V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  onice  ›  全部回复第 22 页 / 共 59 页
回复总数  1169
1 ... 18  19  20  21  22  23  24  25  26  27 ... 59  
2022-08-11 17:10:53 +08:00
回复了 hhhhhh123 创建的主题 程序员 我的服务器是不是被人盯上了?
从扫描的路径来看,应该是后门(webshell)扫描。目测是云厂商的安全组件在扫描,如果扫描到漏洞存在,会给你报警。
其实诸如这些篡改网页和电视台,以及电子公告屏幕的行为,代价是非常大的。除了博人眼球,制造舆论意外,没任何意义,很容易就暴露了。

真正国家之间的对抗,是可以让目标基础设施瘫痪的。比如震网病毒,就把伊朗的核设施破坏了。还比如某勒索组织,加密了美国的石油管道系统,让美国宣布国家进入紧急状态,当然让半个美国网络瘫痪也可以。

https://zhuanlan.zhihu.com/p/378291643
https://www.guancha.cn/internation/2021_05_10_590216.shtml?s=zwytt
https://baike.baidu.com/item/10%C2%B721%E7%BE%8E%E5%9B%BD%E7%BD%91%E7%BB%9C%E7%98%AB%E7%97%AA%E4%BA%8B%E4%BB%B6/20158055?fr=aladdin

关于这些高级黑客的攻击手法,可以看我司的书: https://www.qianxin.com/book/detail?book=5
我也贴一篇我写的文章。毕业那年的总结: https://wanglejie9.github.io/redleaves-blog/index.php/archives/31/index.html
2022-08-09 15:45:51 +08:00
回复了 NjcyNzMzNDQ3 创建的主题 PHP [吐苦水]为何 PHP 不被待见,怎么一入侵就被运维泼脏水
安全应该交给安全部门来做,术有专攻。看样子,你们也没有安全编码规范,发版本前也没有代码审计,这事怪不到开发头上。

并且,入侵的攻击链都没排查出来,没有证据,就更无理取闹了。
也可以用 phpstudy ,如果只是展示出来测试一下的话。
宝塔面板,很容易的。
现在行情不好,做好心理预期。
2022-08-04 17:38:34 +08:00
回复了 daju233 创建的主题 问与答 二本计算机求一个努力方向
我也是二本,可能没啥具体的建议。干了两年开发,只能说这一行太苦了。毕业去了四川省会,换了四五家公司,只有一家加班少一些。但也不保证能够准点下班,临近下班总会有事情耽搁。期间也动过考公的念头,考了一次,当炮灰了,只能说太卷。

我大学学生时代的梦想是找个好工作进名企,虽然现在也有同学去 jd 了,但我一点都不羡慕,看他朋友圈相片,加班到凌晨一点。钱多有怎样,都是拿命换的。

后来我去做安全了。换条赛道,感觉容易多了。不加班了,头发也长起来了,心情也舒畅了,钱还变多了。
但我觉得人活在世上,不能只为钱。

其实我想说的是,选择比努力更重要。我如果当程序员,竞争激烈,可能要百分之两百努力才能进名企。但我做安全,可能只需要百分之六十努力就能进名企。

如果楼主要选择一个方向,一定要选个竞争小的,一是避免内卷,二是更容易出成绩。
2022-08-04 16:37:18 +08:00
回复了 13936 创建的主题 京东 越来越喜欢用京东 JD 了。从淘宝转向京东。
我也是主力用京东。目前是京东的会员,每月都有运费券,还可以免费领京东阅读 vip 。

淘宝买小东西和衣服鞋子的时候用一下。
2022-07-31 19:11:05 +08:00
回复了 lllllllllllllllj 创建的主题 求职 渗透测试工程师求职,不限地域
@n30v1 具体哪家就不发论坛了,避免广告嫌疑。有需要加我 VX 私聊吧,base64:am9ld2FuZzByZw==
2022-07-25 09:43:22 +08:00
回复了 Daliangshen 创建的主题 问与答 29 岁转行互联网,前景如何?(个人情况已优化)
@wukongkong 另外,给老哥推荐一部电影,感受下黑客的魅力。《我是谁,没有绝对安全的系统》
2022-07-25 09:31:43 +08:00
回复了 Daliangshen 创建的主题 问与答 29 岁转行互联网,前景如何?(个人情况已优化)
@wukongkong 学习路径大概是这样子:编程基础(HTML,JS)+一门后端语言,然后是 web 常见漏洞的学习,然后是中间件漏洞(Apache,tomcat ,weblogic 等),然后是安全工具的使用。学到这里,可以达到找到网站漏洞并利用,拿到网站控制权。这一步能够达到修改网站首页的水平,比如留下自己大名到此一游。曾经所谓的红客入侵美国白宫,留下五星红旗,大概就在这个水平。

进一步,需要以网站控制权为立足点,进一步控制服务器。这个阶段就是学习权限提升。因为拿到网站控制权后,默认的权限是普通用户,需要提升到超级管理员,才能在服务器上为所欲为。内容有 Windows 和 Linux 的基础,起码能够搭建网站。Windows 和 Linux 常见的权限提升漏洞以及一些套路。

能够控制服务器后,就有机会能够进入一个大型站点的内网。大型站点通常是一个集群,由多台服务器组成一个内网。当通过网站漏洞控制其中一台服务器后,就需要以这台服务器为立足点,进一步攻破其他内网服务器。这个阶段叫内网渗透。攻击成功的话,可以拿到内网的凭据,你可以在所有服务器中自由翱翔,出入自由。

对于一些企业,办公网是一个独立的网络,不和服务器所在的网络相连,控制了服务器自然还达不了办公网,无法窃取企业机密,比如研发部门员工电脑上的代码。或者是企业的服务器都在云上,和办公网完全是两个不同的网络。所以还有个阶段叫社会工程学。社会工程学和钓鱼攻击息息相关。比如你伪装成保洁员,去目标公司翻垃圾桶,有机会找到员工的外卖单子,快递单等等。你可以冒充外卖商家或快递单,诱导目标员工打开含有恶意代码的网页等等,从而控制员工 PC 。然后再进行内网渗透,控制办公网。

当然,还少不了一门编程语言。目前比较流行的是 python 和 golang 。学习的目的主要是为了解决工作中的自动化问题。举个例子,你伪装成银行工作人员,去目标公司搞活动,比如填写问卷调查送礼品。从而收集到员工的姓名和手机。但是对于不同部门的员工,钓鱼邮件可能会有不同的说辞。这个时候,就可以使用上述两种编程语言批量发邮件。

大概就这些,学习路径按照攻击链去学习,先学习能够控制网站涉及的知识点,然后是控制服务器的知识点,然后是内网漫游的知识点,然后是社会工程学等等。
2022-07-19 17:07:29 +08:00
回复了 tenstone 创建的主题 程序员 调研贴:你用什么笔记软件?
为知笔记。
2022-07-18 17:27:15 +08:00
回复了 Daliangshen 创建的主题 问与答 29 岁转行互联网,前景如何?(个人情况已优化)
@onice 有一点忘了说,做安全,年龄焦虑没有做开发那么大,全凭实力。坏处就是圈子比较封闭,很多东西都要自己研究。没有任何一本书会教你攻击怎么绕过防护设备和软件。
2022-07-18 17:23:10 +08:00
回复了 Daliangshen 创建的主题 问与答 29 岁转行互联网,前景如何?(个人情况已优化)
楼主对攻防技术感兴趣么?可以试下安全这块。我是从 Java 转安全的。薪资变高了,还不用加班。身边有同学一年半经验,从上海 8.5K 回武汉,直接 17K 。
2022-07-15 10:27:03 +08:00
回复了 dugoj 创建的主题 奇思妙想 黑客攻防应该怎么入门
花点钱,去暗月,小迪等人手里入一套课吧。
2022-07-13 10:06:07 +08:00
回复了 hoQYa6q 创建的主题 问与答 v 友们 今年毕业的就业形势如何?
挺严峻的,国家都出手了: https://cujiuye.iguopin.com/
2022-07-11 17:41:52 +08:00
回复了 lichnow 创建的主题 程序员 为什么说 Typescript 是必学语言以及如何学会 TS 全栈开发
目前还在学 html 和 css ,先 mark 。
1 ... 18  19  20  21  22  23  24  25  26  27 ... 59  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5505 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 35ms · UTC 05:52 · PVG 13:52 · LAX 21:52 · JFK 00:52
Developed with CodeLauncher
♥ Do have faith in what you're doing.