安全工程師學習路線

0x00 前言

    為了更好地學習安全方面的知識，本文特此推薦一些路線，友善以後的學習，在此本文讨論了思路，但限于篇幅，故僅介紹核心思想，具體的操作，本文會給出一些參考連結，友善讀者查閱。

0x01 職位描述

1 負責安全服務項目中的實施部分，包括：漏洞掃描、滲透測試、安全基線檢查、代碼審計、應急響應等。

2 爆發高危漏洞後時進行安全漏洞的分析應急；及時清除木馬後門，加強業務系統伺服器。

3 熟悉各大安全廠商的安全産品，對公司安全産品的後端支援以及故障解決。

4 掌握辦公軟體等專業文檔編寫技巧，能夠獨立編寫安全事件報告。

5 跟蹤和分析資訊安全業界最新安全漏洞、發展趨勢和解決方案。

0x02 職位要求

1 熟悉主流的Web安全技術，包括SQL注入、XSS、CSRF、一句話木馬等安全風險。 

2 熟悉國内外主流安全産品和工具，如：Nessus、Nmap、AWVS、Burp、Appscan等。

3 熟悉windows、linux平台滲透測試、後門分析、加強。

4 至少掌握一門程式設計語言C/C++/Perl/Python/PHP/Go/Java等。

5 熟悉滲透測試的步驟、方法、流程，具有Web安全實戰經驗；

6 熟悉常見安全攻防技術，對網絡安全、系統安全、應用安全有深入的了解和自己的認識。

7 對Web安全整體有深刻了解，具備代碼審計和獨立漏洞挖掘能力。

8 具有較強的團隊意識，高度的責任感，文檔、方案能力優秀者優先。

0x03 學習路線

3.1 基本技能--基本IT操作

1. 科學的工作環境，學會使用翻牆、代理上網等。

2. 大多數情況下，滲透測試品質中技術能力占40%，報告書寫占60%，必須熟練掌握各種word、exel基本功能。

3. 浏覽器插件與技巧。

4. 網絡配置與分析。

3.2 前期安全知識的補充學習

1. 熟悉基本的安全術語和概念（SQL注入、上傳漏洞、XSS、CSRF、一句話木馬、滲透測試、應急響應、風險評估、等級保護等）。
2. 閱讀OWASP TOP 10 從漏洞分類和漏洞成因尋找安全漏洞的切入點 Link 。
3. 閱讀經典的網絡安全相關書籍 Link 。
4. 安全資訊來源：Secwiki、Freebuf、91ri、Wooyun等。

3.3 安全工具使用

1. 綜合漏洞掃描工具的安裝使用：Nessus、X-scan、Nexpose等。
2. Web漏洞掃描的工具的安裝使用和漏洞驗證：AppScan、AWVS、WebInspect等。
3. 輔助工具的安裝和使用：Nmap、Burp Suite、Sqlmap、wireshark、iptables等。
4. 輔助腳本的收集和修改：各種漏洞利用的Exploit、定制化高的掃描腳本、字典等。
5. 自家安全裝置政策部署和使用。

3.4滲透測試

1. 網上找滲透視訊看并思考其中的思路和原理，關鍵字（滲透、SQL注入視訊、檔案上傳入侵、資料庫備份、dedecms漏洞利用等等）。
2. 自己找站點/搭建測試環境進行測試，記住請隐藏好你自己。
3. 思考滲透主要分為幾個階段，每個階段需要做那些工作，例如這個：PTES滲透測試執行标準。
4. 研究SQL注入的種類、注入原理、手動注入技巧。
5. 研究檔案上傳的原理，如何進行截斷、雙重字尾欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，參照：上傳攻擊架構。
6. 研究XSS形成的原理和種類，具體學習方法可以Google/SecWiki，可以參考：XSS。
7. 研究Windows/Linux提權的方法和具體使用，可以參考：提權。
8. 可以參考: 開源滲透測試脆弱系統。
9. 滲透測試流程：《滲透測試授權書》規定滲透時間和範圍、《滲透測試免責書》描述滲透測試可能帶來的危害、規定時間實施滲透測試，輸出《滲透測試報告》，指導甲方進行漏洞修複。

3.5 安全基線檢查

1. 不同的客戶，不同的業務系統，有不同的安全基線文檔，大緻分類無外乎幾種：從賬戶、授權、更新檔、日志、備援端口和服務等層面對主機系統、中間件和資料庫進行配置[檢查]。
2. 閱讀外網流出的各家廠商的安全基線檢查内容，如：營運商-移動 Link 。
3. 掌握不同版本的配置方法和配置項，可自行安裝系統、中間件、資料庫進行實操。
4. Windows2003/2008環境下的IIS配置，特别注意配置安全和運作權限，可以參考：SecWiki-配置。
5. Linux環境下的LAMP的安全配置，主要考慮運作權限、跨目錄、檔案夾權限等，可以參考：SecWiki-配置。
6. 遠端系統加強，限制使用者名和密碼登陸，通過iptables限制端口。
7. 配置軟體Waf加強系統安全，在伺服器配置mod_security等系統，參見SecWiki-ModSecurity。
8. 通過Nessus軟體對配置環境進行安全檢測，發現未知安全威脅。

3.6 應急響應

1. 應急響應流程可分為兩類：實時性應急響應和入侵後應急響應。
2. 實時性應急響應：大多為DDOS攻擊，首要進行流量分析，若流量打滿，能做的就是反查攻擊IP，逆向滲透；若網絡裝置會話數被打滿或者主機系統的CPU、記憶體、會話數被打滿，可通過交換機做端口鏡像，使用wireshark、tcpdump進行抓包，分析流量特征，确認攻擊類型，在網絡裝置或安全裝置上做相應阻斷政策。
3. 攻擊後應急響應：通過分析惡意檔案和日志，查找入侵來源IP和入侵者所利用的漏洞，提出漏洞修補方案，并逆向追蹤入侵者。
4. 應急響應對工程師的要求較為複雜，需多熟悉不同作業系統、應用、中間件、資料庫特性，且能熟練使用程式設計語言或者vim等編輯器對較大的日志進行資料整理，還需要日常多多積累各種攻擊特征和防護政策。
5. 多閱讀網上已有的應急響應的文檔，學習逆向分析思路。

3.7代碼審計

1. 熟悉代碼審計工具的安裝使用，可參考SecWiki上的文章 Link 。
2. 根據工具報告驗證問題是否為誤報，并跟蹤分析。
3. 參看各大資訊平台、論壇、舊雜志的文章，學習白盒分析思路。
4. Exploit編寫。

3.8 安全邊界建設

1. 安全邊界檢查的工作重點可總結為：根據是各個資訊區域否需要外網接入、是否需要通路内部核心網絡等行為特點，将資訊安全系統劃分為邊界接入域、網絡基礎設施域、計算機安全域、運維管理域，并對現有網絡是否有按照該标準做相應的安全域劃分，或判斷其劃分是否合理。
2. 可參考規範：IATF Link。

3.9 安全規範

1. 除去技術細節了，尚有不少風險評估和等級保護測評的工作，直接讀規範有助對項目全局的把控。

• 國标規範有： 
  • 《資訊系統安全等級保護基本要求》 ---中國等級保護網
  • 《資訊安全風險評估規範》--
• 行業規範有： 
  • 《網銀121号文》 ；
  • 《中國銀聯移動支付技術規範》

3.10關注安全圈動态

1. 通過SecWiki浏覽每日的安全技術文章/事件。
2. 通過Weibo/twitter關注安全圈的從業人員（遇到大牛的關注或者好友果斷關注），天天抽時間刷一下。
3. 通過feedly/鮮果訂閱國内外安全技術部落格（不要僅限于國内，平時多注意積累），沒有訂閱源的可以看一下SecWiki的聚合欄目。
4. 養成習慣，每天主動送出安全技術文章連結到SecWiki進行積澱。
5. 多關注下最新漏洞清單，推薦幾個：exploit-db、CVE中文庫、Wooyun等，遇到公開的漏洞都去實踐下。
6. 關注國内國際上的安全會議的議題或者錄像，推薦SecWiki-Conference。

4 其他事項

1. 工作郵件--郵件主題、抄送對象、密送對象、正文稱呼、内容主題格式、結尾語、聯系方式等等。 2. 優先響應上級的需求--例如在微信群、QQ群、郵件、電話、短信等等方式的即時回複。 3. 平時多向上司打招呼等等==============================================

5 參考連結

1. 安全服務工程師   https://www.sec-wiki.com/skill/11 2. Web安全工程師   https://www.sec-wiki.com/skill/2 3. Web安全研發工程師   https://www.sec-wiki.com/skill/3 4. 安全運維工程師  https://www.sec-wiki.com/skill/4    5  安全測試工程師 https://www.sec-wiki.com/skill/5

歡迎大家分享更好的思路，熱切期待^^_ ^^ !!！