Logo

菜单

发布于 2026-01-06 1 阅读
0

如何成为一名网络安全研究员?

如何成为一名网络安全研究员?

本文节选自最初发表于此处的文章

从本质上讲,网络安全就是发现日常技术的非默认用途,从而导致意外行为。

*图片来源:Unixmen<br> 图片来源:Unixmen.com

作为一名网络安全研究员,你的工作就是研究日常事物如何被恶意利用。听起来很简单,但你可能会说自己既没有过人的智慧,也没有科学的思维方式。你也没有数学背景,对离散数学或神秘科学一窍不通。那么,你又怎么能做好网络安全工作呢?这其实是个误区。你不需要具备上述任何条件就能做好网络安全工作。我们有时会觉得自己的想法很独特,但事实并非如此。实际上,大多数人都会问类似的问题,因为人类的心理大体上是相似的。

成为一名网络安全研究员究竟需要具备哪些条件?

技术领域有很多抽象概念,你并不需要数学背景或科学思维。有些人从未接受过正规教育,却依然是优秀的网络安全研究人员。让我们深入探讨这篇文章,并探讨一些在网络安全领域取得成功的方法。

1. 永不满足的好奇心。🤔

要想在安全领域长期生存下去,你需要对它保持真正的好奇心。Web 开发人员和 Web 安全人员之间没有区别。如果你想成为一名优秀的 Web 安全专家,你需要了解 Web 开发领域的一切动态。你必须理解 JavaScript、PHP、HTML 和 CSS 的概念,像一位充满热情的开发人员那样学习,但同时也要不断质疑和思考,设想它们的其他用途。不要被 JavaScript、PHP 或 Node.js 之类的词汇吓倒。

这件事对你来说很重要;

Web开发的发展方向是什么?
目前世界上最好的框架是什么?
使用最广泛的框架是什么?

*解决问题时,要直击根源,而不是只砍掉表面的枝叶。——安东尼·J·德安杰洛* 解决问题时,要直击根源,而不是只砍掉表面的枝叶。——安东尼·J·德安杰洛

在网络安全领域,如果找不到漏洞,人们就会失去热情。你需要夜以继日地钻研,培养对网络安全的真正好奇心,这样才不会对它失去热情。你不能只是从宏观角度审视网站,寻找那些唾手可得的漏洞,也就是那些不会造成任何严重后果的安全漏洞。如果你想成为一名优秀的网络安全研究员,就必须更深入、更细致地研究网站所使用的各种技术是如何协同工作的。

2. 在实践中学习。🧐

就像我说的,Web开发人员和Web安全人员之间没有区别。区别只在于学习过程中要不断挑战自我,超越默认用法去理解。

先用 PHP 或 HTML 搭建简单的小型网站。
熟悉数据库和 Web 服务器,尝试制作一些可以接收用户输入(例如登录凭据或联系方式)的小页面,并学习一些渗透测试技巧。我整理了一份对初学者有用的资源列表,帮助你入门 Web 开发和渗透测试。

面向初学者的 Web 开发资源💻
面向初学者的渗透测试资源📚
道德黑客:Web 应用程序黑客攻击- Troy Hunt 🔗

在道德黑客环境中练习常见的安全漏洞。
借助现成的漏洞应用程序,您可以在安全的环境中学习,从而有效提升技能。以下是一些可以合法练习黑客技能的资源。

易受攻击应用程序列表;
DVWA 安装详解
:Web 安全模式- Troy Hunt 🔗

最重要的是,请参考 OWASP 免费测试指南来实践安全知识。OWASP
创建了大量资源,旨在加强安全与开发之间的联系。您可以阅读到关于 Web 上近 70-80% 的漏洞以及如何查找漏洞的资料。OWASP 的目标是帮助 Web 安全研究人员了解 Web 应用程序测试的内容、原因、时间、地点和方法。如果您刚开始接触 Web 应用程序安全测试,以下 OWASP 资源将帮助您在安全测试领域取得进步。

OWASP 测试项目(强烈推荐给初学者)
实况解说:OWASP Top 10 - TroyHunt 🔗

3. 参与漏洞赏金计划💰

如果你想成为一名优秀的Web应用程序安全研究员,那就去争取漏洞赏金吧。你可以注册Hackrone和Bugcrowd等平台。你会看到很多公开的漏洞赏金项目。例如,谷歌就有一个漏洞赏金项目,你可以尝试去寻找你所了解的问题。千万不要因为觉得自己技能不足以为大公司找到漏洞而拖延。你应该尝试在你使用的产品中寻找漏洞,接受一些真正的挑战,以此来为你的Web应用程序安全职业生涯积累资金。

你需要培养耐心才能保持专注,因为很容易养成懒惰的思维习惯。漏洞赏金猎人常犯的错误是,一旦发现漏洞,就会过于兴奋。他们急于求成,只想尽快拿到报酬,于是把注意力转移到金钱上,在赏金达到 200 美元时就停止了逻辑思考。结果,有时你的漏洞会造成更大的影响。只有经过更深入的思考,你才能获得 2000 美元甚至 20000 美元的赏金。

以下是一些可以帮助你在虫害防治方面取得进展的资源;

漏洞赏金平台
HackerOne、
Bugcrowd、
Firebounty

推荐课程/阅读
:《漏洞赏金计划实况:研究人员的漏洞赏金——特洛伊·亨特》;
《漏洞赏金计划中的伦理为何重要》

一旦你通过漏洞赏金计划发现几个漏洞,你就能在大多数公司找到工作。

在你离开之前……

永远记住,细节决定成败。在安全方面,保持好奇心能培养耐心,帮助你发现漏洞。保持好奇心和耐心。

如果你喜欢这篇文章,请分享给你的朋友们……!

📜如有任何疑问或想告诉我您的想法,请在下方留言!

文章来源:https://dev.to/sinxloud/so-you-want-to-be-a-web-security-researcher-1125
💻 如果你答不上这 40 个 N...
React、Redux 和 API...