Востребованы ли сейчас на рынке труда специалисты по безопасности веб-сайтов?

Question

[Ivan Karabadzhak]

Интересная для меня тема. Вот думаю, стоит попробовать учиться дальше в этом направлении, или писать на Java и не выпендриваться?

Что скажите?

Если да, то что должен знать такой специалист?

Answer 1

[LMaster]

Востребованы. Знать вы должны примерно следующее:
1) Как можно больше технологий и языков программирования для web (PHP, Perl, Python, ASP и т.д.).
2) Как можно больше СУБД и особенности каждой из них.
3) Наиболее распространённые уязвимости: SQL-injection, XSS, CSRF, include и т.д. Методы обхода фильтров и WAF'ов. Редкие уязвимости.
4) Правила и особенности грамотной настройки web-серверов в Windows и *nix.
5) Специфику эксплуатации уязвимостей на разных конфигурациях (ОС/web-сервер/СУБД/ЯП).
6) Неочевидные вектора и уязвимости дизайна.
7) Автоматизированные средства для поиска уязвимостей.
8) Методы аудита безопасности сайтов.
9) И т.д.

Comments

[Ivan Karabadzhak]

Крутой список :D. Спасибо.

Answer 2

[omnimod]

Сама область ИБ достаточно востребована на рынке, но сознательное ограничение специализации исключительно безопасностью сайтов — весьма недальновидно. Чтобы быть хорошим безопасником, нужно много вещей из смежных областей знать: и ОС, и ПО, которое необходимый функционала обеспечивает, и принципы работы протоколов, и общепринятые стандарты, и законы, и бумажки хорошо и складно писать, и хорошо бы еще сертификацию пройти. Иначе будет как у Райкина — к пугивицам претензий нет, а весь костюм никуда не годится.

Answer 3

[Илья Плотников]

Пока сайты взламывают, такие специалисты востребованы. Правда, я не представляю, что после вложения в разработку сайта большого количества средств мне понадобится спец по безопасности. С другой стороны, если мне нужен такой специалист, значит я сэкономил на разработке и вряд ли буду оплачивать работу полностью. Но это только теория, не знаю уровень дохода таких людей.

Answer 4

[cencio]

Востребованы знания, как писать сайты без «дыр», продолжая обучатся в данной области не прогадаеш.
Еще бывают нужны специалисты/консультанты, которые могут провести аудит безопасности сайта. Но это одноразовая работа, работая консультантом только по этой теме, загрузится полностью будет сложно

Comments

[Константин Фролов]

У владельцев уязвимого сайта может быть несколько магазинов. И если специалист найдёт уязвимость (с позволения владельца), мне кажется что и для других сайтов закажут

Answer 5

[Николай Васильчук]

В больших проектах — востребованы.
В компаниях «сайт за 5000 рублей» — конечно же нет.
Работу найти будет довольно сложно, т.к. специалистов по безопасности больше, чем крупных проектов. Однако, если найдете, это скорее всего будет «золотая жила». Хотя здесь всё зависит от ваших знаний.

Comments

[Ivan Karabadzhak]

Ясно, спасибо.

[charon]

я разделяю мнение товарища Anonym.