零基础转行渗透测试的学习路径与职业发展指南
最近有朋友表示想转行做渗透测试。他在运维领域工作了 3 年,感觉目前有些迷茫,不知如何提升。在日常工作生活中,黑客攻击事件频发,他意识到网络安全越来越重要,对软件测试的要求也不仅仅局限于测 BUG 了。了解渗透测试的发展前景后,他认为这是一个不错的方向。
身边人的声音不一,有支持的也有劝退的。但他坚持了自己的想法,走上网安学习之路。近几年网络安全事件层出不穷,如服务器遭受入侵、用户账号被盗、钓鱼、勒索病毒等,一旦发生,对企业而言都是不小的打击。因此网络安全不容忽视。
从某种意义上来说,渗透测试是软件测试工程师新的选择方向。相对门槛和核心竞争力也会更高一些。除了工作内容和要求会比软件测试更加具有挑战性,同时薪资待遇也有很大的差异。以北京为例,渗透测试较软件测试的整体薪资约高 1.5-2 倍。
据统计,目前的技术人员只能填满不到 1% 的缺口!这种供求不平衡直接反映在安全渗透工程师的薪资上,简单来说就是:竞争压力小,薪资还很高。是很多软件测试人员提升选择的一个非常重要的方向。基本起薪可达 15K。
而且它的灵活性很高,既可以选择一家公司从事专职信息安全研究工作,也可以选择自由职业,给一些 SRC 或漏洞接收平台提交漏洞,获取奖金。
零基础转安全难吗?
如果你是零基础,可以参考以下从入门到进阶的体系化学习体系。
第一步:Web 前后端基础与服务器通信原理的了解
所指前后端包括 H5、JS、PHP、SQL 等,服务器指 WinServer、Nginx、Apache 等。
第二步:学习主流的安全技能原理与利用
当下主流漏洞的原理一般都是 SQL 注入、XSS、CSRF 等。理解这些漏洞的产生机制和修复方案是基础。
第三步:实战练习
光说不练假把式!寻找一些靶场进行实战训练。对于新手不建议直接进行 CTF 或 SRC 的训练,容易受挫。可以选择一些提供实战靶场的教育平台学习,它们会提供环境支持。
第四步:在技术分析帖中学习经验
多专研一些大神的技术分析帖,学习前人挖掘 0day 的思路与技巧,且尝试复现,进行相同审计,以此来提高自己的技术水平。
结语
统计数据显示,目前我国网安人才缺口达 140 万之多。不管你是网络安全爱好者还是有一定工作经验的从业人员,不管你是刚毕业的行业小白还是想跳槽的专业人员,都需要保持持续学习的态度。网络安全学习范畴广泛,几乎覆盖了整个互联网技术领域。希望这份规划对你的学习有所帮助,祝你在网安道路上稳步前行。
