最近一段时间,比较喜欢去逛一个论坛——i春秋,关于安全的论坛。内容比较优质,其中一篇帖子:
你还会再为了黑客精神 而不是利润去渗透吗?
这个帖子,和我最近的一些思考、想法有点相近,就胡乱说说。
最近面试了好多即将毕业的同学,几乎每个同学都在简历上写着“攻击过某某网站”、“在某某平台提交过漏洞”,写这些当然是好的,可以说明自己在安全方面有实战经验。不过仔细问一下他们攻击的具体过程,实事求是的讲,我觉得回答的预期并不理想。
大家大部分回答都是:
利用工具扫 --> 扫出漏洞 --> 利用漏洞实施攻击 --> 上传个“马儿”
目标网站包括学校、传统行业某公司官网、电网内部某业务网站等等,漏洞原理主要是struts漏洞、新闻详情页存在asp sql注入、php开源框架某版本可上传shell漏洞等,检测手段都是利用成熟的工具。
而当我深入问:
1. 关于struts漏洞利用的原理
2. 如果一个存在sql注入的网页并不打印任何信息,那么如何通过sql注入获取表名
3. 有没有办法在服务器层面杜绝sql注入,而非代码层面
4. 通过什么机制向服务器上传shell,如何知道要上传到哪个目录的
得到的答复都不是很满意,还有的同学回答不出来。我也在反思,是不是我问的太难了,但是想了几次、也修正了几次面试问题,效果还是不理想。我得出的结论是:这些学生所具备更多的是如何攻击,而我面试提出种种问题的目的是考察攻防。学生更多的是只管攻击,漏洞利用,获取数据和权限;而我希望的是理解攻防,理解漏洞,进而理解企业如何保护数据、保护服务器权限。
再说一个问题,我会问他们为什么选择安全行业。回答也是蛮有趣的,也值得思考:
1. 有个学长做安全的,和他交流过几次,那种神秘感让我很触动。
2. 和同学一起打CTF,打多了,就打算入这行了。
3. 我不太喜欢写代码,感觉攻击什么的不用总写代码。
4. 我初中就热爱黑客技术,初中我买过一本《黑客x档案》,感觉很帅,所以大学就学了安全。
5. 我本来是学***专业的,但是听说安全以后会火,所以花了差不多一年时间自学黑客攻击。
目前为止,筛选后一共面试了17个,木有一个同学的梦想或者目标是希望在安全方面做贡献。
好了,事情说完了。
再说我的想法:
1. 安全行业是紧缺,但是企业招人主要是两类,一类是渗透攻击,一类是安全防护。我觉得安全防护是最急缺人的,不过学生从最开始的成长之路,貌似对防护很少了解。
2. 相比过去,现在安全资料更加健全了,但是感觉学生关注点,更多的是工具使用、如何绕过狗、这个框架有没有什么漏洞,而原理本身接触的较少,或者不够深入。
3. 给我感觉,每年会有越来越多的黑客,虽然大家的初心各不相同,但是黑客精神却没有这么多,安全领域的奉献精神也没有意识。
4. 学习安全,很多学生对于某些必备的技能存在盲区,比如数据库、linux、TCP/IP、HTTP/HTTPS等。来到企业以后,经常会因为这些短板,导致不好推进工作。
放弃
好怀念05年那时候一帮人学黑客技术,因为热爱而自由的学习.