準(zhǔn)備從事web安全這個行業(yè)，我淺談自己對web安全工程師的理解。

按照web安全工程師的崗位職責(zé)分為了以下幾個部分：

1.熟悉Web常見的安全測試，如客戶端的XSS，CSRF等，服務(wù)器端的SQL注入、上傳文件漏洞等

2.了解OWASP TOP 10的常見風(fēng)險(xiǎn)，并且能夠進(jìn)行修復(fù)

3.能夠?qū)eb服務(wù)器做一些安全配置，加強(qiáng)安全防護(hù)

4.修補(bǔ)最新出現(xiàn)的漏洞

然而對于這些職責(zé)主要是偏向于web安全的滲透測試類，它還可以分為web安全研究、web安全開發(fā)、web安全維護(hù)。

針對于如何進(jìn)行web安全的學(xué)習(xí)，分成了以下的這些方向：

1.Web服務(wù)器部署搭建，如SQL server、nginx、Apache、IIS7

2.web服務(wù)器穩(wěn)定運(yùn)行

3.web應(yīng)用攻擊，如web應(yīng)用漏洞應(yīng)用和中間件漏洞、操作系統(tǒng)漏洞、整體威脅分析

4.web安全防御，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用服務(wù)

5.web安全設(shè)計(jì)，如web設(shè)計(jì)、web開發(fā)和第三方服務(wù)

6.源代碼安全，如針對于源代碼的審計(jì)，以及編寫poc

7.web安全加固修復(fù)，如編寫查閱測試報(bào)告、系統(tǒng)補(bǔ)丁設(shè)計(jì)方法、配置及完善程序腳本

這都是對web安全工程師如何進(jìn)行系統(tǒng)學(xué)習(xí)的方向吧。

除此之外，還有就是對于我們自身要做一些學(xué)習(xí)，如每天一文、每天一推、每天一事、每天一人。詳細(xì)的如下：

每天一文指自己對于學(xué)習(xí)的知識，實(shí)戰(zhàn)經(jīng)歷寫下來，轉(zhuǎn)發(fā)到朋友圈啊，提高自己的水平

每天一推指在各大安全社區(qū)等去查看交流分享帖，掌握前沿技術(shù)或知識，并進(jìn)行推廣

每天一事指當(dāng)自己能夠做一些安全分析的時候，將這些想法寫下來，做交流分享

每天一人指去各大安全社區(qū)去關(guān)注一些安全圈子的人，與他們交流互動分享