準備從事web安全這個行業(yè)，我淺談自己對web安全工程師的理解。

按照web安全工程師的崗位職責分為了以下幾個部分：

1.熟悉Web常見的安全測試，如客戶端的XSS，CSRF等，服務(wù)器端的SQL注入、上傳文件漏洞等

2.了解OWASP TOP 10的常見風險，并且能夠進行修復

3.能夠?qū)eb服務(wù)器做一些安全配置，加強安全防護

4.修補最新出現(xiàn)的漏洞

然而對于這些職責主要是偏向于web安全的滲透測試類，它還可以分為web安全研究、web安全開發(fā)、web安全維護。

針對于如何進行web安全的學習，分成了以下的這些方向：

1.Web服務(wù)器部署搭建，如SQL server、nginx、Apache、IIS7

2.web服務(wù)器穩(wěn)定運行

3.web應(yīng)用攻擊，如web應(yīng)用漏洞應(yīng)用和中間件漏洞、操作系統(tǒng)漏洞、整體威脅分析

4.web安全防御，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用服務(wù)

5.web安全設(shè)計，如web設(shè)計、web開發(fā)和第三方服務(wù)

6.源代碼安全，如針對于源代碼的審計，以及編寫poc

7.web安全加固修復，如編寫查閱測試報告、系統(tǒng)補丁設(shè)計方法、配置及完善程序腳本

這都是對web安全工程師如何進行系統(tǒng)學習的方向吧。

除此之外，還有就是對于我們自身要做一些學習，如每天一文、每天一推、每天一事、每天一人。詳細的如下：

每天一文指自己對于學習的知識，實戰(zhàn)經(jīng)歷寫下來，轉(zhuǎn)發(fā)到朋友圈啊，提高自己的水平

每天一推指在各大安全社區(qū)等去查看交流分享帖，掌握前沿技術(shù)或知識，并進行推廣

每天一事指當自己能夠做一些安全分析的時候，將這些想法寫下來，做交流分享

每天一人指去各大安全社區(qū)去關(guān)注一些安全圈子的人，與他們交流互動分享