準備從事web安全這個行業，我淺談自己對web安全工程師的理解。

按照web安全工程師的崗位職責分為了以下幾個部分：

1.熟悉Web常見的安全測試，如客戶端的XSS，CSRF等，服務器端的SQL注入、上傳文件漏洞等

2.了解OWASP TOP 10的常見風險，并且能夠進行修復

3.能夠對web服務器做一些安全配置，加強安全防護

4.修補最新出現的漏洞

然而對于這些職責主要是偏向于web安全的滲透測試類，它還可以分為web安全研究、web安全開發、web安全維護。

針對于如何進行web安全的學習，分成了以下的這些方向：

1.Web服務器部署搭建，如SQL server、nginx、Apache、IIS7

2.web服務器穩定運行

3.web應用攻擊，如web應用漏洞應用和中間件漏洞、操作系統漏洞、整體威脅分析

4.web安全防御，如網絡、服務器、操作系統、數據庫和應用服務

5.web安全設計，如web設計、web開發和第三方服務

6.源代碼安全，如針對于源代碼的審計，以及編寫poc

7.web安全加固修復，如編寫查閱測試報告、系統補丁設計方法、配置及完善程序腳本

這都是對web安全工程師如何進行系統學習的方向吧。

除此之外，還有就是對于我們自身要做一些學習，如每天一文、每天一推、每天一事、每天一人。詳細的如下：

每天一文指自己對于學習的知識，實戰經歷寫下來，轉發到朋友圈啊，提高自己的水平

每天一推指在各大安全社區等去查看交流分享帖，掌握前沿技術或知識，并進行推廣

每天一事指當自己能夠做一些安全分析的時候，將這些想法寫下來，做交流分享

每天一人指去各大安全社區去關注一些安全圈子的人，與他們交流互動分享