安全工程师学习路线_安全开发工学习路线，2024年最新网络安全工程师面试题

2. 自己找站点/搭建测试环境进行测试，记住请隐藏好你自己。

3. 思考渗透主要分为几个阶段，每个阶段需要做那些工作，例如这个：PTES渗透测试执行标准。

4. 研究SQL注入的种类、注入原理、手动注入技巧。

5. 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。

6. 研究XSS形成的原理和种类，具体学习方法可以Google/SecWiki，可以参考：XSS。

7. 研究Windows/Linux提权的方法和具体使用，可以参考：提权。

8. 可以参考: 开源渗透测试脆弱系统。

9. 渗透测试流程：《渗透测试授权书》规定渗透时间和范围、《渗透测试免责书》描述渗透测试可能带来的危害、规定时间实施渗透测试，输出《渗透测试报告》，指导甲方进行漏洞修复。

3.5 安全基线检查

1. 不同的客户，不同的业务系统，有不同的安全基线文档，大致分类无外乎几种：从账户、授权、补丁、日志、冗余端口和服务等层面对主机系统、中间件和数据库进行配置[检查]。

2. 阅读外网流出的各家厂商的安全基线检查内容，如：运营商-移动 Link 。

3. 掌握不同版本的配置方法和配置项，可自行安装系统、中间件、数据库进行实操。

4. Windows2003/2008环境下的IIS配置，特别注意配置安全和运行权限，可以参考：SecWiki-配置。

5. Linux环境下的LAMP的安全配置，主要考虑运行权限、跨目录、文件夹权限等，可以参考：SecWiki-配置。

6. 远程系统加固，限制用户名和口令登陆，通过iptables限制端口。

7. 配置软件Waf加强系统安全，在服务器配置mod_security等系统，参见SecWiki-ModSecurity。

8. 通过Nessus软件对配置环境进行安全检测，发现未知安全威胁。

3.6 应急响应

1. 应急响应流程可分为两类：实时性应急响应和入侵后应急响应。
2. 实时性应急响应：大多为DDOS攻击，首要进行流量分析，若流量打满，能做的就是反查攻击IP，逆向渗透；若网络设备会话数被打满或者主机系统的CPU、内存、会话数被打满，可通过交换机做端口镜像，使用wireshark、tcpdump进行抓包，分析流量特征，确认攻击类型，在网络设备或安全设备上做相应阻断策略。
3. 攻击后应急响应：通过分析恶意文件和日志，查找入侵来源IP和入侵者所利用的漏洞，提出漏洞修补方案，并逆向追踪入侵者。
4. 应急响应对工程师的要求较为复杂，需多熟悉不同操作系统、应用、中间件、数据库特性，且能熟练使用编程语言或者vim等编辑器对较大的日志进行数据整理，还需要日常多多积累各种攻击特征和防护策略。
5. 多阅读网上已有的应急响应的文档，学习逆向分析思路。

3.7代码审计

1. 熟悉代码审计工具的安装使用，可参考SecWiki上的文章 Link 。
2. 根据工具报告验证问题是否为误报，并跟踪分析。
3. 参看各大资讯平台、论坛、旧杂志的文章，学习白盒分析思路。
4. Exploit编写。

3.8 安全边界建设

1. 安全边界检查的工作重点可总结为：根据是各个信息区域否需要外网接入、是否需要访问内部核心网络等行为特点，将信息安全系统划分为边界接入域、网络基础设施域、计算机安全域、运维管理域，并对现有网络是否有按照该标准做相应的安全域划分，或判断其划分是否合理。
2. 可参考规范：IATF Link。

3.9 安全规范

1. 除去技术细节了，尚有不少风险评估和等级保护测评的工作，直接读规范有助对项目全局的把控。

• 国标规范有： 
  • 《信息系统安全等级保护基本要求》 ---中国等级保护网
  • 《信息安全风险评估规范》--
• 行业规范有： 
  • 《网银121号文》 ；
  • 《中国银联移动支付技术规范》

3.10关注安全圈动态

1. 通过SecWiki浏览每日的安全技术文章/事件。

2. 通过Weibo/twitter关注安全圈的从业人员（遇到大牛的关注或者好友果断关注），天天抽时间刷一下。

3. 通过feedly/鲜果订阅国内外安全技术博客（不要仅限于国内，平时多注意积累），没有订阅源的可以看一下SecWiki的聚合栏目。

4. 养成习惯，每天主动提交安全技术文章链接到SecWiki进行积淀。

5. 多关注下最新漏洞列表，推荐几个：exploit-db、CVE中文库、Wooyun等，遇到公开的漏洞都去实践下。

6. 关注国内国际上的安全会议的议题或者录像，推荐SecWiki-Conference。

4 其他事项

1. 工作邮件--邮件主题、抄送对象、密送对象、正文称呼、内容主题格式、结尾语、联系方式等等。

2. 优先响应上级的需求--例如在微信群、QQ群、邮件、电话、短信等等方式的即时回复。

3. 平时多向领导打招呼等等==============================================

5 参考链接

1. 安全服务工程师   www.sec-wiki.com/skill/11

2. Web安全工程师   www.sec-wiki.com/skill/2

3. Web安全研发工程师   www.sec-wiki.com/skill/3

4. 安全运维工程师  www.sec-wiki.com/skill/4   

5  安全测试工程师 www.sec-wiki.com/skill/5

欢迎大家分享更好的思路，热切期待^^_ ^^ !!！

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

详情docs.qq.com/doc/DSlhRRFFyU2pVZGhS