web安全工程师需要学什么

1、基础的网络协议：　　互联网本质也是一系列的网络协议，不管是C/S架构还是B/S架构都是基于网络通信，渗透人员需要了解到通信流程以及数据的走向，才能使用相关的工具去做渗透，web网站常见的协议以及请求方式，这些都是在做渗透的时候必不可少的。

2、基础的编程能力：　　一名web渗透测试人员必须要具有一定的编程能力，web安全工程师需要每天跟代码打交道，但是如果不会写代码或者看不懂代码的话，肯定是会很吃亏的，如果不会写代码，就不知道如何从源代码去审计漏洞去发现原因，对于只会利用工具的渗透人员跟会写代码的渗透测试人员来说，在遇到某种情况下，优势一下就能体现出来了。

3、渗透测试工具：　　渗透测试工具网上开源的很多，作为渗透测试人员会使用渗透测试工具这是必不可少的。一些优秀的工具要学会利用，还有就是要学会自己写工具。如若网上的工具不符合此漏洞的情景，这时候就需要自己手动写工具去调试。当然网上优秀的工具已不少，优先使用会极大提高我们的效率。

4、漏洞原理：　　渗透测试人员肯定是要对漏洞原理去深入研究探究，这样会从中发现更多有“趣”的东西。所有有“趣”的东西是可能你在原有的基础愁丞禺壑漏洞上配合其他漏洞，从而达到组合漏洞，这样效果有可能会更佳，不过不去了解漏洞原理，漏洞产生，不去从代码层出发，那就不知道漏洞起因，到后期的渗透利用以及修复方案，就会显得吃力，这时候有可能你就需要去查资料，从某种形式的降低了速度与效率，所以，知识与积累必不可少。

5、报告撰写能力：　　每次做完渗透测试之后，都是需要一个渗透测试报告，所以报告撰写能力也是不可缺。对于自己漏洞挖掘的梳理，网络结构印象加深，这是后期与客户沟通还有与开发对接提修复建议能起到很大的帮助，这些细小的细节决定着你服务的质量与你的责任感，所以这些都是需要不断的积累与提升的一个过程。