1、編程語(yǔ)言： Python，PHP，web前端三件套（HTML/CSS/JavaScript 基礎(chǔ)），Mysql。作為一種高級(jí)編程語(yǔ)言，Python越來(lái)越受到網(wǎng)絡(luò)專家的歡迎。它之所以吸引人，主要是因?yàn)樗a的可讀性、語(yǔ)法清晰和簡(jiǎn)單，以及大量庫(kù)的可用性。PHP是用于開(kāi)發(fā)網(wǎng)站的服務(wù)器端編程語(yǔ)言。由于大多數(shù)網(wǎng)站都是使用PHP創(chuàng)建的，因此學(xué)習(xí)該語(yǔ)言可以讓你了解如何抵御入侵者。SQL(結(jié)構(gòu)化查詢語(yǔ)言)主要用于管理存儲(chǔ)在數(shù)據(jù)庫(kù)中的數(shù)據(jù)。由于當(dāng)前數(shù)據(jù)存儲(chǔ)系統(tǒng)的爆炸式增長(zhǎng)，SQL被廣泛用于維護(hù)和檢索數(shù)據(jù)。同樣，黑客越來(lái)越多地編排語(yǔ)言來(lái)破壞或泄露存儲(chǔ)的數(shù)據(jù)。例如，SQL注入攻擊涉及利用SQL漏洞來(lái)竊取或修改數(shù)據(jù)庫(kù)中保存的數(shù)據(jù)。因此，充分了解SQL語(yǔ)言對(duì)于網(wǎng)絡(luò)安全至關(guān)重要。2、開(kāi)發(fā)工具： Phpstrom、Pycharm、Navicat 等。PhpStorm 是 JetBrains 公司開(kāi)發(fā)的一款商業(yè)的PHP集成開(kāi)發(fā)工具，旨在提高用戶效率，可深刻理解用戶的編碼，提供智能代碼補(bǔ)全，快速導(dǎo)航以及即時(shí)錯(cuò)誤檢查。PyCharm是一種Python IDE（Integrated Development Environment，集成開(kāi)發(fā)環(huán)境），帶有一整套可以幫助用戶在使用Python語(yǔ)言開(kāi)發(fā)時(shí)提高其效率的工具，比如調(diào)試、語(yǔ)法高亮、項(xiàng)目管理、代碼跳轉(zhuǎn)、智能提示、自動(dòng)完成、單元測(cè)試、版本控制?！癗avicat”是一套可創(chuàng)建多個(gè)連接的數(shù)據(jù)庫(kù)管理工具，用以方便管理 MySQL、Oracle、PostgreSQL、SQLite、SQL Server、MariaDB 和/或 MongoDB 等不同類型的數(shù)據(jù)庫(kù)，并支持管理某些云數(shù)據(jù)庫(kù)。3、安全工具： Kali-linux、Metasploit（漏洞監(jiān)測(cè)工具）、Burp Suite（網(wǎng)絡(luò)漏洞掃描器）、Awvs、Sqlmap、Nmap（端口掃描器）、Cobaltstrike、Nessus、Xary、 Wireshark（手動(dòng)分析包工具）、John The Ripper（密碼破解）、蟻劍、冰蝎、哥斯拉等。4、安全技能：熟悉 OWASP TOP10 相關(guān)漏洞原理、利用方法及防范措施。OWASP:開(kāi)放式Web應(yīng)用程序安全項(xiàng)目(Open Web Application Security Project)，OWASP是一家國(guó)際性組織機(jī)構(gòu)，并且是一個(gè)開(kāi)放的、非盈利組織，它致力于協(xié)助政府、企業(yè)開(kāi)發(fā)、升級(jí)各類應(yīng)用程序以保證其可信任性。所有OWASP的工具、文檔、研討以及所有分會(huì)都對(duì)任何就應(yīng)用安全領(lǐng)域感興趣的人士自由開(kāi)放。5、熟悉 PTES 滲透測(cè)試流程并輸出報(bào)告。第一階段：前期交互第二階段：信息收集分析第三階段：威脅建模第四階段：漏洞分析第五階段：滲透攻擊第六階段：后滲透測(cè)試第七階段：滲透測(cè)試報(bào)告6、熟悉內(nèi)網(wǎng)滲透思路及免殺方法。常用的內(nèi)網(wǎng)滲透方法：（1）端口轉(zhuǎn)發(fā)因?yàn)槟繕?biāo)處于內(nèi)網(wǎng)，通常外網(wǎng)無(wú)法訪問(wèn)導(dǎo)致滲透存在一定難度，這時(shí)就需要一些端口轉(zhuǎn)發(fā)工具和反彈代理等操作。Windows工具：端口轉(zhuǎn)發(fā)工具；端口轉(zhuǎn)發(fā)工具；ReDuh端口轉(zhuǎn)發(fā)；Linux工具：、Puttp+ssh Socks代理；Msf。（2）HASH值抓取工具：Pwdump7；Gsecdump；WCE；Getpass（基于mimikatz）工具逆向獲取銘文密碼。（3）密碼記錄工具：WinlogonHack——劫取遠(yuǎn)程3389登錄密碼；NTPass——獲取管理員口令；鍵盤記錄專家；Linux下的openssh后門；Linux鍵盤記錄sh2log。（4）漏洞掃描Nmap——可以對(duì)操作系統(tǒng)進(jìn)行掃描，對(duì)網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行評(píng)估Metasploit——強(qiáng)大的內(nèi)網(wǎng)滲透工具HScan——掃描常見(jiàn)漏洞（5）第三方服務(wù)攻擊1433——SQL server服務(wù)攻擊3306——Mysql服務(wù)攻擊其他第三方服務(wù)漏洞（6）ARP和DNS欺騙利用內(nèi)網(wǎng)嗅探工具抓取網(wǎng)絡(luò)信息繼而發(fā)起攻擊CAIN——網(wǎng)絡(luò)嗅探工具7、熟悉 TCP/IP 模型及常見(jiàn)網(wǎng)絡(luò)協(xié)議。（1）OSI的七層協(xié)議：從上到下：應(yīng)用層、表示層、會(huì)話層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層。（2）TCP/IP四層協(xié)議：從上到下：應(yīng)用層，傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)接口層。（3）五層協(xié)議：從上到下：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層。8、熟悉 windows、linux 系統(tǒng)基線檢查與應(yīng)急響應(yīng)。9、了解代碼審計(jì)流程及工具使用。（1）配置審計(jì)分析環(huán)境（2）熟悉業(yè)務(wù)流程（3）分析程序架構(gòu)（4）工具自動(dòng)化分析（5）人工審計(jì)結(jié)果（6）整理審計(jì)報(bào)告