故事不曾停息
嘘!这位黑客正在低调地挖洞,什么资料都没有留下!
注册于 1 year ago

回答
0
文章
19
粉丝
6

简洁一点说,就是少在各种网络平台填写过多的个人资料,尤其是那种可以被搜索,被他人查看到的。

早前刷微博,无聊社工过一个网红,单纯的基于其在微博资料里暴露的各种基础信息,最后社工出了一系列的后续内容,包括其护照,身份证,苹果账号密码信息。当然只是兴趣,没有干其他坏事。

同理,在刷论坛也一样。

说实话,如果真的是有人想要社工某个人的信息,不管是线上还是线下,总会搞到,只是可能获取到的信息密度不同。


PGP加密后互传,本地扔PGP加密磁盘。
系统启用syskey+BITLOCKER
扔网盘的东西全部用PGP加密


问题是能带来什么好处?如果是赚钱到自己手上,这相当于自己自首(当然,现在用XMR之类的隐匿货币或许能解决点问题,不过流通性上可能有问题)。如果只是为了捣乱,除非找到一击致命的bug,让淘宝的服务器彻底瘫痪,最好丢失所有数据且无法恢复的程度,否则马云一瞬恢复,黑客攻击又有什么意义?

所以这就是个性价比问题,攻击他们不划算。

安全服务于业务,既然想从事Java安全开发,首先要精通“业务”——Java开发。

Java平台被用于很多领域开发,Web Dev是其中一个。因此学习可以分为两个层面基础面和领域面。

基础面:

Java语言特性

高级编程

JDK

JVM

平台框架(J2SE J2EE)

还包括了密码学、OO,都是非常重要的理论基础。

等等。


领域面:

目前行业Web开发核心框架是Spring。以及该生态圈下的Spring MVC、Spring Boot、Spring Security等等。

数据库框架

日志框架

Web Service框架

密码学框架。

等等(重点关注Apache、jBoss社区)。


熟悉业务后,从事安全开发研究,可以参照一些国际标准、行业实践,ISO27034、MSSDL、OWASP、CWE、WASC。这些只是参考,如果想成为该领域专家,则需要大量阅读源码、进行静态、动态分析(尤其是渗透测试),来形成自己对安全开发的认识(编码级、设计级、产品级)。