什么是web安全工程师

准备从事web安全这个行业，我浅谈自己对web安全工程师的理解。

按照web安全工程师的岗位职责分为了以下几个部分：

1.熟悉Web常见的安全测试，如客户端的XSS，CSRF等，服务器端的SQL注入、上传文件漏洞等

2.了解OWASP TOP 10的常见风险，并且能够进行修复

3.能够对web服务器做一些安全配置，加强安全防护

4.修补最新出现的漏洞

然而对于这些职责主要是偏向于web安全的渗透测试类，它还可以分为web安全研究、web安全开发、web安全维护。

针对于如何进行web安全的学习，分成了以下的这些方向：

1.Web服务器部署搭建，如SQL server、nginx、Apache、IIS7

2.web服务器稳定运行

3.web应用攻击，如web应用漏洞应用和中间件漏洞、操作系统漏洞、整体威胁分析

4.web安全防御，如网络、服务器、操作系统、数据库和应用服务

5.web安全设计，如web设计、web开发和第三方服务

6.源代码安全，如针对于源代码的审计，以及编写poc

7.web安全加固修复，如编写查阅测试报告、系统补丁设计方法、配置及完善程序脚本

这都是对web安全工程师如何进行系统学习的方向吧。

除此之外，还有就是对于我们自身要做一些学习，如每天一文、每天一推、每天一事、每天一人。详细的如下：

每天一文指自己对于学习的知识，实战经历写下来，转发到朋友圈啊，提高自己的水平

每天一推指在各大安全社区等去查看交流分享帖，掌握前沿威廉希尔官方网站 或知识，并进行推广

每天一事指当自己能够做一些安全分析的时候，将这些想法写下来，做交流分享

每天一人指去各大安全社区去关注一些安全圈子的人，与他们交流互动分享