

http://www.mamicode.com

http://blog.csdn.net/

http://www.freebuf.com/

http://www.anquanke.com

学习HTML：w3cschool

软件下载：吾爱破解，看雪论坛

渗透测试实战：CTF学习：i春秋，实验吧，合天网安实验室，xctf，sniper oj等。

资料查找:要学会使用高级语法迅速查找内容，知乎，wiki，github，掘金，freebuf，csdn,........

视频课程：ichunqiu，安全牛课堂，豌豆学院，合天网安，慕课网，网易公开课。

0x02正文

首先说下何为web安全工程师:作为一个web安全工程师：关键字--渗透，攻防，编程，挖掘。如下：

1. 对公司网站、业务系统进行安全评估测试（黑盒、白盒测试）；

2. 对公司各类系统进行安全加固；

3. [endif]对公司安全事件进行响应，清理后门，根据日志分析攻击途径；

4. 安全技术研究，包括安全防范技术，黑客技术等；

5. 跟踪最新漏洞信息，进行业务产品的安全检查。

那什么是web服务器？

提供网上信息浏览服务当Internet上运行其他计算机中的浏览器发出的请求时，服务器才会响应。主流web服务器：Apache，IIS，Nginx，kangle，Tomcat。Web服务器不仅能够存储信息，还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。

0x03需要学习的知识：

1.计算机网络

       1)计算机网络体系结构（物理层，数据链路，网络层，传输层，应用层）

       2）tcp/ip的体系结构

       3）物理层工作原理，复用技术

       4）链路层工作原理

       5）网络层的服务（IP协议）,分类的ip地址（ABC类地址）

       6）理解ARP协议（地址解析协议），

       7）学会划分子网，可变长划分子网

       8）了解ICMP协议（tcp/ip子协议），错误侦测与回报机制（比如ping，tracert命令）

       9）了解路由器，交换机，路由网关协议（RIP，ospf）

       10）虚拟专用网VPN，网络地址转关机制NAT

       11）传输层协议（TCP协议），三次握手机制

       12）应用层协议（DNS协议，FTP，telnet，http-超文本传送协议（重点）），统一资源定位符（URL）

注：TCP/IP协议其实是两层协议，TCP属于传输层，IP协议是网络层协议，运用计算机系统知识，搭建web服务器，DHCP服务器等等..

2.操作系统基础知识。

比如进程和线程，内存管理，文件管理，死锁，主流操作系统（Windows，linux，Unix），熟悉各种系统安装，环境搭建。熟练掌握dos命令，linux下的命令。

3.熟悉http权威指南（有这本书，建议下来看看）

你需要去了解http协议，以及它如何工作的。

比如基本的：

HTTP方法、首部以及状态码　　优化代理和缓存的方法　　设计Web机器人和爬虫的策略　　Cookies、认证以及安全HTTP

4.熟悉主流的WEB前端后端技术

包括HTML、JS、CSS及一些前端框架技术;Java编程基础，掌握JavaEE基础，为检测JSP网站漏洞提供代码安全审查基础;PHP编程基础，掌握PHP网站编程基础，为检测PHP网站漏洞提供代码安全审查基础;ASP.NET编程基础，掌握ASP.NET网站编程基础，为检测Aspx网站漏洞提供代码安全审查基础;

5.数据库基础

掌握Mysql和SqlServer数据库基本SQL语句，以便在检测应用的数据库漏洞时提供Sql脚本基础;

6.Web安全

比如WEB架构基础；常见的WEB漏洞检测分析；常见的WEB漏洞加固；WEB应用业务分析；WEB应用的渗透测试流程；WEB渗透高级应用技术；

7.了解OWASP Top 10

安全案例分析，10个最重要的安全风险案例及防御措施，比如sql注入，xss，csrf等等。

8.了解一些安全产品以及安全服务技术：

比如防火墙（邮件，数据库，抗ddos，），waf，漏扫系统，vpn，网闸（GAP），堡垒机，审计系统，杀软，防毒墙，入侵检测与防御系统（IDPS），加密机，运维管理平台

了解应急响应，风险评估，渗透测试，安全加固，运维服务，软件测试

0x04补充知识：

引用安全wiki上的知识作为本文的补充：

一、Web安全相关概念

·  熟悉主流的Web安全技术，包括SQL注入、XSS、CSRF、一句话木马等安全风险； 

·  熟悉国内外主流安全产品和工具，如：Nessus、Nmap、AWVS、Burp、Appscan等；

·  熟悉windows、linux平台渗透测试、后门分析、加固；

·  至少掌握一门编程语言C/C++/Perl/Python/PHP/Go/Java等；

·  熟悉渗透测试的步骤、方法、流程，具有Web安全实战经验；

·  熟悉常见安全攻防技术，对网络安全、系统安全、应用安全有深入的理解和自己的认识；

·  对Web安全整体有深刻理解，具备代码审计和独立漏洞挖掘能力；

二、熟悉渗透相关工具

熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用。（为了学习这些工具，请做好打开很多网页的准备）

了解该类工具的用途和使用场景，先用软件名字Google/SecWiki;

下载无后门版的这些软件进行安装;（一般来说，，因为软件没给MD5码校验，可能很多软件都有后门，最好是在虚拟机里面进行相关操作）

学习并进行使用，具体教材可以在各大论坛上搜索，例如：Brup的教程、sqlmap;

能够使用并写下日志文档，做好实验记录，方便以后查看巩固。

三、渗透实战操作

掌握渗透的整个阶段并能够独立渗透小型站点。（ichunqiu 上面的渗透测试入门合适我们学习，像一些常见的CMS（dedecms，xdcms等）漏洞，Discuz漏洞，你可以参考大佬们的日志，进行学习，深入思考），当然不要随意使用工具攻击别人的网站，除非你有合法权利，所以自己要学会搭建测试环境。

传送门：https://www.ichunqiu.com/racing/54399

网上找渗透视频看并思考其中的思路和原理，关键字(渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用、暴力破解、文件包含等等);

自己找站点/搭建测试环境（建议DVWA）进行测试,反复学习，深入理解，有很多有漏洞的应用程序，我们可以用来以学习为目的练习渗透测试。下面是一些应用程序：

Damn Vulnerable Web Applications (DVWA):基于PHP, Apache以及MySQL，需要安装到本地。

OWASP WebGoat: J2EE web 应用程序，需要在本地运行。

Hack This Site:在线学习渗透测试的网站。

Testfire: 在线学习渗透测试的网站。

四、关注安全圈动态

（说实话要使用手机天天干这些事，你离大佬已经不远了）

关注安全圈的最新漏洞、安全事件与技术文章。

通过SecWiki浏览每日的安全技术文章/事件;

通过Weibo/twitter关注安全圈的从业人员(遇到大牛的关注或者好友果断关注)，天天抽时间刷一下;

通过feedly/鲜果订阅国内外安全技术博客(不要仅限于国内，平时多注意积累)，没有订阅源的可以看一下SecWiki的聚合栏目;

养成习惯，每天主动提交安全技术文章链接到SecWiki进行积淀;

多关注下最新漏洞列表，推荐几个：exploit-db、CVE中文库等，遇到公开的漏洞都去实践下。

关注国内国际上的安全会议的议题或者录像，推荐SecWiki-Conference。

我个人用的是：https://paper.tuisec.win/index.jsp

五、熟悉Windows/Kali Linux（必备知识）

学习Windows/Kali Linux基本命令、常用工具;

熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill等;

熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等;

熟悉Kali Linux系统下的常用工具，可以参考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等;

熟悉metasploit工具，可以参考《Metasploit渗透测试指南》。

六、服务器安全配置

学习服务器环境配置，并能通过思考发现配置存在的安全问题。

Windows2003/2008环境下的IIS配置，特别注意配置安全和运行权限，可以参考：SecWiki-配置;

Linux环境下（比较喜欢kali）的LAMP的安全配置，主要考虑运行权限、跨目录、文件夹权限等，可以参考：SecWiki-配置;

远程系统加固，限制用户名和口令登陆，通过iptables限制端口;

配置软件Waf加强系统安全，在服务器配置mod_security等系统，参见SecWiki-ModSecurity;

通过Nessus软件对配置环境进行安全检测，发现未知安全威胁。

[if !supportLists]七、[endif]脚本编程学习

（推荐php和python，学php是方便看后台代码，学py是要写脚本）

选择脚本语言Perl/Python/PHP/Go/Java中的一种，对常用库进行编程学习。

搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime，一些Sublime的技巧：SecWiki-Sublime;

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完;

用Python编写漏洞的exp，然后写一个简单的网络爬虫，可参见SecWiki-爬虫、视频;

PHP基本语法学习并书写一个简单的博客系统，参见《PHP与MySQL程序设计(第4版)》、视频;

熟悉MVC架构，并试着学习一个PHP框架或者Python框架(可选);

了解Bootstrap的布局或者CSS，可以参考：SecWiki-Bootstrap;

八、源码审计与漏洞分析

能独立分析脚本源码程序并发现安全问题。

熟悉源码审计的动态和静态方法，并知道如何去分析程序，参见SecWiki-审计;

从Wooyun上寻找开源程序的漏洞进行分析并试着自己分析;（不幸的是乌云关闭了，但是还是有些文档被人mark下来了）

了解Web漏洞的形成原因，然后通过关键字进行查找分析，参见SecWiki-代码审计、高级PHP应用程序漏洞审核技术;

研究Web漏洞形成原理和如何从源码层面避免该类漏洞，并整理成checklist。

九、安全体系设计与开发

能建立自己的安全体系，并能提出一些安全建议或者系统架构。

开发一些实用的安全小工具并开源，体现个人实力;

建立自己的安全体系，对公司安全有自己的一些认识和见解;

提出或者加入大型安全系统的架构或者开发;

附：本文引用了sec-wiki.com上的，写的挺好，我只是加了一点我暂时想到东西，不定期更新，欢迎各位大佬指正