薪酬发展

本月薪资中位数 ¥8645,比较上月 -2.65%,其中 78%的渗透测试工程师任职年龄在24岁以下

  • 月薪环比变化
  • 工作年限薪酬分布
  • 2021年8月 月薪中位数 8765 环比上月:+0.74%
  • 2021年9月 月薪中位数 8845 环比上月:+0.91%
  • 2021年10月 月薪中位数 8724 环比上月:-1.37%
  • 2021年11月 月薪中位数 8897 环比上月:+1.98%
  • 2021年12月 月薪中位数 8988 环比上月:+1.02%
  • 2022年1月 月薪中位数 9249 环比上月:+2.9%
  • 2022年2月 月薪中位数 9093 环比上月:-1.69%
  • 2022年3月 月薪中位数 9212 环比上月:+1.31%
  • 2022年4月 月薪中位数 9203 环比上月:-0.1%
  • 2022年5月 月薪中位数 9106 环比上月:-1.05%
  • 2022年6月 月薪中位数 8880 环比上月:-2.48%
  • 2022年7月 月薪中位数 8645 环比上月:-2.65%
  • 工作年限:1年以内 月薪中位数:6796
  • 工作年限:1-3年 月薪中位数:9004
  • 工作年限:3-5年 月薪中位数:11319
  • 工作年限:5-10年 月薪中位数:15360
  • 工作年限:10年以上 月薪中位数:22578

数据截止日期:2022年7月

数据来自 CSL 职业科学实验室

职业发展

  • 2021年8月 月薪中位数 8765 环比上月:+0.74%
  • 2021年9月 月薪中位数 8845 环比上月:+0.91%
  • 2021年10月 月薪中位数 8724 环比上月:-1.37%
  • 2021年11月 月薪中位数 8897 环比上月:+1.98%
  • 2021年12月 月薪中位数 8988 环比上月:+1.02%
  • 2022年1月 月薪中位数 9249 环比上月:+2.9%
  • 2022年2月 月薪中位数 9093 环比上月:-1.69%
  • 2022年3月 月薪中位数 9212 环比上月:+1.31%
  • 2022年4月 月薪中位数 9203 环比上月:-0.1%
  • 2022年5月 月薪中位数 9106 环比上月:-1.05%
  • 2022年6月 月薪中位数 8880 环比上月:-2.48%
  • 2022年7月 月薪中位数 8645 环比上月:-2.65%
  • 工作年限:1年以内 月薪中位数:6796
  • 工作年限:1-3年 月薪中位数:9004
  • 工作年限:3-5年 月薪中位数:11319
  • 工作年限:5-10年 月薪中位数:15360
  • 工作年限:10年以上 月薪中位数:22578

入门指南

从业条件

  • 学历要求

    大部分要求大专及以上

  • 相关专业知识

    网络安全、信息安全

职业划分

测试岗根据不同的业务及行业,还有以下几种职业分类:

  • 自动化测试工程师

    查看百科 >

    负责自动化测试整体架构设计,框架、工具、平台的开发和实现的专业技术人员。

  • 移动端测试工程师

    查看百科 >

    负责对移动设备软件产品进行测试,发现产品缺陷,提升产品性能,减少产品漏洞的人员。

  • 软件测试工程师

    查看百科 >

    根据产品需求,对软件功能、性能等各方面实施测验和质量把控的技术人员。

展开 (4)

推荐书籍

工作中,渗透测试工程师常会用到以下书籍

  • 9.2

    内网安全攻防:渗透测试实战指南

    徐焱/贾晓璐
    推荐6
  • 9.1

    Web安全攻防:渗透测试实战指南

    徐焱/李文轩/王东亚
    推荐112
  • 9

    CISSP

    JamesM.Stewart/EdTittel/MikeChapple
    推荐2
  • 9

    Metasploit渗透测试魔鬼训练营

    诸葛建伟/陈力波/田繁/孙松柏/等
    推荐1

入行评估

解析职位间的匹配度,更快评测转行难度

当前职位
请选择当前职业
转到
渗透测试工程师

选择当前职业,查询转行数据

看看其他人如何入门的

  • 如何具备独立展开渗透测试的能力?

    进行渗透测试首先需要确认渗透测试项目的起始状态。定义起始状态的最常见的方法是确定选择黑盒测试或白盒测试或灰盒测试。 测试类型的选择   黑盒测试存在不少问题。由于被测系统的原因,也由于测试者对环境的熟悉程度不同,要估算侦察阶段能持续多长时间是很困难的,而且侦察阶段的长短涉及到费用问题。但是,如果测试时间不足,渗透测试往往可能“流产”。还有一点不太现实的因素,就是一个有着强烈动机的攻击者在仔细研究攻击目标时,是不会顾及那些限制因素的,因为他往往是专业的渗透测试者。所以,我们建议实施灰盒测试而不是黑盒测试。   如果渗透测试者可以与被测试系统有密切接触,或者充分了解被测系统,就可以明确地定义渗透测试的目标,并且测试报告的结果往往也可以预料。被测者要向测试者提供一些关于目标系统的细节,如网络信息、系统类型、公司的流程、服务,等等。白盒测试一般关注的是具体的业务目标,如满足合规需要,而不是一般性的评估,而且由于受到目标系统的范围限制,白盒测试往往是一种更为简短的任务。白盒测试能够减少信息收集的工作量,如侦察服务,可以减少渗透测试服务的成本。因而,内部的安全团队往往进行白盒测试。   什么情况下实施灰盒测试?答案就是在客户或系统的所有者同意在侦察阶段需要发现一些未知信息时,但又允许渗透测试人员跳过这个部分。渗透测试人员从系统所有者那里得到一些目标系统的基本信息;然而,内部工作和有些特权信息仍对渗透测试者保密。   真正的攻击者在攻击目标之前都要收集一些关于目标的信息。多数攻击者并不会选择随机的目标。攻击者往往有着强烈的动机,并且在攻击之前往往以某种方式与攻击目标进行交互。灰盒测试对于许多执行渗透测试的安全专家来说是很有吸引力的,因为这种测试模仿攻击者使用的真实方法,并且其关注的重点是漏洞而不是侦察。   测试范围定义了渗透服务怎样开始,怎样执行。渗透测试应当进行信息收集,用以记录目标环境和定义任务的范围,这样做的目的是避免一些不必要的侦察服务或超出范围的攻击系统。   真正的攻击者往往不受时间、资金、道德、工具的限制,这意味限制渗透测试的范围并不能代表真实情况。例如,一个渗透测试者可以捕获用户登录到关键系统的凭据,他根本无需测试这些系统是否容易遭受基于网络的攻击,就可以访问这些系统。还有很重要的一点,就是哪些人应知道渗透测试。真正的攻击者可能会在任何时间发动攻击。    确定渗透测试的范围   在制定渗透测试的范围时,你应该注意如下基本要点:   · 目标系统的确定:即确定应当测试哪些系统。其中包括网络位置、系统类型、对这些系统的业务使用等等。   · 测试工作的时间范围:测试应当在何时开始?为满足指定的测试目标,确定的时间范围是什么?   · 如何评估目标系统:你允许使用哪些测试方法(如扫描和漏洞利用)?如果你允许使用特定的测试方法,会带来哪些风险?如果由于渗透测试而造成目标系统无法运行,其影响是什么?例如,通过冒充雇员而使用社会网络,对关键系统使用拒绝服务攻击,对有漏洞的服务执行脚本,等等。有些方法可能比其它方法给系统带来更高的风险。   · 工具和软件:在渗透测试期间,你要使用哪些软件和工具?很多安全专家认为,如果泄露了工具就等于泄露了秘密武器。只有在安全专家在使用一些可以广泛获得的商业产品时,并且只是根据这些产品的报告来重新打造自己的品牌时,你才可能需要保密。有经验的安全专家会透露自己使用的工具,在揭露漏洞时,还要记录使用了工具的哪些命令才发现了漏洞。这可以使漏洞利用重现,并且允许客户真正理解系统是如何被攻破的,也可以理解漏洞被利用的难度。   · 通知哪些人:谁应当知道渗透测试?向哪些人做简要的叙述?需要他们做准备吗?对渗透测试的反应是测试范围的一部分吗?如是这样,在进行测试之前,不通知安全运营团队就很有意义。如果你测试的是一款由另一方(例如,云服务供应商)托管的 Web 应用时,通知对方就非常重要,因为你的服务可能会影响到供应商。   · 初始访问水平:在开始渗透测试之前,要提供哪些类型的信息和访问?渗透测试人员可以通过互联网或内联网访问服务器吗?允许哪些类型的最初等级的账户访问?对每个目标系统来说,这是一个黑盒测试、白盒测试还是灰盒测试?   · 目标范围的定义:这里就是要确定渗透测试中的具体业务功能。例如,对销售人员使用的特定 Web 应用程序执行渗透测试,还不能影响到托管在同一服务器上的不同应用。   · 关键操作范围的确定:渗透测试者必须确定应避免改变和影响哪些系统,其目的是防止渗透测试服务造成的负作用。是否应禁止访问活动的认证服务器?非常重要的问题是,在对目标进行渗透测试之前,就明确定义对哪些资产进行测试。   · 标准的定义:渗透测试应该在何种程度上来攻击系统或过程?是否应当清除数据,或者攻击者仅需要获得特定水平的未授权访问?   

职业成长

学习管理知识

  • 测试工程师如何输出高绩效成果?

    石阳雨杉 年终绩效是家人们很care的一个关键词同是一个team,A与B同是965,同样的付出,我个人绩效长篇大字,细到每个事件的细节,但是B只是用一个数据表列了几个字段的指标数据,为何B的绩效比我高,领导更喜欢他呢?那是因为他抓住了领导关注的几项成果指标,例如量化的数据,季度提效百分比,因为领导向来都只是看结果,很少会关心这个事件完成的过程,所以你明白你输在哪了吗?那么在一家企业辛苦付出了一年,如何在年尾 573 阅读 · 8 收藏

  • 出现线上 bug,测试人能做些什么?

    程序员小谭 测试奇谭,BUG不见。一提到线上问题,很多测试小白要么”原则性“恐惧,要么憨憨如也,不知如何下手。本篇文章,我再细化下这道常见的面试题,跟大家捋捋发生线上问题,作为测试人,该有的思路。首先,直接给出万金油三步公式:第一步,初步排查,快速恢复业务;第二步,查找问题根本原因,彻底解决;第三步,团队分享,避免出现类似问题。这三步中的措辞,十分重要。特别是第一点——初步排查,快速恢复业务。出现问题,不要一 936 阅读 · 10 收藏

  • 性能测试如何定位分析性能瓶颈?

    测试小牛 你好,我是小牛。关于性能测试,这块水还是很深的。之前性能测试也写过几篇文章,作为铺垫,可以看一下如何自学性能测试?新人做性能测试,如何确定目标压测TPS?性能测试如何做全链路压测?对于一般公司普通测试工程师来说,可能性能测试做的并不是很复杂,可能只是编写下脚本,做个压测,然后输出报告结果,瓶颈分析和调优的事都丢给开发去做。在一些大厂都有专门的性能测试团队去定位分析系统性能瓶颈,并进行调优。但是,这 1.1K 阅读 · 1 评论 · 25 收藏

  • 测试从业者如何做好职业规划?

    石阳雨杉 切入点:1.职业路途什么时间点适合做职业规划?2.测试行业从业者如何做好职业规划?(ps:这2个问题,留给大家~欢迎大家根据自己的经验积累给出好的建议!)首先我们看看职业规划测试从业者能够走哪些路聊聊职业心得我相信很多测试从业者都是野路子出家,在周围朋友介绍或者通过自己了解测试行业,觉得入门低,薪资可观,尝试踏入这个大门,当一只脚踏进这个门,想过以后自己该如何发展吗?我之前的想法是:“等我做几年测 552 阅读 · 6 收藏

求职面试

热招企业

转行辅助

转行推荐

渗透测试工程师的下一份工作大多会选择以下职业

  • 转行成功率
    较高
    找到工作的平均时间约13个月 54%的求职者成功转行
  • 转行成功率
    较高
    找到工作的平均时间约17个月 19%的求职者成功转行
  • 转行成功率
    较高
    找到工作的平均时间约17个月 14%的求职者成功转行

渗透测试工程师转到其他职业的难易程度?

当前职位
渗透测试工程师
转到
请选择目标职业

选择目标职业,查询转行数据