你写的程序被黑过没有?

先说说我的黑历史吧。

1997年, 我在清华计算中心上网,发现一份 客教程,台湾的cool fire写的,照猫画虎,用phf.cgi漏洞,拿下了计算中心的 passwd文档,然后用jo hn 1.4软件暴力破解,拿下了 admin的密码。 当时我根本 不懂是什么原理 ,很多年后才知道,是phf.cgi 序缺 乏文件 打开的 目录判断,居然允许打开和查阅系统文件

1999年,我刚毕业不久, 广州的一家公司, 一个广告交换系统 意外发 现自己的 管理员密码被改 百思不得其解,过段时间 才知道,我的一个大学同学,当时还在清华研究 怎么 更好的烧锅炉的博士,用SQL注入把我 搞了

还好,是朋友所为,只是开个玩笑,没出大漏子,然后我就发现SQL注入真好使,当时横行互联网,各种人才网站,电商网站,交友网站,以及羞羞不可说网站,在本世纪初的时候,仅凭SQL注入,几乎如入无人之境。

安全,是程序员容易疏忽,但一出问题就异常棘手的事儿。

安全事件在互联网行业其实一直屡见不鲜。

SQL注入的浪潮逐渐消弱之后,跨站脚本开始猖獗,微博,人人,百度等等,你所想到的巨头几乎都曾饱受Xss蠕虫之害。

所以十年前,我招聘程序员的时候,一定会把SQL注入和跨站脚本的攻防原理作为面试题,并作为第一个月试用期必须通过的考试之一。但代码问题,又何止这两条。目录打开权限问题,文件上传校验问题,跨域名跳转的安全 认证问题,关键信息、路径、接口及配置文件泄露问题,等等等等

很多老读者知道,我曾经在绿盟科技工作过两年,当年中国互联网安全的黄埔军校,当时我从事研发工作,参与的项目是扫描器产品,那么也就是检测网络环境的安全漏洞,这里有两点感触,第一,安全风险的种类太多了,很多看上去很轻微的威胁风险其实远远超出我的想象。第二,当时我也经受了很严酷的安全检验,坦白说,当时我的代码也是各种安全漏洞,在内部审核中被公司研究部的同事们不断地找出严重问题,说来十分汗颜。

这一系列历史,都在警醒着我,在 追求开发效率的同时,一定要把“安全”这俩字放在心头。

尤其是在大厂,对安全的要求胜过一切。 比如千万用户的数据保密、如何对密码进行多次加密、如何做身份认证等等,比如我旧文其实提过的,密码已经进行不可逆加密的时候,为什么还要加盐?以及防撞库设计与用户的体验便利如何能统筹考虑?

不得不说,作为一个普通的程序员, 学好安全基础,尽早做好安全规划 ,才能随时应对可能出现的安全漏洞。这样, 不仅我们能为公司贡献更安全的应用,也能为自己日后的进阶做好铺垫。

但是,工作多年,我发现身边很多程序员,遇到很多安全问题,还是无从下手:

  • 每次代码上线都被爆出有各种Web安全漏洞,那么,应该怎么样去避免自己写出这些包含漏洞的代码呢?

  • 在项目中,大家都会使用各种第三方插件来辅助开发。那么,是否能够意识到,这些插件中的漏洞,也是很多黑客利用的点。那么,有哪些方法可以帮助你去进行防护呢?

  • 应用的运行,离不开操作系统、容器、数据库等产品的底层支持。那么,你能否知道,黑客会通过一个小小的应用权限,利用BUG或者安全漏洞,去长期操控你的底层系统?

以前,我也做过安全分享课,但问题是,我毕竟不是长期从事安全领域的技术研究,知识面和技术栈早已过时,对新的安全攻防手段已经缺乏必要的感知,如果再来分享有关落伍的信息,多少有些误人子弟。

有幸,极客时间刚上线了一个 《安全攻防技能30讲》 的专栏,定位是 安全的基础课。 作者 新浪微博安全研发负责人 --何为舟,负责网络安全和业务安全方向的整体研发和设计工作,这其中包括: 攻防对抗、安全工具开发、风控系统等。

相信熟悉安全领域的,必然也知道 CISSP(Certification for Information System Security Professional,信息系统安全专业认证) 这一证书代表国际信息系统安全从业人员的权威认证,被业界称为信息安全中的“冠军资质”。 工作之后,何为舟顺理成章地考取了此证书,在专栏里也会分享考证的心得体会。

 

说回这个专栏,可以说是非常的全面与实用,能让你全方面了解安全的同时,也能快速解决工作中遇到的 80% 安全问题。通过对安全专栏的学习,你可以 具备安全思维,在遇到安全问题时,能不慌不忙,快速找到解决问题的方向和路径。

:point_up_2:扫码免费试读

结算时输入优惠口令 「ITSANQUAN」

再减¥5,到手价¥63

他是谁?

他是何为舟, 任职于新浪微博,负责网络安全和业务安全方向的整体研发和设计工作,这其中包括: 攻防对抗、安全工具开发、风控系统等。

曾听他说过,他极其喜欢安全,本硕学习的都是安全专业,打过CTF,做过渗透测试。他 想通过这个专栏,以图文、场景、原理、实践相结合的方式, 带你懂“攻”又懂“防”,懂理论也懂实践。

他会怎么带你学安全?

你可能会存在这样的顾虑:安全可能需要花上几年时间学习和实践,才能小有所成,时间成本是否有点高呢?

确实,想要真正做好安全,时间的磨砺是不可或缺的。但是,这并不意味着你需要几年的时间,再去从事安全相关的工作或者解决常见的一些安全问题。正如上面所说的,公司初期的安全需求相对简单。 因此,这个专栏会带你快速入门安全,然后投入到公司的安全需求中去。

他根据安全方向的不同,把专栏内容划分为  5 个模块: 安全基础、web安全、linux系统和应用安全、安全防御工具、业务安全 ,结合 20+ 企业级安全漏洞案例, 针对问题寻找解决方案,让你置身其中,真真切切地走一遍安全攻防之路。

这里,我为你准备了一张 「安全攻防知识全景图」 ,包含你需要掌握的所有相关知识。建议你最好保存下来,在之后的学习过程中,有针对性地去训练自己。

这样,通过场景、原理、实践相结合的方式,来帮助你更快、更深入地理解和消化。

总体来说,学完这次课程,你会有三个收获:

  • 从 0 构建完整的安全知识体系

  • 掌握 6 种常见的安全防御工具

  • 一线大厂的安全防护要点及策略

  • 20+ 企业级安全漏洞案例解析

:point_down:花一分钟看目录,你能快速了解整个课程的知识体系。

如一开始所说,他喜欢安全,喜欢侠客精神,希望在专栏的刀光剑影里,你与他能互相切磋,一起成长。

每个程序员都必须重视的「安全」

扫码订阅:point_down:

输入优惠口令 「ITSANQUAN」

再减 ¥5,到手价 ¥63

仅限前 200 人

:point_down:点击 「阅读原文」 ,免费试读或订阅

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章