研究web安全需要达到这样的水平才能去大厂做实习。

目前安全行业的情况是这样，脚本小子严重饱和，传统安全公司大牛被一线互联网或者360、创宇这样的乙方高薪挖走，属于青黄不接态。

第一批进入BAT行业的已经完成了他们的知识经验积累，懂得了互联网企业正确造轮子以及体系化建设的方法。有点跑题，但想说明的是Web安全不会没落，人才需求导向变为以web安全攻防为本进行分布式自动化扫描，流量分析等，我称之为根据业务造轮子。入侵感知系统的建设以及体系化工作，帮助企业少出事儿，出事儿了也控制损失。目前这类人才很多一二线互联网开出天价都招不到。

达到什么水平能去大厂实习？

编程语言： Python，PHP，Java/HTML/CSS/JavaScript 基础，Mysql。
开发工具： Phpstrom、Pycharm、Navicat、Microsoft Visual Studio、Notepad++等。

安全工具： Kali-linux、Metasploit、Burpsuite、Awvs、Sqlmap、Nmap、Cobaltstrike、Nessus、Xray、msf、蚁剑、冰蝎、哥斯拉等。

漏扫工具：awvs，appscan，xray...

安全技能：

信息收集：主动信息收集，被动信息收集。

Web 渗透：SQL 注入，XSS，CSRF，SSRF...

应急响应：windows 系统，linux 系统。流量分析：使用抓包工具 wireshark，burpsuite 抓包观察分析请求与响应数据包的特征，根据特征判定流量是否来源于可能的恶意攻击。

内网渗透：熟悉内网渗透思路及免杀方法，了解内网渗透的基本流程以及各个阶段的一般方法及工具使用，比如 msf，cs，empire 等。

熟悉 OWASP TOP10 相关漏洞原理、利用方法及防范措施。

熟悉 PTES 渗透测试流程并输出报告。 熟悉 TCP/IP 模型及常见网络协议。 了解代码审计流程及工具使用。至少以上列举的这些都足够了解，因为这些只是入行的门槛。网络安全对技能要求很高，况且阿里还是大厂，要求会更高，还是多看看招聘信息吧~