• 学习吧技术储备
    2020-03-16
    为啥考OSCP 证书有个锻炼身体😂

    作者回复: 因为考试时间是48小时,24小时渗透,24小时写报告。熬夜刷题,不锻炼身体,可吃不消。

    
    10
  • 尘封
    2020-07-04
    看完了 《白帽子讲 Web 安全》。发现一些简单的 web 安全题可以做出来,很多题大概知道考什么,但是没有思路,想知道应该怎么办。当然如果老师在北京,能约杯咖啡就更好了

    作者回复: 所谓思路,都是刷题刷出来的。。。

    
    3
  • qqq
    2020-02-21
    证书对找工作没什么用么。感觉好多JD都会说通过CISP、CISSP优先考虑

    作者回复: 对筛简历可能还是有用。但实际面试和评价的时候,没人会把这一项考虑进来。至少互联网行业内是这样,国企或者金融相关的,可能会有这方面政策要求,也许是个加分项。

    
    3
  • 麋鹿在泛舟
    2020-10-28
    备考过cissp,看书看书刷题,一个月突击通过

    作者回复: 厉害

    
    2
  • 知更
    2020-10-28
    <script>alert("ok")</script>

    作者回复: 没那么简单~

    
    
  • JianXu
    2020-08-27
    老师,哪里有长期渗透和企业防御方面的材料阅读吗?就是那种通过攻破员工邮箱慢慢从corp 网络开始一步一步拿到更高级别员工权限从而慢慢实现拖库操作,而且很有耐心慢慢拖,潜伏期极长。和我们作为公司安全部门,如何构建系统做相应防御。

    作者回复: 这类好像不多见,一般都是白帽子们会聊这类经验,不过大体思路其实差不多。对于安全部门来说,其实是需要找到整个攻击链路中,最有效的防御点进行拦截,然后逐步扩充,构建出整体的防御体系来。

    共 2 条评论
    
  • Teresa
    2020-03-23
    请问老师怎么看 安全管控、安全设计、安全开发这几个方向?对于安全管控、设计来说,没有安全实战攻防经验是不是一个短板?

    作者回复: 没太理解安全管控和设计是哪方面的工作,偏合规审计类的?这些主要还是看知识基础,没实战还好。不过实战经验是所有安全岗位的加分项。

    共 2 条评论
    
  • sunözil
    2020-03-11
    老师 源代码审计工具推荐一个

    作者回复: 最成熟的工具基本就是Fortify了,不过是商业产品,成本比较高。其他的开源或者免费的工具,误报率和漏报率,没听过能够满足使用诉求的。因此,静态代码扫描的实际落地不多见。

    共 2 条评论
    
  •        鸟人
    2020-03-02
    乌云漏洞库

    作者回复: 被查水表了好几年了~

    
    
  • leslie
    2020-02-21
    本期专栏终于出来了,课程留言中多次问及老师何时出此专栏,近年多次典型的安全事件爆出,引发了国内不少企业对于安全的重视。道哥的个人经历和极客时间的二叉树视频看过无数次,其个人履历同样激励了无数的后来者。 安全方面的书籍有读过一些:去年国内的运维大会就有DevSecOps的演讲,听完触动很大。改变了我对于运维的认识和高度,系统、网络、安全在运维这块本在资源方面本就相互依赖,交流中确实不少时候会被咨询数据系统相关的安全策略,其就依赖各方面相关的知识。 防御策略方面应当在往下深入的会涉及到算法吧?一些常规的防御到后面应当都是机器学习、大数据以及自动化去解决常规问题,人只做最核心的体系架构设计、策略的设计、异常监控的判断和突发事件的处理。 谢谢老师今天的分享:期待后续课程中与老师学习交流。
    
    9