为什么你干不过黑客？从多个平台爆发安全漏洞损失千万说起

中生代架构 2021-08-09

安全，是程序员容易疏忽，但一出问题就异常棘手的事儿。

不管你有没有注意到，安全事件在互联网行业其实一直屡见不鲜。2017 年，虾米的客户端被曝出一段“嘲讽”未付费用户的注释，本应该是机密的代码被流出；2019 年 1 月，拼多多爆发了“100 优惠券”随便领安全漏洞，损失惨重；2019 年 7月，7-ELEVEn 连锁便利店的日本客户，因移动应用漏洞而损失了 50 万美元……

这一系列事件，都在警醒着我们，在追求开发效率的同时，一定要把“安全”这俩字放在心头。

尤其是在大厂，对安全的要求胜过一切。比如千万用户的数据保密、如何对密码进行多次加密、如何做身份认证等等……

不得不说，作为一个普通的程序员，学好安全基础，尽早做好安全规划，才能随时应对可能出现的安全漏洞。这样，不仅我们能为公司贡献更安全的应用，也能为自己日后的进阶做好铺垫。

但是，工作多年，我发现身边很多程序员，遇到很多安全问题，还是无从下手:

每次代码上线都被爆出有各种Web安全漏洞，那么，应该怎么样去避免自己写出这些包含漏洞的代码呢？
在项目中，大家都会使用各种第三方插件来辅助开发。那么，是否能够意识到，这些插件中的漏洞，也是很多黑客利用的点。那么，有哪些方法可以帮助你去进行防护呢？
应用的运行，离不开操作系统、容器、数据库等产品的底层支持。那么，你能否知道，黑客会通过一个小小的应用权限，利用BUG或者安全漏洞，去长期操控你的底层系统？

有幸，极客时间刚上线了一个《安全攻防技能30讲》的专栏，定位是安全的基础课。作者前新浪微博安全研发负责人--何为舟，负责网络安全和业务安全方向的整体研发和设计工作，这其中包括：攻防对抗、安全工具开发、风控系统等。

相信熟悉安全领域的，必然也知道CISSP（Certification for Information System Security Professional，信息系统安全专业认证），这一证书代表国际信息系统安全从业人员的权威认证，被业界称为信息安全中的“冠军资质”。工作之后，何为舟顺理成章地考取了此证书，在专栏里也会分享考证的心得体会。

说回这个专栏，可以说是非常的全面与实用，能让你全方面了解安全的同时，也能快速解决工作中遇到的 80% 安全问题。通过对安全专栏的学习，你可以具备安全思维，在遇到安全问题时，能不慌不忙，快速找到解决问题的方向和路径。

他是谁？

他是何为舟，任职于新浪微博，负责网络安全和业务安全方向的整体研发和设计工作，这其中包括：攻防对抗、安全工具开发、风控系统等。

曾听他说过，他极其喜欢安全，本硕学习的都是安全专业，打过CTF，做过渗透测试。他想通过这个专栏，以图文、场景、原理、实践相结合的方式，带你懂“攻”又懂“防”，懂理论也懂实践。

图文结合

他会怎么带你学安全？

你可能会存在这样的顾虑：安全可能需要花上几年时间学习和实践，才能小有所成，时间成本是否有点高呢？

确实，想要真正做好安全，时间的磨砺是不可或缺的。但是，这并不意味着你需要几年的时间，再去从事安全相关的工作或者解决常见的一些安全问题。正如上面所说的，公司初期的安全需求相对简单。因此，这个专栏会带你快速入门安全，然后投入到公司的安全需求中去。

他根据安全方向的不同，把专栏内容划分为 5 个模块：安全基础、web安全、linux系统和应用安全、安全防御工具、业务安全，结合 20+ 企业级安全漏洞案例，针对问题寻找解决方案，让你置身其中，真真切切地走一遍安全攻防之路。

这里，我为你准备了一张「安全攻防知识全景图」，包含你需要掌握的所有相关知识。建议你最好保存下来，在之后的学习过程中，有针对性地去训练自己。

这样，通过场景、原理、实践相结合的方式，来帮助你更快、更深入地理解和消化。

总体来说，学完这次课程，你会有三个收获：

从 0 构建完整的安全知识体系
掌握 6 种常见的安全防御工具
一线大厂的安全防护要点及策略
20+ 企业级安全漏洞案例解析

👇花一分钟看目录，你能快速了解整个课程的知识体系。

如一开始所说，他喜欢安全，喜欢侠客精神，希望在专栏的刀光剑影里，你与他能互相切磋，一起成长。

每个程序员都必须重视的「安全」

扫码订阅👇

👇点击「阅读原文」，免费试读或订阅

反向激励，在加速这个社会的黑化

平安信托深陷“爆雷”旋涡：终于尝到“偏爱”房地产的苦果

刀片电池存设计缺陷，或将导致几十万比亚迪车主自费更换or召回？

专家一会说要过“紧日子”，一会说“认为没坏就能用”是不对的

芒果TV十年：源自如日中天时的“诺亚方舟”计划