现在web安全行业的培训比较多，而培训出来的人已经初步具备了挖掘漏洞的能力，这比野路子学习web安全的人已经具有了优势。但是野路子学习web安全的人，因为是自学成才，所以自学能力比大部分培训的人强，知识面也更广。总的来说，web安全这个行业还是需要很多人才的，但现在更需要具备二进制安全研究能力的web安全人员。

欢迎关注我，一个程序员老司机，和你分享编程、运营、需求等等经验和趣事。

恰好我就是一个WEB程序员，现在分享一些这个行业的信息给你，希望能够帮助到你抉择。

很少有公司请专门的安全工程师

在WEB这个行业很特殊，目前至少大部分中小互联网公司都不会考虑提供一个专门的关于安全的岗位，为什么会出现这种现象，因为安全这块需要的知识面非常多，大部分服务器都是LINUX的，所以需要了解Linux系统方面的知识、网络基础方面、TCP协议底层方面、各种工具原理方面等等，就拿一个非常著名的DDOS攻击，估计都让很多人都疼。

将安全委托给第三方

我们购买阿里云、腾讯云的服务器时，会发现这些服务器都会提供各种各样的安全保障，这也得到了很多企业的认可，毕竟大公司嘛，做安全肯定不是一个人，肯定是很多很多人在做，这或许是很多互联网公司不设这个岗位的最大原因。

一些后端程序员身兼安全员

除了上面的两个原因，还有一个原因就是，很多后端程序员在安全方面还是有很多解决办法的，所以他们除了充当程序员，也充当安全员。

任何一个事情都有两面性，互联网最初诞生的时候是安全的，但是伴随着黑客的出现，互联网变得越来越不安全。同样的两面性，黑客也有好有坏，好的黑客叫白帽子，坏的黑客叫黑帽子，也有介于二者中间的灰帽黑客。随着Web技术发展越来越成熟，而非Web服务（如Windows操作系统）越来越少的暴露在互联网上，现在互联网安全主要指的是Web安全。

既然要讲Web安全，首先介绍什么是安全，安全的本质是什么？引用《白帽子讲安全》里对安全的定义：安全问题的本质就是信任问题。举例来说，自行车的车锁，我们认为是安全的，因为我们认为自行车锁的制造商是不会背着我们留有钥匙，如果这个信任都没有的话，那么这个自行车就是不安全的。

废话说完了咱开始正题。

一、零基础，从哪点学起？

本人至今都不推荐纯零基础的小白开始直接看Web方向的书和资料，其难度仿佛你让一个三岁小孩去自己申请斯坦福大学商学院一样。

首先你要提前学习好Web安全需要用到的语言，先学会走在学会跑，这里就不多说了。

成功掌握语言后咱开始正式学习Web安全，咱用思维导图的方式展现各级别需要学习的内容（分的很细很全面），咱们以拿到中国信息安全认证中心（ISCCC）的WEB证书为目标，内容分为“初级+中级”“高级”两个部分（建议下载原图后放大查看），希望对你有所帮助。

内容看起来很多很庞大，其实是什么事细分后都是这样，仿佛你点个赞的动作需要手指、神经、大脑、肌肉等等组织内细胞一起工作后的结果（疯狂明示）。

二、就业前景怎么样

首先思考这个问题的前提是已经学会“初级+中级”所有内容，然后我们看看国内某知名招聘网站上对公司规模“10000人以上”对“WEB安全”岗位薪资默认排序（大部分招聘均初中级，高级几乎都是面议、跳槽、挖人）。可以说你就能拿到国家颁发的资质证书后，国内知名互联网公司随你选，世界互联网百强也也可尝试。

目前赛虎学院所了解的朋友or学生，零基础纯小白学完初级后薪资在6-9K，中级薪资是10-15K，中级三年以上的朋友们是20-40K之间。高级的话咱都是抱大腿！他们的薪资在平台网站上都是“面议”。

在和某大佬朋友们聚会酒后讨论起压力问题时听大佬说过“我年薪百万的压力不比他们年薪十万的小”。

三、学习的方法

第一种：完全自学型

能采用自学方法成材的人都是“狼人”，除了每天耗费大量的时间精力来看书、查资料、做实验、问大佬以外，还需要自己摸索着前进，最重要的是接近变态的自律能力和自我驱动能力！

因为非计算机专业的人，最后靠自学成为专业程序员的，往往是因为确实对这事儿感兴趣有热情。而且他们中不少人视野更宽、兴趣更广泛，因此更有可能取得较高成就。例如全球几乎都认识的四位大佬，他们都是自学成才。

• Apple——Steve Jobs
• Facebook——Mark Elliot Zuckerberg
• Twitter——Jack Dorsey
• Microsoft——Bill Gates

相信很多人都尝试过自学方法，效率低下和无法坚持下来是两大放弃的主要原因，其难度远远超出考研的难度。想想也是，如果随随便便自学成功的话，那网上的培训机构还有什么存在的意义。

第二种：花钱报班型

这种方法可以说是“走捷径”，因为授课的老师几乎不会讲考试以外的知识点，完全为了应对考试而上课的课程缺少灵魂。可以说带进门可以，发展什么样要看你以后的自学能力了，目前市场上很少有保证就业的课程班，有保证就业的班级也是为你推荐到某公司企业，试用期就看你的表现了（都是这样的，不过大多数都留下来签正式了）。

说道这里咱就要推荐一下咱家的课程了，虽说叫“Web安全工程师·训练营”但是咱是就业班，目前是第二次开课，第一批课程的学员们100%入职各大企业（启明星辰、360、瑞星等）！

而且咱赛虎学院的课程很直接，明确告诉你在赛虎学院你能学到什么，不是让你学完就自生自灭了！咱的目的是让学生们拿到中认的证书和国测的证书！不信各位看看下图~

有想要学习Web安全的同学们最怕的就是没保障、没学到实用知识、没官方认证的证书和资质，这些事在赛虎学院全部能得到解决！

比较狭窄的一个方向啊

IT男日常分享实用技术，了解技术原理，喜欢的请关注一下

作为网络安全从业人员，从本人这两年所见来看，这一行业还是十分有前景的，因为这一行业需要的知识面是很多人无法达到的，需要你自己去努力学习。

其实大学时期真的很重要，现在你如果能意识到，就请专心的去学习，去积累，如果你能专心的坚持下去，我敢说你出了学校，可以挑自己喜欢的工作环境和公司，前提是你一定的坚持的积累学习，另外要至少要掌握好一门程序语言，目前来看较多的是python、Java，另外shell也最好学习一下，还有就是各个系统的日志要能够分析。能力有限暂时能够想到的就这些，当初我没有坚持下去，没有在这条路上走在前面，现在工作的其实有点无力、、、希望你能坚持下去，如果需要相关学习资料的可以私信我，我这边相关的资料可以送给你，加油！坚定自己的目标！

习大大出席会议并发表重要讲话：

信息化为中华民族带来了千载难逢的机遇。我们必须敏锐抓住信息化发展的历史机遇，加强网上正面宣传，维护网络安全，推动信息领域核心技术突破，发挥信息化对经济社会发展的引领作用，加强网信领域军民融合，主动参与网络空间国际治理进程，自主创新推进网络强国建设，为决胜全面建成小康社会、夺取新时代中国特色社会主义伟大胜利、实现中华民族伟大复兴的中国梦作出新的贡献。

Web安全的范围实在太大，哪些先学，哪些后学,如果没有系统的路线会降低大家效率，对于刚入门的同学们来说简直就是“噩梦”。所以，这篇类似学习路线的文章，希望可以帮助刚入门的萌新们少走弯路。（文末附学习资料及工具领取）

首先我们来看看企业对Web安全工程师的岗位招聘需求是什么？

1职位描述

• 对公司各类系统进行安全加固；
• 对公司网站、业务系统进行安全评估测试（黑盒、白盒测试）
• 对公司安全事件进行响应、清理后门、根据日志分析攻击途径
• 安全技术研究，包括安全防范技术、黑客技术等；
• 跟踪最新漏洞信息，进行业务产品的安全检查。

2岗位要求

• 熟悉Web渗透测试方法和攻防技术，包括SQL注入、XSS跨站、CSRF伪造请求、命令执行等OWSP TOP10 安全漏洞与防御；
• 熟悉Linux、Windows不同平台的渗透测试，对网络安全、系统安全、应用安全有深入理解和自己的认识；
• 熟悉国内外安全工具，包括Kali、Linux、Metasploit、Nessus、Namp、AWVS、Burp等；
• 对Web安全整体有深刻理解，有一定漏洞分析和挖掘能力；

根据岗位技能需求，再来制定我们的学习路径，如下：

一、Web安全学习路径

01 HTTP基础

只有搞明白Web是什么，我们才能对Web安全进行深入研究，所以你必须了解HTTP，了解了HTTP，你就会明白安全术语的“输入输出”。黑客通过输入提交“特殊数据”，特殊数据在数据流的每个层处理，如果某个层没处理好，在输出的时候，就会出现相应层的安全问题。关于HTTP，你必须要弄明白以下知识：

HTTP/HTTPS特点、工作流程

HTTP协议（请求篇、响应篇）

了解HTML、Javascript

Get/Post区别

Cookie/Session是什么？

02 了解如下专业术语的意思

Webshell
菜刀
0day
SQL注入
上传漏洞
XSS
CSRF
一句话木马

......

03 专业黑客工具使用

熟悉如何渗透测试安全工具，掌握这些工具能大大提高你在工作的中的效率。

Vmware安装

Windows/kali虚拟机安装

Phpstudy、LAMP环境搭建漏洞靶场

Java、Python环境安装

子域名工具 Sublist3r

Sqlmap
Burpsuite
Nmap
W3af
Nessus
Appscan
AWVS

04 XSS

要研究 XSS 首先了解同源策略 ，Javascript 也要好好学习一下 ，以及HTML实体 HTML实体的10 或16进制还有Javascript 的8进制和16进制编码，最终掌握以下几种类型的XSS：

反射型 XSS：可用于钓鱼、引流、配合其他漏洞，如 CSRF 等。

存储型 XSS：攻击范围广，流量传播大，可配合其他漏洞。

DOM 型 XSS：配合，长度大小不受限制 。

05 SQL注入

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。你需要了解以下知识：

SQL 注入漏洞原理
SQL 注入漏洞对于数据安全的影响
SQL 注入漏洞的方法
常见数据库的 SQL 查询语法
MSSQL,MYSQL,ORACLE 数据库的注入方法
SQL 注入漏洞的类型：数字型注入 、字符型注入、搜索注入 、盲注(sleep注入) 、Sqlmap使用、宽字节注入

SQL 注入漏洞修复和防范方法
一些 SQL 注入漏洞检测工具的使用方法

06 文件上传漏洞

了解下开源编辑器上传都有哪些漏洞，如何绕过系统检测上传一句话木马、WAF如何查杀Webshell，你必须要掌握的一些技能点：

1.客户端检测绕过（JS 检测）

2.服务器检测绕过（目录路径检测）

3.黑名单检测

4.危险解析绕过攻击

5..htaccess 文件

6.解析调用/漏洞绕过

7.白名单检测

8.解析调用/漏洞绕过

9.服务端检测绕过-文件内容检测

10.Apache 解析漏洞

11.IIS 解析漏洞

12.Nginx 解析漏洞

07 文件包含漏洞

去学习下 include() include_once() require() require_once() fopen() readfile() 这些php函数是如何产生文件包含漏洞, 本地包含与远程包含的区别，以及利用文件包含时的一些技巧如：截断 /伪url/超长字符截断等 。

08 命令执行漏洞

PHP代码中常见的代码执行函数有：
eval(), assert(), preg_replace(), call_user_func(), call_user_func_array(),create_function(), array_map()等。
了解这些函数的作用然后些搞清楚如何造成的代码执行漏洞。

09 CSRF 跨站点请求

为什么会造成CSRF，GET型与POST型CSRF 的区别, 如何防御使用 Token防止CSRF？

010 逻辑漏洞

了解以下几类逻辑漏洞原理、危害及学会利用这几类漏洞：

信息轰炸、支付逻辑漏洞、任意密码修改、越权访问、条件竞争、任意注册、任意登录、顺序执行缺陷、URL跳转漏洞.

011 XEE（XML外部实体注入）

当允许XML引入外部实体时，通过构造恶意内容，可以导致文件读取、命令执行、内网探测等危害。

012 SSRF

了解SSRF的原理,以及SSRF的危害。
SSRF能做什么？当我们在进行Web渗透的时候是无法访问目标的内部网络的，那么这个时候就用到了SSRF漏洞，利用外网存在SSRF的Web站点可以获取如下信息。
1.可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息;
2.攻击运行在内网或本地的应用程序（比如溢出）;
3.对内网Web应用进行指纹识别，通过访问默认文件实现;
4.攻击内外网的Web应用，主要是使用get参数就可以实现的攻击（比如struts2，sqli等）;
5.利用file协议读取本地文件等。

如果上述漏洞原理掌握的都差不多那么你就算入门Web安全了。

如果看了上面你还不知道具体如何学习？可参考合天网安实验室Web安全工程师岗位培养路径学习：https://www.hetianlab.com/pages/newPostSystem.jsp#&pk_campaign=maibo-wemedia