如何自学成为一名高薪渗透测试专家

处于技术风暴眼中的IT专业人士总是希望能够及时并线进入职业快车道，信息安全领域的渗透测试专家正是未来薪水增长最快的岗位之一。

在最近的一份报告中（获取报告原文请关注IT经理网微信号：ctociocom）， Foote Partners的首席分析师David Foote指出，渗透测试人员在2018年前六个月市场价值增长了7.1％。其中，大约50％的渗透测试人员是自学成才的，换而言之，渗透测试这个含金量颇高的职业，对所有人都是敞开大门的。

通常渗透测试专家负责模拟客户IT基础设施的攻击，以确定弱点所在。例如，渗透测试公司可能会等待假期周末，然后尝试破解每个员工的密码。渗透测试是全面安全审计的重要组成部分，在数据大规模泄露时代，在经济损失和监管的双重压力下，越来越多的企业对提高信息安全水平产生强烈需求。

但是作为一位“外行”，如何自学成为一名渗透测试专业人士呢？以下我们整理了几位自学成才的专家的经验分享：

必要的基础和准备

任何具有三到四年IT领域实践技能经验的人都应该能够学习渗透测试的基础知识，包括如何主动发现和修补漏洞。如果您从一个不相关的领域过来，请 学习命令行 （Windows或Linux），并在参加渗透测试课程之前参加编程或网络的基础课程。

建议者：Tyler Webb，渗透测试专家、信息安全团队负责人

未来的雇主可能会通过代码审查和针对他们控制的环境的渗透测试来测试您的知识。

建议者：Jared Eversmeyer，渗透测试人员和安全研究员，“Hacker for hire”负责人

在这个快速发展的领域，认证比学位更重要 ， OSCP 是业界最权威的渗透测试认证。其次，态度也胜过经验，有抱负的渗透测试人员需要一个正确的心态。安全，无论是防守还是攻击，都在不断变化。今天有用的，明天不一定。

建议者：Whelton网络服务总监Brian Whelton

Whelton建议渗透测试新手不要错过以下这些入门视频：

• Phill Kimpton的 Soldier to Cyber
• James Hickie的 打开网络安全的机会之门
• 从n00b到1337：一个CTF故事 – 工作头衔！ ，Sophia McCall

掌握基础知识

根据Eversmeyer的说法，如今应用程序在计算机，手机甚至家用电器到云端无处不在，学员应该首先专注于学习web和移动应用程序测试。网上有许多自定进度的培训课程（有些甚至是免费的），你可以报名参加训练营。

在教育方面，Whelton喜欢 百库Cybrary ， CBT Nuggets ， ITProTV 或YouTube相关频道这几个平台学习渗透测试的基础知识。同时，通过 在家中设置虚拟渗透测试实验室来 练习。

就 工具 而言，大多数学员通常使用渗透测试发行版系统，例如 Kali Linux 或 Black Arch ，这些系统提供完整的工具库来帮助测试。

“如果您只是学习一些专门用于测试Web应用程序的工具，我建议您使用 Burp Suite， Nmap 和 Nikto ，”Eversmeyer说。“通过 DNSdumpster 和 Myip.ms 这些工具和网站，我可以找到有关网站基础设施的所有信息。可以分析源代码并寻找操作它的方法。“

证明你的技能

虽然 渗透测试人员供不应求 ，但自学成才的专业人士应聘时依然需要证明他们具备相应的能力。自学成才人士磨练并证明技能的另外一个重要途径是积极参与bug漏洞赏金计划。此外，参加 Hack the Box 、 Immersive Labs 或 CTF夺旗比赛等挑战 也是展示“技术肌肉”的绝佳方式。

此外，经常参加线上社区、社交媒体群组、行业会议、为专业媒体贡献内容等都是融入渗透测试行业的好方法。