在網(wǎng)絡安全行業(yè)里面，web安全方向的人相對來說算是占大頭，因為web安全初學階段不像系統(tǒng)底層安全那么枯燥，而且成功hack目標網(wǎng)站的成就感相對也是比較強的。

web安全工程師這個職位在甲方和乙方公司都有，在安全這塊，甲方指提出安全需求的公司，而乙方公司則是指提供安全服務的公司，一般的中小型公司沒有安全崗位，甲方的安全部大多都掛在運維部下面。另外在大公司和小公司web安全工程師做的事情也不一樣，大公司工作分的相對細，一般做滲透測試的就只做滲透測試，在[正規(guī)小公司]就不一樣了，一般本職工作就比較多，可能安全服務、安全研究以及安全開發(fā)都會放一部分在身上，這對工程師的要求比較高，也非常難招到。這也就是平時經(jīng)常跟朋友開玩笑說的[招個會搞運維、又懂安全、又懂開發(fā)的，打燈籠都難找]，當然這也是我對公司安全team成員的要求。

回到正題，如何做一名好的web安全工程師？主要是[職業(yè)操守]和[技術(shù)]兩大方面。

職業(yè)操守是為人處世最基本的東西，職業(yè)操守好的人就比較靠譜，我非常討厭的三種人就是

1.經(jīng)常莫名其妙聯(lián)系不上，不注重溝通。

2.經(jīng)常無故失約，放鴿子。

3.工作沒有積極性，非本職工作怨天尤人。

這三點都有一個共同點就是[尊重]。從這三點就可以看出一個人靠譜不靠譜，靠譜的人往往注重交流，不管是工作還是生活，他能隨時把最新情況通知出來，有非常強的合作精神，能讓你有搭檔的感覺。

態(tài)度決定一切，這是非常好的一句話，做任何事之前首先要看的就是態(tài)度，在資源這么豐富的互聯(lián)網(wǎng)時代，如果有心做一件事，技術(shù)不好網(wǎng)上都可以找，做事態(tài)度不好，能力再強也沒用。

技術(shù)這塊，方向不同需要的技術(shù)也不一樣，不過既然是做安全工作，必須要知道的更全面，就算不做到熟練，熟悉還是得要。

我之前說過一句話[沒有安全研究能力的公司不能叫安全公司]，研究能力是一家公司創(chuàng)新的根本，所以web安全工程師一定要具備[安全研究能力]。如果一個web安全工程師做滲透測試，沒有安全研究能力，就永遠跨不過腳本小子的坎，只會使用別人的研究成果，從來不去思考原理性的東西，就算經(jīng)驗再多再熟練也只是做重復的事情，沒有創(chuàng)新性，不能對現(xiàn)有資源進行改進。

我還說過一句話[編程和運維是安全的基礎(chǔ)]，為什么這么說？代碼寫多了，思維邏輯就能轉(zhuǎn)的很快，對安全問題也能看的更仔細，理解的更通透，能讓你在技術(shù)的任何領(lǐng)域都能快速成長，所謂一通百通。運維能力在安全中也非常重要，舉個最簡單的例子，如果跑去別人公司做應急響應，連別人的設備、環(huán)境、架構(gòu)這些都不懂，那后面的應急響應是非常困難的，另外具備運維能力，也能讓自己快速的搭建各種環(huán)境，快速學習。

下面我總結(jié)出來一個好的web安全工程師應該具備的素質(zhì)，用人單位在招人的時候可以參考下：

1.靠譜的職業(yè)操守。

2.有積極進取的心，能夠不斷強化自己。

3.安全研究能力，創(chuàng)新能力，能夠?qū)ΜF(xiàn)有資源進行改進。

4.編程和運維能力