幸运的是,这是一个朝阳行业,正在飞速发展,行业里机会很多,国家政策大力支持。相信选择了这个行业的你,骨子里有一种『极客基因』,拥有着破坏力巨大的黑客技术,却又心向光明。在这个网络愈加重要的时代,我们在努力把我们的网络安全建设得更好,你将成为我们新的一份子。
各位同学有的是安全专业出身,有的则是传统计算机专业或其他专业,而在走出校园前,大家学到的更多的是基础知识,很少会有老师提及安全行业工业界的形式。下面,我会就Web安全目前的形式以及如何提升自己的竞争力两个方面进行详细的介绍,一文使你快速了解整个行业。
一、Web安全的形式
1x01 行业形式
目前,对于网络安全国家是非常重视的,2017年还专门出台了《中华人民共和国网络安全法》,安全不再是『黑客』的专属词,开始逐渐走向正规化。国家推动所导致的直接结果为:
-
市场对于安全人才需求激增,安全相关的岗位明显增加 -
各大CTF层出不穷,甚至有很多都是由官方机构牵头主办的 -
HW行动常规化,良性循环导致需要越来越多的人进入这个行业
1x02 就业前景
在众多计算机相关的行业中,安全确实是比不上算法的,但能和开发55开,在运维与测试之上。在北京,Web安全行业的应届毕业生薪资普遍在8000-15000,本科生和硕士的区别不是很明显。
目前行业急需更多人才,每年很多信息安全专业毕业生都没有进入安全行业,而是成为了程序员。就现在来说,Web安全的行业红利仍在,目前入行仍可分得一杯羹(去大厂容易、晋升容易)。
1x03 职业风险
但自从《网络安全法》正式发布后,互联网漏洞就成为了一个非常敏感的东西,本就介于灰色地带的它被彻底划分到违法的一侧。
任何未授权的测试都不要进行,不然可能面临刑事责任。即使是有授权的测试,也不要去大批量获取数据,证明有危害即可。
二、提升自己的竞争力
这是因为安全行业现在是个朝阳行业,新人多,社区整体的倾向是偏向于萌新的,因此多是初级教程,偶尔能看到一两篇稍深入的文章,却不成体系,很难再想刚开始入门时那样快速进步了。
技术总是不进则退的,本篇文章的重点便是这一节,干货满满,教你如何自成体系,从三大方面吸收经验平衡发展自己,在进入行业的同时提升自己的实力。
2x01 技术实力
10年前,绝大多数网站都存在SQL注入漏洞与XSS漏洞,那是个阿D明小子一把梭的年代。就算那个年代的黑客大神来到10年后的今天,相信他也难以找到一份Web安全相关的工作,这便是时代进步所导致的技术淘汰性。
发展技术实力可以从以下四方面入手:
基础漏洞
-
你能否从原理上解释此漏洞为何会出现(所有语言层面),而不是只用代码举例? -
业界目前对于此漏洞最好的修复方式? -
此漏洞在实战中所能造成的最大危害(可以分情况讨论)? -
在日常渗透中,此漏洞最可能出现在哪些业务场景? -
你是否知道关于此漏洞的奇技淫巧(bypass、深度利用方式、在不同语言中的表现等)? -
此漏洞在CTF中此漏洞都曾出现过哪些tips?
主流语言安全
如选择深入研究Java安全方向,则需要从一个开发者的角度开始,对JVM、Java开发生态、Java开发习惯等都有所了解,并且具有操作系统、数据库等扎实的计算机基础。深究某个领域不能只看漏洞的表面,一定要从语言的习惯,生态的发展切入。这也是我常强调的,开发与安全不分家的原因,如果没有开发基础,你就只能玩玩别人挖出来的漏洞而已。
高影响力漏洞
调试漏洞的益处有二:
第一,熟知漏洞的原理及利用方式,思考它作为一个非常专业的项目,为何会出现这样的漏洞?它在哪个方面做的不够好?这对我们日常进行代码审计非常有帮助,因为这样的错误点很可能再被我们遇到,它能帮助我们积累特别的审计思路,这样的经验多了,也便成了大神。
第二,我们可以熟知开源项目的内部运行原理,得知漏洞爆发的走向。开源项目在哪里做了特别的防御?怎么做的?为什么这样的漏洞之前你没有覆盖到?遗漏了什么?这样的思考有助于我们挖掘此项目的新CVE,这样有质量的CVE,能顶的上100个辣鸡CMS的CVE。
非主流新兴漏洞
-
跟得上时代潮流:这很重要!当年Java反序列化漏洞也不是主流漏洞,但如今已经成为Java安全中最受人瞩目的点。想象如果你是当年第一批跟着研究这个方向的人——可想而知有多少高质量CVE了吧? -
容易有新的发现。一般新型的漏洞的潜在危害大家挖掘的都不是很深,如果着手研究,可能很容易就能发现能够深入的点,这样就能很容易写出高质量文章甚至在各种会议上演讲。
2x02社区影响力
那么如何发展社区影响力就是个很重要的事了,我将从以下5个方面来阐述:
开源项目
开源项目代表的是你的编程水平,安全开发能力。在工业界,不论什么漏洞,最终都需要走向自动化(哪怕是逻辑漏洞,我们可以case by case地实现)。出色的安全开发能力可以使你更容易进入大甲方。下面给想要在开源项目上下功夫又不知道如何开始的同学一些方向:
-
漏洞的Poc/exp,可以在研究系列漏洞的同时编写,这样就能集成一个XX组件一键利用工具。 -
自己的扫描器,不需要大而全,建议小而精,专注而深入的解决某一类漏洞。如低误报高检出的DOM型XSS扫描器(并没有想象中那么简单,和反射型XSS的检测不是一个难度级别)。又如基于语法树的可持续添加扫描规则的白盒自动化审计工具。 -
能够防护某一类漏洞的高质量安全组件,如模仿Go语言的html/template写一套其他语言的(如Python)基于上下文语境识别的自动进行转义防御XSS的模板引擎。
参会&演讲
当然,有非常多的会议上也是干货满满的,建议大家先从团队分享、部门分享开始,讲自己的小Tips或是某类漏洞的总结,经验多了后就可以尝试为一些入门级会议投递议题。
能够在会议上做分享的人,要么是有真的干货,要么是题材足够热,要么是title足够高,如果有机会,大家一定要把握住。
社区&媒体
做安全,绝对不能陷入孤独的一人状态。
漏洞挖掘&比赛
现环境下,不建议直接挖掘互联网漏洞了,所有的渗透测试工作都必须要在有授权的情况下进行,并且,作为一个安全人需要有底线,知道哪些领域是自己一定不能触碰的,我们很轻易就能对一个网站造成伤害,要懂得浅尝辄止。
CVE没有大家想象的那么难。通用漏洞,如小CMS、小开源项目的漏洞,都是可以申请CVE的,但是比较水,含金量很低,但这至少证明你有独立代码审计能力,而不是只会拿个工具跑。
建议大家多挖高质量CVE(如著名开源组件,或Apache基金会名下的项目的漏洞),挖掘思路在上面高影响力漏洞小节中有所提及。
工作
2x03 通用软实力
对于这一项我就不细讲了,知乎上比我写得好。
本文始发于微信公众号(HACK之道):干货|Web安全职业发展路线解读
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论