社工与社工库的那些事
估计看过我前面的《寻找初恋,一个黑客的故事》的同学还记得文章里有一个地方直接查询社工库获得QQ密码进入QQ空间的点。记得有好多同学问我啥是社工库,社工库有那么牛吗?今天跟大家聊的就是这个话题,谈谈社工库。
估计OpenSSL的漏洞又让许多同学的社工库添加了不少好东西,一些以前想着法子都破不了的站估计都搞到数据了,具体的就不多说了,来谈谈今天的话题。
估计看过我前面的《寻找初恋,一个黑客的故事》的同学还记得文章里有一个地方直接查询社工库获得QQ密码进入QQ空间的点。记得有好多同学问我啥是社工库,社工库有那么牛吗?今天跟大家聊的就是这个话题,谈谈社工库。
估计OpenSSL的漏洞又让许多同学的社工库添加了不少好东西,一些以前想着法子都破不了的站估计都搞到数据了,具体的就不多说了,来谈谈今天的话题。
有两天没写文章了,前天发了一段话,收到了很多同学的鼓励以及各种共勉,甚至在知乎上看到有同学评价说亲切,像面对面在聊天,真的很高兴,自己能给大家带去各种正能量与鼓励还有这种亲切的感觉,希望可以继续下去。从07、08开始接触安全的这些东西,到现在算来也有6、7年了,在这期间,有加过一些安全组织,甚至自己也有创建过,今天就与大家聊聊自己接触过的这些安全组织。可能有些时间弄的不是很清楚,大家见谅。
首先是早期,早起的国内安全组织一般都比较牛,成员现在应该都是国内许多公司的顶梁柱了把。
又来与大家扯道理了。其实这不是我的风格,不过偶尔自己也会多一点感触之类的东西,同时发现收听的同学中很多是在校生,然后之前也有同学提问一些关于工作等的问题。说实在的,我的工作经历以及阅历不足于与大家沟通这些东西,我自己都没完全认清楚,更别说帮助大家。就是与大家分享下我的经历以及当前阶段的感受把。
一直想着用什么方式通俗的把关于安全或者说关于黑客的一些东西说给大家听,想来想去,也看了别人写的文章,觉得还是用一种故事的模式把一些技术或者说一些技术的应用融合到故事里来讲述给大家,估计大家比较好理解,文字也比较好描述。可能会有一个黑客故事系列,看情况,这些故事有些是真实有的,包含自己或者身边朋友,有些是虚构的,不过大家也不用去关注是否真假,我都注上是虚构的,同时会以第一或者第二人称进行述说。今天是第一个。
注:本故事纯属虚构,如有雷同,纯属巧合,也不要纠结故事中人物与情节。
在以前,可能就许多互联网厂商来说,对于漏洞都没有一个直观的认识,更别说普通的网民了。今年以来,包括这次的OpenSSL或者上次的携程、支付宝等爆出的漏洞,不管是厂商还是组件,都让大家对漏洞有了进一步的认识。从去年到今年以来,各种SRC遍地开花,各个互联网厂商都建立了自己的安全应急响应平台,然后普通网民也通过一次次的种媒体,包括央视中的各种新闻等看到了各种漏洞问题,也对安全越来越重视。那么漏洞到底是怎么回事?怎么关注最新漏洞?怎么提交漏洞呢?今天来与大家交流下我的想法。
昨天的提问,收到了很多同学的回答,大家都很积极,大概看了下,各种答案都有,还没整理完,等整理完再说,对于大家说的推荐书籍、paper、论坛、网站、工具等之类的资源,我回头再想想用什么方式推荐给大家,就尽量不占用每天只有一次的发文章的机会了。继续来关注OpenSSL。
今天是一个特别的日子,早上大家还在讨论XP停止服务的事,到处是相关的新闻和文章,到了下午,到处都是OpenSSL的漏洞消息了。
首先,喜欢技术文的同学略过啊,我准备讲“大道理了”!
今天出去玩了一天,逛的我腰酸背痛腿抽筋了。本来今天不打算写文章,不过回来时登陆到微信公众号的后台看大家的留言,发现自己昨天的文章给部分同学带去了负能量,万死不辞啊!虽然群里的很多同学说没有感受到负能量,不过即使只是小部分的同学,我觉得还是有必要写篇小文章了说说的,我希望我一直给大家传递的都是正能量。然后同时谢谢那些开导和鼓励我的同学,很感动,谢谢大家。
先说一点,虽然我多次问自己,我的棱角是不是被磨灭了,但我清楚的知道,我的棱角至今还在。多次的询问自己,只是为了避免事情的发生。论语里不是有这样说过吗?
吾日三省吾身——为人谋而不忠乎?与朋友交而不信乎?传不习乎?
我不省这些,不过我会省省自己的错,自己的不应该。昨天的文章其实我更多的是想省自己,而立未来。
本来按道理今天的文章不应该取这样的名字,这不符合我的风格,不过今天要讲的话题很实在,于是,我的文章标题就也取的实在了点。虽然我很想手把手一步步的教大家成为大牛,不过我不是大牛,没那技术不说,学习技术也不存在手把手教的。主要回答大家一些问题以及提供一个思路。
今天刚上线就看见群里的小伙伴们在提问,到后面也回答的很激烈,甚至我自己也被引起激情了。来看看大家的问题:
1、学安全如何入门?
2、方向太多,不知道怎么选择?
3、入门要学什么语言?
4、代码为什么是英文写的,看不懂。
。。。。
腾讯安全应急响应中心(TSRC)2013年度据官方说法,拿出百万奖励悬赏帮忙找漏洞的白帽子,而在2013年的上下年度里对于突出贡献的白帽子也分别给了10万到1万的奖励;淘宝在漏洞之后将继续拿出500万奖励漏洞发现者。
更多的厂商越来越重视安全问题(其实之前携程的事件虽然过热,但也让广大网民了解到漏洞等相关信息,同时也让更多的厂商意识到安全的重要性),越来越多的漏洞应急响应平台(可以见http://www.0xsafe.com),在这些平台上,有些可以拿到现金奖励,还有各种礼物,包含各种数码产品如ipad等等更是不在少数。
看着各种白帽子拿到各种奖品、各种现金,对于不懂挖漏洞的同学,是不是眼馋了?是不是也想去挖漏洞了?让我来替大家说句,我也想挖漏洞。 说起来,以我的水平,真不敢教大家怎么挖漏洞,一般我在文章里也不会深入讲一些技术上的问题,今天同样不会深入,主要是大概讲一些理论性的东西和想法。
之前0xsafe交流群里的同学问道“零基础如何学习挖漏洞?”,也提问在知乎上(http://www.zhihu.com/question/23217846)。看了大家的答案,都提到了基础,比如先搞好基础,然后再尝试挖掘,不过比如大牛黑哥跟tombkeeper都提到了一点,分析学习过往的漏洞。