freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一个月薪两万的Web安全工程师要掌握哪些技能?
2018-11-30 12:50:57

双十一期间我们做过一期线下Web安全工程师培训的优惠活动,没想到大家报名异常火爆,活动当天北京线下班的报名量就已达到满额,为什么大家对这个行业这么热爱,上网一搜,平均薪水两万起,远高于其他行业平均收入。

3.png

作为一个薪水两万起步的工作,我想知道这些牛人们都会哪些技能呢?

Web安全相关概念、熟悉渗透相关工具、渗透实战操作、关注安全圈动态、熟悉Windows/Kali Linux、服务器安全配置、脚本编程学习、源码审计与漏洞分析、安全体系设计与开发等。

4.jpg

看着就很厉害的样子,怪不得技术好的牛人都叫大神呢,虽然我们达不到大神的境界,但是我们可以了解一些简单的基础知识,比如说今天给大家介绍一个实用技能:利用BurpSuite学习注入工具语句。

大家都知道,BurpSuite可以代理浏览器,那它还能代理别的客户端吗?如果能,会是怎样的效果呢?让我们一起来看一下:

原理

1.jpg

首先我们要来搞清楚 BurpSuite代理的原理,下面这图一目了然:

6.png

其次设置Pangolin的代理,依次点击“编辑”、“配置”,设置代理服务器为127.0.0.1端口为8080,代理类型选择HTTP。  

8.png

这里有个小问题,就是History里的注入语句URL编码了,不太直观,我们可以把鼠标放在数据包中的注入语句(橙色部分)上,会自动显示解码结果,或者可以发送到“Decoder”进行解码。

18.png

这个时候设置就基本完成了,也就是说已经把上图中的PC换成Pangolin了,下面就是见证奇迹的时刻了!

等一下,还没有注入点呢,怎么办?本地搭建一套渗透测试实验系统以协助注入点检测,这里用了“btslab渗透测试实验室”,大家也可以搭建DVWA等系统。

10.png

这里有个小问题,就是History里的注入语句URL编码了,不太直观,我们可以把鼠标放在数据包中的注入语句(橙色部分)上,会自动显示解码结果,或者可以发送到“Decoder”进行解码。

2、SQLmap 接下来我们再来看看注入神器Sqlmap效果怎么样,Sqlmap很贴心的给出了代理设置参数--proxy ,这里直接给出语句,参数--skip-urlencode是为了跳过url编码。


11.png


12.png

以上就是今天要介绍的内容,当然我们只是在抛砖引玉,大家可以尽情发挥,最重要的是要学会这种触类旁通、举一反三的思路,这也是我们学习网络安全应该具备的基础,希望大家在今后的学习中可以掌握更多的实用技能!  

没有看过瘾的小伙伴们,可以去公众号输入“半月刊”,还有更多实用技能等你去解锁!

半月刊是在i春秋论坛精挑细选出优质、系统的内容,重新进行设计排版,以期刊的形式发布在论坛和技术交流群中。

内容由浅入深,图文结合,实用性强,真正做到学以致用,不管是刚入门的小白,初级学习者,还是技术从业者,都可以在里面学到知识并运用到实际工作中。

第四期半月刊上线后,好评如潮,公众号决定要为小伙伴们谋福利,于是向管理员申请了免费发放的优惠,大家只要在公众号回复:半月刊,就可以免费领取最新一期的内容,好东西就是要互相分享,大家一定不要错过哦!

5.png

福利预告

今天微信公众号将发布免费送票活动:价值468元的FIT大会极客2日通票若干张。

如果你想参加2019互联网安全创新大会,想和来自全球的行业先锋们探索安全最前沿技术,那么一定要关注今天的微信活动,抢到就是赚到,机会不容错过!

扫码立即去抢票

微信二维码.jpg

# web安全 # 安全技能
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者