Web 安全与渗透测试工程师应该学习哪些知识，他学习的内容知识流程是怎样的？

WEB安全与渗透测试工程师应该学习哪些知识，他学习的内容知识流程是怎样的？希望大家能推荐那种从WEB 安全入门的书到慢慢深入的书！

慕容庄:

基础知识：各类语言要能做到能看懂。前端的HTML，JavaScript,后端的 PHP,ASP,aspx,JSP等等。能做到70%的开发水平。数据库，通用的SQL语言要掌握，但是具体到不同的数据库 MySQL,mssql,Oracle等等，明白各自的特性。做到50%的dba水平。之后就是web平台，Apache,tomcat,IIS等，能自行假设和按需配置。能做到80%的运维水平。系统主要就是win 和 Linux，和运维类似。包括该平台下，其他常见的应用。80%运维水平。最重要的是，你可以不精通，但是在要用的时候，你的基础知识可以让你很快的理解并学会。

有了以上就算入门了，可以学web渗透技术了。这里不涉及内网渗透。owasp top 10总结的很好，主要就是这几个大类注入，xss，等等等等，网上资料一大把，也可以查阅白帽子。社会工程学很重要，自己思考吧。工具，尽量少用，就推荐wwwscan和burpsuite，额，还有Google。用好了就能搞定国内大多数web了。其他的不是说不能用，前提是你知道他做了什么，怎么做的。工具只是在帮你简化重复的工作而已。还有各种小技巧，慢慢摸索吧。实战出真知。………………………………………………………………再扯点高级的大数据社工库，甚至…… 这是渗透利器，你可以没有，但是你需要积累。心理学，学会如何分析一个人。记住，网站可以没有弱点，但是人，管理，一定有弱点。信息（情报）的搜集整理技术，高效的发现信息，整理信息，利用信息，非常关键。攒人品，平时待人接物要和善。总结一下。技术只能帮你发现漏洞，思路才决定如何利用漏洞。所以关键还是思路，牛逼的技术只是点，牛逼的思路才能把这些点连起来变成面，那时候，就要当心被拉去喝咖啡了！

陈航：

一个走向不惑之年的大叔：

要学的知识有很多，目前WEB应用主流的是PHP,JSP,以及.NET,你至少要对这些WEB应用有一定的了解，另外这些WEB应用都少不了JS（JavaScript），因此你还要对这块知识域有所学习，而目前无论大小网站后台都有数据库，如：MSSQL,MySQL,Oracle.....，你还要对数据库这块的知识有所了解，然后才好在以后的渗透工作中对SQL注入，XSS注入等知识理解透彻，只有明白了原理才能更好的开展工作。