同学,恭喜你,经过几年的学习与奋斗,你即将成为一名Web安全工程师,幸运而不幸。
幸运的是,这是一个朝阳行业,正在飞速发展,行业里机会很多,国家政策大力支持。相信选择了这个行业的你,骨子里有一种『极客基因』,拥有着破坏力巨大的黑客技术,却又心向光明。在这个网络愈加重要的时代,我们在努力把我们的网络安全建设得更好,你将成为我们新的一份子。
不幸的是,这个行业刚刚起步,并不是所有企业都需要安全工程师,好的岗位竞争激烈。而作为安全从业者更是有着一般的计算机从业人员所没有的风险,需要步步小心,可能某些行为会游走在法律边缘,稍有不慎便会越界,这不是在危言耸听。
各位同学有的是安全专业出身,有的则是传统计算机专业或其他专业,而在走出校园前,大家学到的更多的是基础知识,很少会有老师提及安全行业工业界的形式。下面,我会就Web安全目前的形式以及如何提升自己的竞争力两个方面进行详细的介绍,一文使你快速了解整个行业。

一、Web安全的形式

1x01 行业形式

计算机圈的职业向来火爆,如果问如何看哪个方向是目前比较火的——看各大培训机构最新开设的培训班准没错。是的,Web安全是目前较为火热的行业之一,各大培训机构也纷纷开设相关的课程。
目前,对于网络安全国家是非常重视的,2017年还专门出台了《中华人民共和国网络安全法》,安全不再是『黑客』的专属词,开始逐渐走向正规化。国家推动所导致的直接结果为:

  • 市场对于安全人才需求激增,安全相关的岗位明显增加
  • 各大CTF层出不穷,甚至有很多都是由官方机构牵头主办的
  • HW行动常规化,良性循环导致需要越来越多的人进入这个行业

总体而言,安全行业整体发展很好,对于不了解安全行业而想多找找机会的同学,欢迎大家成为我们的一员。

1x02 就业前景

雷军曾说过,『站在风口上,猪都能飞』,选对行业是一个非常重要的事。一个非常现实的问题就是:有些行业的上限就很低,985应届生的薪资甚至比不上一些身在明星行业的双非学校应届生。
在众多计算机相关的行业中,安全确实是比不上算法的,但能和开发55开,在运维与测试之上。在北京,Web安全行业的应届毕业生薪资普遍在8000-15000,本科生和硕士的区别不是很明显。
目前行业急需更多人才,每年很多信息安全专业毕业生都没有进入安全行业,而是成为了程序员。就现在来说,Web安全的行业红利仍在,目前入行仍可分得一杯羹(去大厂容易、晋升容易)。

1x03 职业风险

『在互联网上肆意的扫描,寻找漏洞,赚取漏洞赏金。。』安全圈一直以来就是这么发展过来的。
但自从《网络安全法》正式发布后,互联网漏洞就成为了一个非常敏感的东西,本就介于灰色地带的它被彻底划分到违法的一侧。
任何未授权的测试都不要进行,不然可能面临刑事责任。即使是有授权的测试,也不要去大批量获取数据,证明有危害即可。

二、提升自己的竞争力

相信很多同学都有过这样的感受,那就是你已经到达了瓶颈,不知道该怎么提升自己了——这也是我曾经所拥有过的困惑。
这是因为安全行业现在是个朝阳行业,新人多,社区整体的倾向是偏向于萌新的,因此多是初级教程,偶尔能看到一两篇稍深入的文章,却不成体系,很难再想刚开始入门时那样快速进步了。
技术总是不进则退的,本篇文章的重点便是这一节,干货满满,教你如何自成体系,从三大方面吸收经验平衡发展自己,在进入行业的同时提升自己的实力。

2x01 技术实力

技术人员始终是以技术为核心的,在工作中,我们不仅要完成好本职工作,更要关注安全社区的动态、安全知识的发展,不断的充实自己。否则,如果工作挑战性不足的话,很容易就会止步不前。
10年前,绝大多数网站都存在SQL注入漏洞与XSS漏洞,那是个阿D明小子一把梭的年代。就算那个年代的黑客大神来到10年后的今天,相信他也难以找到一份Web安全相关的工作,这便是时代进步所导致的技术淘汰性。
发展技术实力可以从以下四方面入手:
图片说明

基础漏洞

首先,我们要做到基础漏洞了然于胸,且每个漏洞都在实战中挖到过对应的实例。如OWASP TOP 10相信大家作为一个合格的安全工程师都不会感到陌生,但对于一个漏洞不能浮于表面,我们可以进行以下的『灵魂拷问法』来找到自己的不足:

  • 你能否从原理上解释此漏洞为何会出现(所有语言层面),而不是只用代码举例?
  • 业界目前对于此漏洞最好的修复方式?
  • 此漏洞在实战中所