应用安全与网络渗透测试

Question

我是一个拥有大约7年经验的web开发人员，但在过去的12个月里，我已经进入了网络安全领域，所以我已经开始在工作中实现安全代码实践和OWASP良好实践。我一直在准备做我的OSCP，我做了几个CTF，因为赋值似乎真的很有趣，虽然我认为应用程序安全性更适合我。

我注意到应用程序秒的家伙没有/需要大量的证书集合，就像戊酯一样。

1)除了阅读网页应用程序黑客手册、实现OWASP安全方法和做CTF外，我还可以在不购买pwk课程(OSCP)的情况下进入应用安全领域？

2)是否值得采取OSCP成为一名新的应用程序安全专家或任何其他证书？

3)网络渗透测试与web应用安全在日常工作任务上有什么大的区别？

Answer 1

1)在OverTheWire.org上尝试“纳塔斯”的战争游戏，这对学习概念和在行动中学习它们都有好处。他们有一堆不安全的应用程序，你可以练习利用。此外，OWASP还有一个名为WebGoat的实践(不安全)应用程序进行测试。

2)同一公司(攻击性安全)也提供OSWE (攻击安全Web专家)。如果您想选择应用程序路线，我肯定会推荐您使用OSWE。OSCP涉及应用程序端，但更侧重于网络。

3)应用程序安全工程师将严格执行应用程序/代码。网络测试人员与整个网络一起工作。网络可以由PC机、服务器、路由器、防火墙、交换机等组成。因此，它们将更多地关注网络设计、攻击者如何在网络上移动并利用网络上的机器。应用程序将完全集中在特定的应用程序/软件上。

网络山羊：https://www.owasp.org/index.php/Category:OWASP_WebGoat_项目

Natas：http://overthewire.org/wargames/natas/

OSWE：https://www.offensive-security.com/information-security-certifications/oswe-offensive-security-web-expert/