有哪些搞网络安全的才懂，但普通人完全不懂的冷知识？

网络工程师-老杨

有哪些搞网络安全的才懂，但普通人完全不懂的冷知识？

大家好，我是老杨

都2022年了，网络安全这热度还是挺高，咨询学习数通的小友们，都会多问一嘴：网络安全怎么学习？

2019年以来，网络安全领域对技术岗位的人才需求始终在60%以上，并逐年提高。

2021年显示，核心技术人才的招聘需求占比达到65%，而平均招聘月薪在21182元左右浮动。

今天正好逛到知乎，安全的热度又上了榜，这就想给你们分享一下：

有哪些搞安全的人才懂，但是行外人完全不懂的冷知识？

老杨文章阅读福利：《白帽子讲web安全》

添加老杨微信的粉丝，赠送《白帽子讲web安全》实体书扫描版PDF一份。

  file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps2340.tmp.jpg

添加老杨微信 获取粉丝限时福利

01 关于网络安全那些冷知识

冷知识 01

侵入某国大使馆、某国国防部的官网并修改首页的行为，是比较低端的黑客行为。

想不到吧？

由于目标的数据安全策略，网站服务器乃至整个网段上一般只有网站和相关数据，这些攻击行为，除了耀武扬威之外，往往得不到一点有价值的信息。

冷知识  02

是不是很多人都觉得，泄漏你个人信息的大多是你注册的各个不可名状的大小网站和APP？

但是其实，泄漏你信息最多的，是银行、工作、快递这种传统渠道，后者比前者信息稳准狠不说，成本还低。

file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps2341.tmp.jpg

而且，这些信息的价格还有规定：

一个人的身份证信息，在黑市里可以卖到20块；

一个博士的学历信息，在黑市可以卖到50-60块；

其中，在所有的信息中，在黑市最贵的当属“银行流水信息“，高达几百元甚至上千元。

冷知识  03

黑客真的不是想黑什么就黑什么的，而且，很多低端黑客连代码都不会写就拿着工具黑网站了……

黑客破解Wi-Fi密码是可以的，破解QQ密码很难，因为你面对的是整个腾讯公司。

冷知识  04

黑客这行业，门槛低、入门快。所以，大多数黑帽黑客都是靠自学，也就说，练手的时候就会选择个人网站，安全性能较低。这也是为什么，明明是个无名小卒，网站却被攻击了。

file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps2342.tmp.jpg

能够画出蒙娜丽莎很难，把它烧掉很简单，同理黑掉一个网站的难度远远低于写出它的难度。

冷知识  05

阿里巴巴并没有你想象的那么平静，我们用阿里系的app用的很顺手，但是它每天平均要受到全球超过3亿次的攻击，而且没有一天断过。

无论是白天黑夜还是节假日，黑客们‘风雨不误’从来没有停止地攻击。就像大家每天要拿出手机一样，所以阿里巴巴早已习惯了。

冷知识  06

科幻电影电脑屏幕出现的快闪代码是假的。

小时候，很多人很崇拜科幻电影那群无所不能的黑客，轻轻敲一敲代码就可破获任意他想要破获的网络，尤其是黑客在敲打键盘的时候，屏幕上快闪各种代码，那种感觉真的是炫酷。

file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps2343.tmp.jpg

其实，这些完全可以由一个小编程即可完成，甚至有一些特效网站也是可以实现，所以电影里的那些炫酷效果是根本不存在的……毕竟闪这么快，正常人都看不过来。

冷知识  07

安全渗透是一个很漫长的过程，不像电影里写的啪啪啪地敲半分钟键盘就可以的，最漫长的复杂攻击，甚至可能持续几年。

冷知识  08

你拿到公司的电脑之后可能会发现右下角安装着一些奇奇怪怪的软件，你也不知道是啥，比如什么SEP、DLP、DRM、RSA等等。

这些其实都是终端的信息安全管控软件，主要防御的是内部的信息泄露和病毒入侵等等。这些软件24小时的监控着每一台电脑的情况，根据管理台配置的策略情况，在你的电脑上产生不同的效果，基本上什么都能做到。

file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps2344.tmp.jpg

尤其是数据防泄漏系统DLP、可以监控你在电脑上的每一个操作，你打开过的文件、上过的网站、安装过的软件、邮件内容、甚至是QQ、微信的聊天记录，而这些在管理台都是可以看到的。

所以提醒一下，如果公司装了DLP的话可不要随随便便用公司的电脑上微信骂领导。

冷知识  09

在当年，PC的安全体系还不那么完善，大家都还必备一个360（或其他同类型软件）的时候，桌面系统的交锋才叫一个精彩。除了挂API HOOK，各种冷门win32API之外，一些人采用更“野路子”的方法来“躲过”安全软件，比如：

（1）检测到360窗口后，就模拟鼠标挪到右上角的“x”把360关掉；

（2）检测到360的窗口后，自动绘制一个白色遮罩，把360的窗口遮上，使你不知道发生了什么，也不知道如何点击“清除病毒”。

后来PC的安全就越来越好了，一部分是因为系统和机制的升级，另一部分是因为这些艺高人胆大的老铁被安全公司“诏安”了。

木马和病毒是两种完全不同的作恶手段。

现在很多人习惯将木马病毒混合使用，久而久之，木马病毒成了一个专有名词。在信息安全领域，木马和病毒有本质上的区别。比如：

病毒会传染，木马不会传染；

病毒入侵电脑，用户或多或少都有一定的感知，而木马完全不会；

另外病毒主要是以“破坏”著称，但木马主要是用来盗取用户信息。

file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps2345.tmp.jpg

对于网络安全，以上内容贴近生活，相信你看完或许能对网络安全产生更大的兴趣。

老杨觉得，冷知识虽然多，但最容易被所有人忽视的一点就是：网络安全事件离我们普通人很遥远，它其实存在于我们日常生活的每个角落。

02 如何入门网络安全？

其实入门这东西并不一定代表要学的特别透彻，你看，搞弱电的总想着多学点网络，学网络的总想着多看点开发，搞开发的又觉得安全不错……这就是个轮回啊。

像老杨这里的好多个同学，明明这边手上已经拿下了数通方向的IE，这边又开始考起安全，完全不敢让自己松懈。

这个行业要是深入学习，真的可以学上个几百年，没有容易学的东西，沉下心+坚持才是拿下一切的根本之道。

很多想了解网络安全的打工人，大多数都没学过安全技术和产品，编程可能从未接触过，也不必谈经手过几个项目了。

file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps2346.tmp.jpg

学习网络安全，第一步并不是要把安全学的多深入，而是要把基础稳固，学习之后的内容才能有效率。

学网络安全，肯定是先学网络，后学安全，学web安全，也是先弄得web，才能学习安全。

如果完全没有接触过相关工作，只是零散的看了点资料和视频，老杨真诚的建议你，还是先打好基础。

在介绍入门书籍之前，我们可以看一下网络安全工程师的岗位要求：

file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps2347.tmp.jpg

file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps2348.tmp.jpg

file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps2349.tmp.jpg

仔细看完上面这几个岗位要求，相信你就会对网络安全工程师的岗位职责有了更具象化的认识。

入门方法千千万，我们先从看书开始，我自己平时看的+网友们推荐的汇总一下，都是豆瓣的高分书籍，安利给你。

《黑客大曝光》

《白帽子讲web安全》

《web前端黑客技术揭秘》

《图解HTTP》or《HTTP权威指南》

《JavaScript dom 编程艺术》

每天拿2-3个小时来学习，积少成多，等过几个月，你就会发现自己已经完全不同了。

别想着脱产学习或者等有空才能学，每天2-3小时的短时间学习方法，才是当代打工人提升自己的良药。

也别以为基础打不打无所谓，知道几个漏洞，会用几个安全工具就可以。想要走的更远更坚定，靠的还是你对计算机的理解和对协议的理解。

看完这些书，我们再举个例子来诠释入门方法，毕竟每个岗位的入门要补充的内容都不一样。

我们以运维为例：

运维想要转安全，因为本身linux基础还不错，所以我们要补充以下这些内容，以便更好入门安全。

了解网络安全的技能，学习各类安全产品+技术。

学习软件编程，强化编程能力，比如HTML/Python/JS等

了解云计算、容器和云安全，作为企业招聘的加分项，可以大大提升你的面试竞争力。

当然，一通看下来，你可能觉得前途可期，雄心勃勃。

但是，最实际的做法，是现在先开始看第一本入门书籍，1小时之后，我们再来谈别的东西。

■ 文章来源：部分内容来自知乎问答https://www.zhihu.com/question/23636333，因觉优质，特此分享，侵删。

老杨，一个从事网工行业9年的中年吃货，和你每天聊几句关于网工的那些事儿。

代号1

网络工程师-老杨

有问题请咨询微信：spotoa