专栏名称: HACK学习呀

HACK学习，专注于互联网安全与黑客精神；渗透测试，社会工程学，Python黑客编程，资源分享，Web渗透培训，电脑技巧，渗透技巧等，为广大网络安全爱好者一个交流分享学习的平台！

407名考生信息泄露，竟是程序员“搞的鬼”？！

HACK学习呀 · 公众号 · 黑客 · 2019-11-19 09:00

正文

很多同学一直觉得信息安全离自己很远，殊不知其实 信息泄露 每天都发生在我们身边。

前段时间某省普通话成绩查询系统泄露考生敏感信息的新闻又上了热搜。

尽管大家现在都非常注重隐私，但是或多或少会将一些个人敏感信息填写在平台上，然后这些信息就被一些网络安全意识淡薄的开发人员泄露。

该事件的起因是网站将用户敏感信息写死在html文件中，然后对考生输入的准考证号在前端验证。

这样的操作，很有可能让某些黑产人员“见缝插针”，窃取考生信息来进行网络诈骗。（心疼考生就这样信息暴露在全国人民眼前）

信息网络安全已经成为炙热话题，不管是国际上还是国内，都需要大量的 Web安全研究员 ，我在后台经常收到不少同学的留言：现在开始上 Web安全的车，还来得及吗？

种一棵树，最好的时间是十年前，其次就是现在。我想说，入行成为白帽子其实真的不难，主要分为以下几个部分：

Web安全入门手册

● 了解基本漏洞类型

入行第一阶段，需要掌握基本的漏洞类型和一些简单漏洞的测试方法，比如 XSS弹框验证，sql单引号验证、目录穿越 这种比较容易验证的简单漏洞。

OWASP 整理了十大最具有安全风险的基本漏洞类型：

● 了解网络安全法

漏洞诚可贵，自由价更高。作为一名白帽子，在不触犯法律的前提下，要学会利用法律来保护自己。2017年正式发布的 《网络安全法》 建议每个初学者在开始学习网络安全之前都认真的了解一下。

● 了搭建漏洞模拟环境

这方面，有很多公司和个人都开发了一些不同语言的web应用靶机程序。比较知名的 DVWA、bee-box、pikachu 等等，因为学习阶段很难从已上线的业务中挖掘到一些比较基础的漏洞，所以还是建议大家自己搭建靶机平台实际验证一下各种漏洞。

（DVWA）

● 逻辑漏洞的挖掘

其实Web安全发展到今天，很多基础性的漏洞已经被补的差不多了，比如XSS、SQL注入这种洞，基本上白帽子在测试的时候都是习惯性的测试一下碰碰运气。

真正能挖到洞的地方往往都是程序员在程序开发过程中一些逻辑判断失误而导致的逻辑漏洞。

比如任意用户密码重置这种漏洞，有很多种成因。比如找回密码处验证码回显、验证码可爆破、验证码可绕过等等。

其实说白了就是程序员在设计这个功能时对用户凭证和验证码校验不够严格导致的。

● 深入原理学习

知其然，知其所以然。 不知道漏洞形成原理，是没有办法成长为资深白帽子的。

在挖掘XSS漏洞时，如果不了解Java Script的运行机制和基本代码语法，那么在遇到可能存在漏洞点的地方就只能盲目的拿前人积累的payload往上怼，这样既没有效率，也不能够使我们的技术有所增长。

● 工具使用及扩展

Burpsuite 是一款非常优秀的漏洞挖掘集成工具，几乎是每个web安全研究人员必备的神器。它自带了抓包改包、爬虫、信息搜集、解码、爆破等等工具，在漏洞分析过程中充分利用burp绝对可以事半功倍。

Nmap 主要用于信息搜集，它可以非常快速且准确的获取到指定IP的基本信息，比如运行的服务、开放的端口、服务器系统等等。

SubDomainsBrute、Layer 子域名挖掘机还有很多在线子域名挖掘网站都可以收集到目标的大部分子域名资产。甚至你也可以使用谷歌语法来收集目标资产（有很多大佬就是这样捡到某些未开放站点的洞）。

当然，我非常鼓励你从现在开始学习一门 编程语言 ，可以是python、C、C++、Java甚至是易语言，掌握一门编程语言可以让你拥有自己开发工具的能力，这样也可以让你挖洞的过程更加高效。

说了这么多，当然要来点货真价实的。花了长时间去学习，大家都是想有个好的工作，体面的薪资。目前大部分公司都在招信息安全这个岗位，而且市场上相关的工作人员较少， 薪资水平非常可观 ，发展前景不言而喻！

目前信息安全从业人员招聘薪资普遍在 15k +：