安全攻防技能 30 讲
何为舟
前微博安全研发负责人
34680 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
课程目录
已完结/共 41 讲
开篇词 (1讲)
安全攻防技能 30 讲
15
15
1.0x
00:00/09:32
登录|注册

开篇词 | 别说你没被安全困扰过

讲述:何为舟大小:8.74M时长:09:32
建议多练习,多总结
希望能够给想往安全专业发展的同学一些指引
设计了几篇不定期加餐,加深对安全的理解
学完专栏后既懂“攻”又懂“防”,既懂理论也懂实践
业务安全
安全防御工具
Linux系统和应用安全
Web安全
安全基础
实践出真知,通过思考题进行“沙盘演练”
安全学习过程中宽度比深度更重要
安全入门需要掌握前端、后端、操作系统、网络等知识
公司初期的安全需求相对简单
建议开发和管理人员具备基础的安全知识
小公司缺乏安全,大公司补安全
安全是公司不可或缺的一环
公司工程师缺乏安全意识
Equifax数据泄露事件导致损失
参与全球网络安全竞赛,做过渗透测试,取得信息系统安全专业认证
曾在新浪微博负责网络安全和业务安全研发和设计
美团点评安全平台负责人
信息安全专业本硕学历
期望
专栏内容
学习安全
安全意识
作者背景
作者:何为舟
文章主题:为什么要学习安全?

该思维导图由 AI 生成,仅供参考

你好,我是何为舟,很高兴能在这里和你聊安全。
我喜欢安全,本科和硕士读的都是信息安全专业。在工作中,我会把自己想象为一名仗剑走天涯的侠客,哪里有安全问题,我便会拔刀相助。我喜欢那种解决完问题后的快感,那场景就好像有人和我说,“感谢大侠的救命之恩”。
我现在是美团点评的安全平台负责人。在加入美团之前,我曾任职于新浪微博,负责网络安全和业务安全方向的整体研发和设计工作,这其中包括攻防对抗、安全工具开发、风控系统等。
作为一个安全侠客,我打过全球流行的网络安全竞赛CTF,做过渗透测试,还考取了信息系统安全专业认证。在安全这件事情上,我还真有挺多话题想和你聊。

为什么要学安全?

首先,不知道你是否还记得 2017 年 9 月美国知名征信公司 Equifax 的数据泄露事件,这事导致了 1.45 亿美国居民个人隐私信息被泄露。受事件影响,Equifax 公司市值瞬间就蒸发了 30 亿美元,最后还赔偿给用户 4.25 亿美元,可谓损失惨重。后来,Equifax 公司复盘了安全事故的原因,发现这个事故的罪魁祸首,居然是一个早已被披露出来的安全漏洞,叫作 Apache Struts,真是让人哭笑不得。
你说这事难吗?现在看起来,一点都不难。但问题出现在什么地方呢?我觉得核心点是 Equifax 公司的工程师可能没有安全意识,也没有把安全当成一个优先级很高的事情去做。
同样的事情其实还有很多,我觉得 Equifax 公司的低级安全事件,应该给我们每一个程序员敲响警钟,我们在追求开发效率的同时,一定要把“安全”这俩字“放在心上”。
其次,从公司的角度来说,安全同样是不可或缺的一环。
任何一家公司都会存在安全的刚需问题,肯定需要有人来解决它。但是,公司招人组建安全团队,需要投入较大的成本。而这部分安全的成本,很多时候并不产生直接的收益。因此,对很多公司来说,业务都没成熟,就去考虑安全,是不合算的。这也就产生了一种现状:小公司没有安全,大公司都在“补”安全。
从安全发展角度上来讲,这种前期不重视安全,后期再补安全的做法,是很不利的。一方面,在发展前期留下了极大的安全隐患,公司可能在一次攻击后就彻底垮台了。另一方面,后期补安全,会因为安全去改动已经发展成熟的业务,导致安全和业务产生冲突,从而阻碍安全发展。
于是,矛盾点就产生了:很多规模不大的公司不愿意投入成本去做安全,但从长远考虑又需要安全。那该怎么办呢?我认为,如果业务的开发和管理人员,能够具备基础的安全知识,尽早做好安全规划,就能够以很低的成本满足公司前期的安全诉求
因此,如果你想要在企业的全面发展中占据一席之地,或者是在管理方向上走得更“远”,那么我建议你,尽早地掌握安全知识,掌握企业安全防护的专业技巧。

我们究竟该怎么学习安全呢?

你可能会存在这样的顾虑:安全可能需要花上几年时间学习和实践才能小有所成,时间成本是否有点高呢?确实,想要真正做好安全,时间的磨砺是不可或缺的。但是,这并不意味着你需要几年后再去从事安全相关的工作。正如上面所说的,公司初期的安全需求相对简单。因此,你完全可以快速入门,然后投入到公司的安全需求中去。接下来,你就可以随着公司的发展,边学习边做安全
那么,学习安全是否门槛很高、难度很深呢?学习安全的过程中,你可能需要懂前端、懂后端、懂操作系统、懂网络。需要懂的知识非常多,但幸运的是,对于安全入门来说,宽度比深度更重要。因此,对于这些基础知识,深刻理解自然更好,但是懂些皮毛也足够了。在专栏中,我也会由浅入深,对安全需要的基础知识进行讲解。
你还可能会问:没有实践的机会,我能不能学好安全呢?确实,实践出真知,个人安全能力的提升,需要经过不断的磨练。跟着专栏进行学习,我相信你可以具备解决安全问题的基本能力。为了帮助你快速实践,我会通过思考题的形式,去引导你分析自己所在公司的现状和未来。你可以将你的所思所想发表出来,共同探讨,进行“沙盘演练”。
总结来说,本次专栏的定位是安全基础课。在专栏的覆盖面上,我会力求全面,让你能够了解安全的方方面面。我希望,通过对安全专栏的学习,你能够具备安全思维,在遇到安全问题的时候,有解决问题的方向和路径。
这里,我为你准备了一张安全攻防知识全景图,包含你需要掌握的所有相关知识。建议你最好保存下来,在之后的学习过程中,有针对性地去训练自己。
在内容设计上,我根据安全方向的不同,把专栏内容划分为五个模块。
在第一模块“安全基础”中,我首先会为你系统地讲解安全基础概念、思考框架,以及解决安全问题的思路,带你从理论层次认知安全,让你能够系统地看待安全问题、评估安全需求,为你的安全学习指明方向。
在第二模块“Web 安全”中,我会为你讲述 Web 安全中一些经典安全问题的成因,结合当下 App 端各类接口中存在的 Web 漏洞,让你了解常见的 Web 攻防手段,帮助你在开发时,从源头切断安全问题。
在第三模块“Linux 系统和应用安全”中,我会为你讲解底层攻击的各种手段,以及它们会产生的影响,让你掌握其中的原理,能够在部署底层设施时,遵守安全事项,避免产生运维层面的安全问题。
在第四模块“安全防御工具”中,我会结合真实的安全防护案例,为你介绍六大安全防御工具的使用方法和适用场景。另外,我还会总结一些常见的安全防御手段,引导你建设系统级的安全防御体系。
在第五模块“业务安全”中,我会为你讲解“黑灰产”的常见手段,教你识别查找“黑灰产”的方法及防护策略。另外,我还会联系实际业务场景,手把手教你系统解决业务安全问题。
我希望学完这个专栏之后,你能够既懂“攻”又懂“防”,既懂理论也懂实践。比如,你既能知道怎么发起一个简单的 SQL 注入攻击,也能够知道怎么从代码开发层次进行防御,同时也会了解到怎么通过和代码解耦合的 WAF 去做防御。又比如,你会知道怎么去规划和设计安全体系,以及在不同的阶段应该做什么事。
除了正文之外,我还设计了几篇不定期加餐,来和你聊一聊目前一些热门的安全方向,希望能够加深你对安全的理解。同时,加餐中也包含了我对个人发展的一些思考和建议。目前,安全行业普遍存在人才供给不足的现象,很多岗位招不到合适的人。因此,我希望结合我的个人经验,能够给想往安全专业发展的同学一些指引,教你成为“合适的人”。
最后,我想说,安全是一个特别重实践的领域,如果你有时间,一定要多练习,多总结。在课程设计中,我在每一节课后都留了思考题,希望你能够结合知识点,给出自己的思考。很多事情都没有标准答案,你梳理的过程本身也就是强化思考的过程,所以,千万不要有心理负担,大胆表达就可以了,我一定会尽我所能及时给你反馈。
如一开始所说,我喜欢安全,喜欢侠客精神。正在看这篇文章的你,我相信你也是如此。希望在接下来 3 个月的“刀光剑影”里,我们能互相切磋,一起成长!
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

这篇文章以“开篇词 | 别说你没被安全困扰过”为题,由美团点评的安全平台负责人何为舟撰写。作者强调了安全意识的重要性,并阐述了学习安全的必要性。文章首先提到了Equifax数据泄露事件,强调了安全意识的重要性,以及公司在安全方面的投入。作者认为,企业的发展需要安全规划,而具备基础安全知识的开发和管理人员可以以较低成本满足公司的安全需求。文章内容简洁明了,强调了安全意识的重要性,对读者了解安全领域的重要性和发展趋势具有一定的指导意义。文章内容涵盖了安全基础、Web安全、Linux系统和应用安全、安全防御工具以及业务安全等五个模块,为读者提供了全面的安全知识学习路径。作者还强调了实践的重要性,并提供了思考题的形式,引导读者分析自己所在公司的现状和未来,进行“沙盘演练”。整体而言,本文为读者提供了系统全面的安全基础课程,旨在让读者具备安全思维,解决安全问题的方向和路径。

2019-12-0964人觉得很赞给文章提建议

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《安全攻防技能 30 讲》
新⼈⾸单¥59
立即购买
登录 后留言

全部留言(51)

  • 最新
  • 精选
  • 业余草
    安全到底有多重要,我的服务器已经被植入了挖矿代码,还有很多发生了比特币勒索!https://mp.weixin.qq.com/s/hAQdUP0CtdHii9nyVT7w7A

    作者回复: 看这分析过程,大佬呀。

    2019-12-10
    3
    34
  • 二马
    企业信息安全由安全技术架构、安全流程制度和安全人员(意识)组成,相辅相成,光买产品堆砌无法达到很好的安全防护效果,因为安全在于建设更在于运营。运营既有技术层面的分析处置,也有流程制度方面的检查和规范。总的来说靠技术实现安全太难,从意识源头开始会事倍功半,如普通员工的安全意识,系统管理员的安全意识,开发人员的安全意识。当安全人人有责的意识深入人心,再辅以技术(安全产品,安全技巧),大部分的安全问题都能规避了。

    作者回复: 这么专业的评论,是同行嘛~

    2019-12-15
    2
    16
  • 进财
    网络安全的人力资源投入,资源投入,需要取得老板的认可还是比较困难的,有没有什么办法给老板洗脑,增加网络安全防护意识。

    作者回复: 你好,感谢你的留言。向上教育这个问题我相信很多人都有困惑,不过做法因领导而异,没什么统一的做法。就我之前的经验而言,最有效的办法是,挨了打就知道疼了。被入侵过,被薅几把羊毛,领导就开始重视了。即使你目前没人搞你,我觉得也可以在允许范围内,做一次演练,把问题暴露出来,推动起来会好做一些。

    2019-12-13
    2
    6
  • 等一分钟
    希望和各位一起学安全,打开思路,理清思绪,开拓视野。另外需要提前了解些什么。

    作者回复: 需要了解的太多,所以就不需要提前了解什么了。跟着课程边学边了解就好了,有不懂的就留言,或者自己百度,都行。

    2019-12-09
    5
  • rh
    这测试可以学习不

    作者回复: 可以,安全问题同样也是需要测试的

    2019-12-20
    4
  • Chocolate
    被白帽子拿了好多钱,过来补一补

    作者回复: 哈哈,我们一个严重漏洞都是几万十几万的给

    2019-12-09
    2
    4
  • tardc
    做安全需要范围很广的知识,自己总是陷入要先学好基础知识再去做安全的陷阱中。例如,学习Web安全,总认为先学好Web开发才能做好Web安全,这样就导致花费了很多的时间学习开发反而学习安全的时间不多。该怎么解决这样的问题呢?

    作者回复: 对于开发人员来说,想要入门一门语言应该是很快的。这个时候,其实就可以去学习安全了。比如对于XSS,你会写一个简单的html或者php其实就够了,剩余的遇到安全知识中涉及的Web相关知识,再针对性的去学习补充。

    2020-03-17
    2
  • 轩呀
    老师你好,我现在是在某乙方公司做安全运营,突然不知道自己需要掌握什么样的知识了,又不知道从哪里开始(缺的东西太多了),老师有什么建议嘛

    作者回复: 按需分配精力是最直接有效的方法。不知道学啥的时候,我认为首先需要明确未来的发展方向或者职业目标是什么。确定了之后,可以去列举出来对应的能力矩阵来,然后按照自己现状,找出薄弱点,进行补充学习。

    2020-03-10
    1
  • Ops360
    看到安全专栏,这就是我一直想需要的。经历了区块链挖矿,DDOS攻击,cc攻击,但还是不懂什么是安全,只是一味买买买一些防护产品。通过这个专栏的学习,我想真正懂得安全,感谢!

    作者回复: 你好,感谢你的回复。确实我也发现很多公司其实有遇到问题,但不知道如何去解决。防护产品确实有它的价值,但如果不配合公司自身安全体系的建设,是没办法达到很高的安全水平的。所以,别被乙方忽悠啦~

    2019-12-10
    1
  • 云轩
    公司天天收到上级信安部门的应用安全风险通报,每次看到“xxx系统存在安全风险,请马上关停整顿”都提心吊胆,晚上睡不着觉,按通报整改完了,还不知道是否还存在未知漏洞?自己很想体系化地去补一下安全这块的短板,看到这个课程毫不犹豫地报名了。

    作者回复: 现在很多公司都被入驻了网安办公室。。

    2019-12-10
    1
收起评论
显示
设置
留言
51
收藏
99+
沉浸
阅读
分享
手机端
快捷键
回顶部