大的方向來說，不管是在國家政策，還是企事業單位對這一塊都比較上心。相關法律的出臺實施，企事業單位尤其是網際網路公司對安全的重視，大學開設資訊保安專業並設為一級學科，都能看出這一塊的前景趨勢，不管是底層安全、web安全、網路安全、還是為未來物聯網做準備的硬體安全。發展空間都很大。

可以參加一些培訓或者找人帶一帶！

其實在Web安全這一方面，我覺得如果技術達標，還是很吃香的，其實，放眼未來，網際網路這行業最不缺底層的程式設計師，缺的還是技術牛逼，能夠獨當一面的大神們。

在這之前，我寫過一篇“Web應用防火牆（WAF）不要理解錯了”的文章，大家可以去看看，藉此我大概說一說：

雲盾Web應用防火牆（Web Application Firewall，簡稱 WAF）基於雲安全大資料能力，用於防禦SQL注入、XSS跨站指令碼、常見Web伺服器外掛漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊，並過濾海量惡意CC攻擊，避免您的網站資產資料洩露，保障網站的安全與可用性。

安全永遠是產品的最基礎需求，所以不要擔心日後沒出路，Web 安全的對於 Web 從業人員來說是一個非常重要的課題。

說白了就是攻擊者攻，你來防，所以說你得知道有哪些攻擊手段，然後圍繞這些去展開學習，這就算入門了吧。

比如說常見的攻擊手段，XSS、CSRF、SQL 注入、命令列注入、DDoS 攻擊、流量劫持、伺服器漏洞、後門、弱口令、肉雞等等，太多的攻擊手段，你都得去了解，去學習，從根本上解決。例如這些東東：

現在最常見的也就是網站被攻擊，被植入後門，導致主頁篡改，快照被劫持，違法違規的連線等各種攻擊，你可以學習著去解決它們，這方面我覺得小公司遇到的情況很多啊。

在這你也可以去做網路安全的公司實習啊，業內也有很多這方面的大公司，比如：啟明星辰、綠盟、天融信、安氏、億陽、聯想網禦、華為等等。

觀點：結合我自身的經驗，我給您分享一下我的學習路線、學習的課程以及在工作中的成長路徑。

1、給你入門學習路線：在入門學習時，建議由淺到深，而且是先學習基礎課程，比如Web開發，框架設計等，然後再逐步學習Web程式碼規範與審計、Web滲透與審計等課程，最後結合實際案例進行程式碼層面的審視與演練。

2、給你推薦幾門課程：這幾門課程是我幾年前經常學習的，建議你也仔細閱讀和學習。包括《白帽子講Web安全》、《Web前端駭客技術揭秘》、《企業級Web程式碼安全架構》、《Web安全深度剖析》、《駭客攻防技術寶典》、《白帽子瀏覽器安全》、《無線電安全攻防大揭秘》、《硬體安全攻防大揭秘》、《智慧硬體安全》、《Android安全攻防權威指南》、《Android軟體安全與逆向分析》。

3、給你未來成長路徑：Web前端開發、Web前端架構、Web網路安全、Web滲透等。

隨著移動網際網路、大資料、人工智慧、物聯網等創新型技術驅動時代的發展，基於Web環境的網際網路應用越來越繁多，廣泛涉及人們的工作與生活，同時企業資訊化建設的過程中各種應用都架設在Web平臺上，Web業務的迅速發展也引起駭客們的強烈關注，接踵而至的就是Web安全威脅的凸顯，駭客利用網站作業系統的漏洞和Web服務程式的SQL注入漏洞等得到Web伺服器的控制權限，輕則篡改網頁內容，重則竊取重要內部資料，更為嚴重的則是在網頁中植入惡意程式碼，使得網站訪問者受到侵害。

與此同時，安全問題的主體發生著複雜的變化，大家也越來越感覺到web安全問題帶來的災難，而傳統的滲透測試的人員，已無法適應新型技術和應用的環境和要求。故而新時代下的安全問題集中爆發，於是乎，就有了Web安全等這類掌握技術較全面，應用場景見識廣的新型滲透安全人員的需求。那對於剛入門Web安全的同學該如何學習和未來就業呢？

對Web伺服器的攻擊也可以說是形形色色、種類繁多，常見的有掛馬、SQL注入、緩衝區溢位、嗅探、利用IIS等針對Webserver漏洞進行攻擊。下面以其中三個典型且重要的做一下說明：

SQL注入：即透過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字串，最終達到欺騙伺服器執行惡意的SQL命令，比如先前的很多影視網站洩露VIP會員密碼大多就是透過WEB表單遞交查詢字元暴出的，這類表單特別容易受到SQL注入式攻擊。

網頁掛馬：把一個木馬程式上傳到一個網站裡面然後用木馬生成器生一個網馬，再上到空間裡面，再加程式碼使得木馬在開啟網頁裡執行。

當然除了這三個典型的，還有很多，在這裡就不一一贅述了。

1、基礎網路協議/網站架構

不管是C/S架構還是B/S架構都是基於網路通訊，需要了解通訊流程以及資料包走向等，才能使用相應手段跟工具去做滲透。Web網站常見的協議以及請求方式，這些在做滲透的時候必不可少的。甚至也是可以利用協議來做滲透測試。

2、基礎的程式設計能力

一名Web滲透測試人員必須具有一定的基礎程式設計能力的，如果不會寫程式碼或者看不懂程式碼，這個是很難做好的。例如需要自己寫一款適合此刻情景漏洞的工具，如果不會寫會極大降低效率。再者就是關於後續進階的程式碼審計問題，如果不會寫程式碼，程式碼也看不懂那麼就不知道怎麼從原始碼去審計漏洞去發現原因。對於只會利用工具的滲透人員跟會寫程式碼的滲透測試人員來說，在遇到某種情況下，優勢一下就能體現出來了。

3.、滲透測試工具

滲透測試工具網上開源的很多，作為滲透測試人員會使用滲透測試工具這是必不可少的。一些優秀的工具要學會利用，還有就是要學會自己寫工具。例如在做滲透測試中，好比說大量的資料FUZZ，如果說人工操作將大大浪費時間跟效率。如若網上的工具不符合此漏洞的情景，這時候就需要自己手動寫工具去除錯。當然網上優秀的工具已不少，優先使用會極大提高我們的效率。

4.、瞭解網站的搭建構成

試著去了解一個網站的形成架構，語言，中介軟體容器等。如果不知道一個網站是如何搭建起來的，那麼做滲透的時候根本就沒有對應的滲透測試方案。例如一個網站採用了某種中介軟體，或者什麼資料庫，再或者是採用網上開源的CMS。如果對於這些不瞭解，那麼就只能在網頁上徘徊遊走，甚至無從下手。瞭解一個網站的搭建與構成，對於自己前期做踩點與資訊收集有著很大的幫助，才能事半功倍。

5、漏洞原理

滲透測試人員肯定是要對漏洞原理去深入探究，這樣會從中發現更多有“趣”的東西。所有有“趣”的東西是可能你在原有的基礎漏洞上配合其他漏洞，從而達到組合漏洞，這樣效果有可能會更佳，如果不去了解漏洞原理，漏洞產生，不去從程式碼層出發，那就不知道漏洞起因，到後期的滲透利用以及修復方案，就會顯得吃力，這時候有可能你就需要去查資料，從某種形式的降低了速度與效率，所以說，知識積累必不可少。

6、報告撰寫能力

每次做完都需要撰寫滲透測試報告，所以報告撰寫能力也是不可或缺的。對於自己漏洞挖掘的梳理，網路結構印象加深，這是後期與客戶溝通還有與開發對接提修復建議能起到很大的幫助，這些細小的細節決定著你服務的質量與你的責任感，所以這些都是需要不斷的積累與提升的一個過程。

總之，建議你按照我開篇的給你的建議，按照既定路線進行學習、實踐以及未來走向相應崗位做出貢獻，並不斷提升自己，成就夢想。

資訊創造價值，學習使人進步。

我是泰瑞聊科技，為您開啟科技生活，感謝您閱讀與關注！