网络安全 - 一名合格的Web安全工程师之成长路径

最近经常听到公司的招聘专员反馈应聘者简历“水分”太大，尤其是技术岗位，例如Web安全工程师，明明是初级阶段的菜鸟，就敢写资深Web安全工程师；在几个项目做一些基础打杂的工作，就敢写带过团队，项目经验丰富；挖过几个低危漏洞，就称自己是精英白帽…其实，那点花架子面试官早就看出来了。

你以为在网上找一些零散的知识点学学，在面试前狂补一遍常见问题，简历做漂亮些，就能轻松找到工作了？错，大错特错！

Web安全知识体系尤为复杂，网上有一个简易的知识盲区测试，号称“扎心十问”，若有三道以上答不上，还请各位静下心来系统学习吧。

1、各种SQL注入类型：报错注入、布尔盲注、时间盲注、DNSLog盲注、二次注入、宽字节注入、还有伪静态SQL注入你都有了解吗？可否列举出更多注入方法？

2、SQL XSS、XXE、SSRF命令执行等无回显，如何测试证明漏洞存在？

3、PHP代码审计常见危险函数测试思路防御方法你了解多少？

4.下图SQL Fuzz过狗方法你会写吗？

5、XSS绕过各种方式方法，针对不同符号编码都尝试过吗？

6、各种XSS类型漏洞，各种场景XSS Bypass实战详解你知道多少呢？

7、遇到不同操作系统不同环境提权问题是否都能解决？

8、从WebShell到内网需要的种种技术和思路，你脑海里有几种？

9、主流的CMS ThinkPHP框架代码审计学过没？时不时的爆出0day，能第一时间想到如何利用吗？

10、如无类似Wappalyzer这种可以识别网站的中间件，你能否用Python随手写一个能轻易识别？

十题过后，各位感受如何，扎心了吗？

一个合格的Web安全工程师需要扎实的基础，需要系统化的学习，更需要攻防模拟演练，从而培养独立完成项目实战的能力。哪能是自学一些皮毛就可以胜任的！

如果你能掌握安全漏洞高级利用方法与防御方法，熟练使用渗透测试工具的高级使用技巧，漏洞手工利用技巧，掌握对外网渗透和内网渗透技术，并掌握PHP代码审计，python安全脚本开发等技能，那么恭喜你，你可以出徒，去面试找工作了，如果你达不到上述技能，那么还是选择线上提高班潜下心进行系统化的学习吧！

哎
又该絮叨了，的了今天我就不打广告了
对！专门搞安全的！
我等你！