小编和朋友聊天的时候,曾经说过安全其实是门艺术而不仅仅是技术。就拿一把锁打比方:
多数人只知道拿钥匙开锁,这是一般用户;
认真从外部观察过锁的人会想到通过拨锁舌也能开锁,这是比较好的程序员;
在相应位置设计一个挡片阻止直接拨锁舌,这是漏洞防护;
学过开锁的人,知道怎么通过拨弹子这种通用的方法把锁打开,这是一般的信息安全技术人员;
把锁拆开,观察内部原理,这是逆向工程;
用逆向工程技术全面透彻地分析某种锁的内外结构、运作细节,设计出甚至无人谈及过的开锁方法,这就是安全研究。
人们都说搞安全的猥琐最重要,今天小编要说的“猥琐”,可不是你们想象中的猥琐哦~
就如同开锁的故事一样,所谓安全圈里的“猥琐”,实际上就是基于对某个领域信息的全面掌握,提出达成某个目的的巧妙方法。
比如春节的时候人家都是用手摇红包,但是有人却把手机放在振动器上。
比如和象棋冠军下围棋,和围棋冠军下象棋。
比如自称是备胎,却在100个美女那边排了队。
比如你个人信息严防,但是我却通过你爹妈社工你。
比如群主为了增加群的打开率,就把自己的昵称改为:你已经被群主移出群聊。
比如写个锁屏程序,输入密码1234进入的是访客模式,输入密码5678才是真正的桌面。
周星驰老电影《九品芝麻官》里有句话:当贪官要奸,当清官更要奸,否则你怎么斗得过他们?
要像坏人一样去思考。攻击者都是非正常思路去使用产品/服务,不换个角度去思考,那跟普通用户有啥区别?怎么发现漏洞?若想成功对抗整个团队,那么你的思路必须猥琐、奇葩,是正常人想不到的点。
记住:猥琐发育,别浪~
