最近經常聽到公司的招聘專員回報應聘者履歷“水分”太大,尤其是技術崗位,例如Web安全工程師,明明是初級階段的菜鳥,就敢寫資深Web安全工程師;在幾個項目做一些基礎打雜的工作,就敢寫帶過團隊,項目經驗豐富;挖過幾個低危漏洞,就稱自己是精英白帽…其實,那點花架子面試官早就看出來了。
你以為在網上找一些零散的知識點學學,在面試前狂補一遍常見問題,履歷做漂亮些,就能輕松找到工作了?錯,大錯特錯!
Web安全知識體系尤為複雜,網上有一個簡易的知識盲區測試,号稱“紮心十問”,若有三道以上答不上,還請各位靜下心來系統學習吧。
1、各種SQL注入類型:報錯注入、布爾盲注、時間盲注、DNSLog盲注、二次注入、寬位元組注入、還有僞靜态SQL注入你都有了解嗎?可否列舉出更多注入方法?
2、SQL XSS、XXE、SSRF指令執行等無回顯,如何測試證明漏洞存在?
3、PHP代碼審計常見危險函數測試思路防禦方法你了解多少?
4.下圖SQL Fuzz過狗方法你會寫嗎?
5、XSS繞過各種方式方法,針對不同符号編碼都嘗試過嗎?
6、各種XSS類型漏洞,各種場景XSS Bypass實戰詳解你知道多少呢?
7、遇到不同作業系統不同環境提權問題是否都能解決?
8、從WebShell到内網需要的種種技術和思路,你腦海裡有幾種?
9、主流的CMS ThinkPHP架構代碼審計學過沒?時不時的爆出0day,能第一時間想到如何利用嗎?
10、如無類似Wappalyzer這種可以識别網站的中間件,你能否用Python随手寫一個能輕易識别?
十題過後,各位感受如何,紮心了嗎?
一個合格的Web安全工程師需要紮實的基礎,需要系統化的學習,更需要攻防模拟演練,進而培養獨立完成項目實戰的能力。哪能是自學一些皮毛就可以勝任的!
如果你能掌握安全漏洞進階利用方法與防禦方法,熟練使用滲透測試工具的進階使用技巧,漏洞手工利用技巧,掌握對外網滲透和内網滲透技術,并掌握PHP代碼審計,python安全腳本開發等技能,那麼恭喜你,你可以出徒,去面試找工作了,如果你達不到上述技能,那麼還是選擇線上提高班潛下心進行系統化的學習吧!
哎
又該絮叨了,的了今天我就不打廣告了
對!專門搞安全的!
我等你!