信息安全工程师成长经验
报名入口来源:中国教育在线 2022-06-01
最近经常听到公司的招聘专员反馈应聘者简历“水分”太大,尤其是技术岗位,例如Web安全工程师,明明是初级阶段的菜鸟,就敢写资深Web安全工程师;在几个项目做一些基础打杂的工作,就敢写带过团队,项目经验丰富;挖过几个低危漏洞,就称自己是精英白帽......其实,那点花架子面试官早就看出来了。
你以为在网上找一些零散的知识点学学,在面试前狂补一遍常见问题,简历做漂亮些,就能轻松找到工作了?错,大错特错!
Web安全知识体系尤为复杂,网上有一个简易的知识盲区测试,号称“扎心十问”,若有三道以上答不上,还请各位静下心来系统学习吧。
1、各种SQL注入类型:报错注入、布尔盲注、时间盲注、DNSLog盲注、二次注入、宽字节注入、还有伪静态SQL注入你都有了解吗?可否列举出更多注入方法?
2、SQL XSS、XXE、SSRF命令执行等无回显,如何测试证明漏洞存在?
3、PHP代码审计常见危险函数测试思路防御方法你了解多少?
4.下图SQL Fuzz过狗方法你会写吗?
5、XSS绕过各种方式方法,针对不同符号编码都尝试过吗?
6、各种XSS类型漏洞,各种场景XSS Bypass实战详解你知道多少呢?
7、遇到不同操作系统不同环境提权问题是否都能解决?
8、从WebShell到内网需要的种种技术和思路,你脑海里有几种?
9、主流的CMS ThinkPHP框架代码审计学过没?时不时的爆出0day,能第一时间想到如何利用吗?
10、如无类似Wappalyzer这种可以识别网站的中间件,你能否用Python随手写一个能轻易识别?
一个合格的Web安全工程师需要扎实的基础,需要系统化的学习,更需要攻防模拟演练,从而培养独立完成项目实战的能力。哪能是自学一些皮毛就可以胜任的!
如果你能掌握安全漏洞高级利用方法与防御方法,熟练使用渗透测试工具的高级使用技巧,漏洞手工利用技巧,掌握对外网渗透和内网渗透技术,并掌握PHP代码审计,python安全脚本开发等技能,那么恭喜你,你可以出徒,去面试找工作了,如果你达不到上述技能,那么还是选择线上提高班潜下心进行系统化的学习吧!
择线上提高班进行系统学习,快速提升实战技能,让你的技术再次进阶,从而拥有更多主动权,不然只能在众多应聘者中被筛来选去,毫无机会脱颖而出。
如果你不想每天奔波于不同公司面试,不想被面试官问得不知所云,不想被同一起跑线的队友落的太远,就赶紧报名线上提高班,快速提升自己吧!