我接触过很多个做产品的、做开发的。很多程序员见到我都很友善,他们说:“你好啊,我当初就是看了黑客帝国,大学才选的计算机专业,但是现在却成了程序员。”。但是其实程序员是我最崇敬的职业,开源、share精神...等等等...
我从事安全行业并不久,但是我处在的是创业型公司,可能大概也许,身在我这样环境的人,看的比较清楚吧。下面我对我所理解的安全行业进行一下自我理解。
对于做安全来说,很多人对自己的职称很模糊。很多人在想,我到底是渗透测试工程师呢,还是Web安全工程师呢?还是安全运维人员呢?其实,很简单的就能看清楚自己的发展方向。
T1:渗透测试工程师
通过名字也能看出来,跟测试工程师挂边,一水儿的工具党。(希望各大同行不要喷我,这是实话。),简单来说,公司招这个职位的,过去都是做Web应用的渗透测试,侧重于"测试",靠技术吃饭,面试一般问你日站水平怎么样,渗透的思路怎么样,有没有接触过什么大的渗透测试工具。等等等...
常见要求:
1、渗透测试经验。
2、对常见Web安全隐患的理解情况。
3、对常见工具软件的熟悉程度。
4、经常混迹的圈子(比如同性交友社区wooyun zone)...
5、漏洞复现能力(侧重于渗透测试工程师里面的另外一个职业:漏洞复查工程师)
6、是否做过黑产。
7、报告输出
8、......
案例:
绿盟渗透测试工程师:通常是驻点人员,常驻移动等运营商大楼,承担其业务系统的渗透测试工作。(有些不成熟的孩子也会被绿盟”卖“出去)。
瀚海源渗透测试工程师:承担Web应用的渗透测试以及APT等。具体细节不能公开。总之是24小时挂VPN,很牛逼的样子。
T2:Web安全工程师
这个是我目前的职称,目前自己负责Web安全部门以及部门建设。更侧重的是Web安全的研究,自我理解的的是,Web安全工程师包括但不限于渗透测试。意味着你的知识层面可能会扩大,从渗透更转向理论层次的理解。定位肯定侧重于 往!上!升!
常见要求:
1、安全防护技术
2、团队合作能力
3、一门编程语言(推荐Python,简单易学)
4、组织协调能力
5、渗透测试工程师所有要求
案例:
我次奥,这个我一时间真想不出来。
T3:安全服务工程师
服务服务服务服务,看到这俩字闪现在我脑海里的就是 出!差! 主要是外出培训,更侧重于知识的理论体系。
常见要求:
1、文档输出能力
2、语言表达能力
3、理论知识能力
4、安全防护能力
5、渗透测试能力
案例:
君立华域:主要就是做安全培训服务的..其他的就不知道了。
——————————————————————————
还有系统运维工程师、安全运维工程师,都是偏向于机房方面的了,这里就不说了。
其实在选择Web安全行业的时候,这些职称都不重要。重要的是自己的心态,没有技术,到哪家公司,待遇都不可能高,只能靠自己的努力学习,很多人都是从渗透测试做起来的。从一开始的一味追求技术,到后来越来越现实,开始追求利益,这是一个发展的过程。技术==待遇。但是无论从事什么,永远不要碰黑产,钱没可以慢慢赚,进去了一辈子就黑了。