安全攻防技能30讲
何为舟
前微博安全研发负责人
立即订阅
3618 人已学习
课程目录
已完结 40 讲
0/4登录后,你可以任选4讲全文学习。
开篇词 (1讲)
开篇词 | 别说你没被安全困扰过
免费
安全基础概念 (5讲)
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
02 | 安全原则:我们应该如何上手解决安全问题?
03 | 密码学基础:如何让你的密码变得“不可见”?
04 | 身份认证:除了账号密码,我们还能怎么做身份认证?
05 | 访问控制:如何选取一个合适的数据保护方案?
Web安全 (7讲)
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
07 | SQL注入:明明设置了强密码,为什么还会被别人登录?
08 | CSRF/SSRF:为什么避免了XSS,还是“被发送”了一条微博?
09 | 反序列化漏洞:使用了编译型语言,为什么还是会被注入?
10 | 信息泄漏:为什么黑客会知道你的代码逻辑?
11 | 插件漏洞:我的代码看起来很安全,为什么还会出现漏洞?
12 | 权限提升和持久化:为什么漏洞修复了,黑客还是能够自由进出?
Linux系统和应用安全 (5讲)
13 | Linux系统安全:多人共用服务器,如何防止别人干“坏事”?
14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?
15 | Docker安全:在虚拟的环境中,就不用考虑安全了吗?
16 | 数据库安全:数据库中的数据是如何被黑客拖取的?
17 | 分布式安全:上百个分布式节点,不会出现“内奸”吗?
安全防御工具 (7讲)
18 | 安全标准和框架:怎样依“葫芦”画出好“瓢”?
19 | 防火墙:如何和黑客“划清界限”?
20 | WAF:如何为漏洞百出的Web应用保驾护航?
21 | IDS:当黑客绕过了防火墙,你该如何发现?
22 | RASP:写规则写得烦了?尝试一下更底层的IDS
23 | SIEM:一个人管理好几个安全工具,如何高效运营?
24 | SDL:怎样才能写出更“安全”的代码?
业务安全 (6讲)
25 | 业务安全体系:对比基础安全,业务安全有哪些不同?
26 | 产品安全方案:如何降低业务对黑灰产的诱惑?
27 | 风控系统:如何从海量业务数据中,挖掘黑灰产?
28 | 机器学习:如何教会机器识别黑灰产?
29 | 设备指纹:面对各种虚拟设备,如何进行对抗?
30 | 安全运营:“黑灰产”打了又来,如何正确处置?
知识串讲 (3讲)
模块串讲(一) | Web安全:如何评估用户数据和资产数据面临的威胁?
模块串讲(二)| Linux系统和应用安全:如何大范围提高平台安全性?
模块串讲(三)| 安全防御工具:如何选择和规划公司的安全防御体系?
特别加餐 (5讲)
加餐1 | 数据安全:如何防止内部员工泄漏商业机密?
加餐2 | 前端安全:如何打造一个可信的前端环境?
加餐3 | 职业发展:应聘安全工程师,我需要注意什么?
加餐4 | 个人成长:学习安全,哪些资源我必须要知道?
加餐5 | 安全新技术:IoT、IPv6、区块链中的安全新问题
结束语 (1讲)
结束语 | 在与黑客的战役中,我们都是盟友!
免费
安全攻防技能30讲
登录|注册

结束语 | 在与黑客的战役中,我们都是盟友!

何为舟 2020-03-06
00:00
05:02
讲述:何为舟 大小:4.62M
你好,我是何为舟。今天,我们的安全专栏迎来了尾声。
在学习本专栏之前,你可能认为黑客就和电影里面一样,对着命令行噼噼啪啪地敲键盘,就能够控制某个大型的系统,引起一场轰动的事件。但经过这段时间的学习,我相信你对黑客一定有了一个更理性的认知。
所谓黑客,不过是极其深入地研究了某一项技术的每一个细节,从而找到技术中的安全漏洞的人,是一帮对技术钻研有着无限热情的“极客”。而安全人员则是修复安全漏洞,拦截攻击,为公司提供安全防护的“守夜人”。
所以,安全其实并不神秘,我们每一个人都可以参与到安全工作中来。那本专栏能够帮助你全面系统地了解安全知识,这些安全知识就足够你“入门安全”了。但如果你想要在安全的路上走得更远,唯有不断提升自己的能力。
在我看来,自我提升的方法只有两个:实战和沟通。
在整个专栏中,我都在强调实战的重要性。这和参加奥数竞赛是一个道理,光是跟着老师上课,学各种解题技巧是不够的,“题海战术”才是通过考试的唯一真理。只有通过大量的实战训练,你才能在每次做题的时候,迅速想起对应的解题技巧。
黑客的攻击也是一样,拿到一个攻击目标,应该通过哪些漏洞的“组合拳”突破防御,这对于资深黑客来说,基本是下意识就能想到的事情。而对于负责防御的安全人员来说,怎样合理地选取和应用我们学过的防御理论、框架和工具,其实同样是需要经过实战训练的。
那么,针对网络安全的实战演练,我在加餐 4中整理了一些渗透实战平台,你可以进行有针对性的训练,这里我就不再多赘述了。
但是,实战演练毕竟只是“演练”,真正面对黑客攻击或者在做安全建设的时候,我们难免会因为压力过大,和对业务的不熟悉等等原因而出错。但幸运的是,目前很少会有黑客抱着搞死一家公司的心态去发起攻击,大部分黑客即使成功入侵,也会点到即止。因此,在安全工作中,即使出现错误,往往也不会造成特别严重的后果。
因此,我鼓励你大胆去尝试,只有在试错的过程中,不断吸取教训、总结经验,才能做到自我提升。
有句话说“三人行必有吾师”,除了实战之外,沟通也是安全行业内非常重要的一个技巧。在安全行业中,有一个特别有意思的现象,那就是“圈子”文化。资深的“白帽子”、各个公司的安全大佬们,都有各自紧密联系的“圈子”。
“圈子”文化形成的原因有很多,我认为其中比较重要的一个原因,就是公司和黑客之间的攻防对抗严重不对等。作为防御方的安全人员,我们需要关注所有的威胁点,而且是长期的关注,因此我们的精力常常会受到限制,很难做到面面俱到。而作为攻击方的黑客,只需要在一段时间内集中攻击某个点,就能够取得想要的结果。
这种攻防不对等推动着各个公司的安全团队形成了联盟,也就是安全圈。在开发行业中,通过阅读资料、参加分享会等,我们能够学习到很多实用的知识和技巧。但是在安全行业中,单向的学习并不够,你只有和同行深入沟通,才能够真正掌握安全的精髓。因此,我鼓励你多和同行沟通,一起探讨你们在安全工作中的经验和思考,共同推动安全的发展。
对于任何一个公司来说,安全能力都是一家公司走向稳定的必要条件。随着互联网行业逐步进入后半场,越来越多的公司从野蛮生长进入稳定发展的阶段。无论是对专业的安全人员,还是业务的开发、测试、运维等人员来说,安全都将是一个必备的技能。
好了,这就是我要和你分享的经验和思考。我想告诉你,在未来的安全学习和工作中,即使遇到困难,也不要灰心和气馁,因为安全从来不是一个人在战斗,在与黑客的战役中,我们都是盟友!
最后,感谢你这三个多月的学习与坚持,希望你能花两三分钟的时间完成一份毕业问卷。欢迎你在问卷中畅所欲言,表达出自己真实的学习感受和意见,期待你的反馈。
取消
完成
0/1000字
划线
笔记
复制
unpreview
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
该试读文章来自付费专栏《安全攻防技能30讲》,如需阅读全部文章,
请订阅文章所属专栏。
立即订阅
登录 后留言

精选留言(9)

  • 鸵鸟
    感谢何老师,请问你对移动设备系统安全的工程师转web安全工程师有什么建议嘛?或者说面试过程中必备的技能点是什么呢?加分项又是什么呢,可以通过业余时间学习的那种

    作者回复: 不太清楚你所说的“移动设备系统安全”具体是干啥的,听起来像是做底层系统加固的?这些技能感觉本身已经挺不错的了。通常来说,web安全工程师的加分项主要就是ctf了,最好能够自己做一些扫描或者防御类的小工具。

    2020-03-07
    2
  • tt
    感谢老师!

    我是纯粹的应用开发人员,平常非常零碎的接触过安全话题的某些点,这个课程将它们全部都系统化了。
    2020-03-06
    1
  • Quiet ForFun
    谢谢老师
    2020-03-13
  • 王凯
    感谢老师!
    2020-03-11
  • QQ怪
    感谢老师的分享,的确开阔了视野,加油💪
    2020-03-10
  • 树洞老人
    感谢老师!对系统安全有了个宏观的了解,让人从某个点剥离出来,可能学一遍没法全部掌握,但是会给自己一个整体的视野,遇到问题,就知道从哪些方面去考虑,通过这些天学习,也逐渐认识到自己的系统在某些地方可以做的更好!至于具体的技术深度就需要按照自己的需要去钻研了
    2020-03-07
  • Daiver
    学完了。
    2020-03-07
  • 许童童
    感谢老师
    2020-03-06
  • 陈优雅
    跟完了,有一定收获,谢谢。
    2020-03-06
收起评论
9
3
返回
顶部