@closedevice black cat earlyreads

目前在按照这本书的方法学： https://book.douban.com/subject/26944296/

十个月了，下班业余时间学。目前在听读哈利波特原著。

@hhhhhh123 SQL 注入发生在用户的输入和数据库有交互的地方。比如查询商品信息。url 可能如下： https://xx.com/goods?id=1 ，id 参数是商品编号。用户传入不同的编号，页面上可以显示不同的商品信息。

对于不怀好意的用户(攻击者)，他们不会老老实实的只传编号，而是尝试传入攻击语句。由于编号会作为查询条件带入 sql 交予数据库去执行，所以把编号换成攻击语句，数据库也会执行攻击语句。这样就达到攻击的效果了。

只要是用户输入的东西，和数据库有交互的功能，而开发者也没有对用户传入的参数进行过滤和处理，都可能存在 SQL 注入漏洞。

SQL 注入漏洞的核心是通过用户的输入，控制原有的 sql 语句，达到攻击的效果。所以 sql 能做的事情，sql 注入都能做。这就是 SQL 注入的危害。

轻则泄露管理员用户和密码，直接进后台。重则通过 sql 直接写入后门文件直接控制网站。

@hhhhhh123 你仔细看路径，都是扫描的 php 文件，发 get ，判断文件是否存在。phpinfo.php 是攻击者经常使用的探针，攻击者利用网站漏洞，写入 phpinfo 文件，通过访问这个文件可以看到服务器的 php 配置信息。

你要自己测试的话，可以搭建一个 php 环境，写一个 phpinfo.php ，内容为<?php phpinfo(); ?>，访问该文件，就能看到服务器的详细配置了。

攻击者通过访问该探针，获取服务器的更多信息，找到有漏洞的组件进行进一步的攻击。

当然，对于网站后门，攻击者也喜欢写成 phpinfo.php 。

日志中，只是单纯的判断这些后门文件是否存在，所以可以初步断定为是云运营商安全组件的扫描。

如果是攻击者的扫描行为，路径中会包含攻击代码。比如 SQL 注入会有 and 1=1 或者是 and 1=2 之类的关键字，XSS 攻击会有<script>或者是</script>关键字。

从扫描的路径来看，应该是后门(webshell)扫描。目测是云厂商的安全组件在扫描，如果扫描到漏洞存在，会给你报警。

其实诸如这些篡改网页和电视台，以及电子公告屏幕的行为，代价是非常大的。除了博人眼球，制造舆论意外，没任何意义，很容易就暴露了。

真正国家之间的对抗，是可以让目标基础设施瘫痪的。比如震网病毒，就把伊朗的核设施破坏了。还比如某勒索组织，加密了美国的石油管道系统，让美国宣布国家进入紧急状态，当然让半个美国网络瘫痪也可以。

https://zhuanlan.zhihu.com/p/378291643
https://www.guancha.cn/internation/2021_05_10_590216.shtml?s=zwytt
https://baike.baidu.com/item/10%C2%B721%E7%BE%8E%E5%9B%BD%E7%BD%91%E7%BB%9C%E7%98%AB%E7%97%AA%E4%BA%8B%E4%BB%B6/20158055?fr=aladdin

关于这些高级黑客的攻击手法，可以看我司的书： https://www.qianxin.com/book/detail?book=5

我也贴一篇我写的文章。毕业那年的总结： https://wanglejie9.github.io/redleaves-blog/index.php/archives/31/index.html

安全应该交给安全部门来做，术有专攻。看样子，你们也没有安全编码规范，发版本前也没有代码审计，这事怪不到开发头上。

并且，入侵的攻击链都没排查出来，没有证据，就更无理取闹了。

也可以用 phpstudy ，如果只是展示出来测试一下的话。

宝塔面板，很容易的。

现在行情不好，做好心理预期。

我也是二本，可能没啥具体的建议。干了两年开发，只能说这一行太苦了。毕业去了四川省会，换了四五家公司，只有一家加班少一些。但也不保证能够准点下班，临近下班总会有事情耽搁。期间也动过考公的念头，考了一次，当炮灰了，只能说太卷。

我大学学生时代的梦想是找个好工作进名企，虽然现在也有同学去 jd 了，但我一点都不羡慕，看他朋友圈相片，加班到凌晨一点。钱多有怎样，都是拿命换的。

后来我去做安全了。换条赛道，感觉容易多了。不加班了，头发也长起来了，心情也舒畅了，钱还变多了。
但我觉得人活在世上，不能只为钱。

其实我想说的是，选择比努力更重要。我如果当程序员，竞争激烈，可能要百分之两百努力才能进名企。但我做安全，可能只需要百分之六十努力就能进名企。

如果楼主要选择一个方向，一定要选个竞争小的，一是避免内卷，二是更容易出成绩。

我也是主力用京东。目前是京东的会员，每月都有运费券，还可以免费领京东阅读 vip 。

淘宝买小东西和衣服鞋子的时候用一下。

@n30v1 具体哪家就不发论坛了，避免广告嫌疑。有需要加我 VX 私聊吧，base64：am9ld2FuZzByZw==

@wukongkong 另外，给老哥推荐一部电影，感受下黑客的魅力。《我是谁，没有绝对安全的系统》

@wukongkong 学习路径大概是这样子：编程基础(HTML,JS)+一门后端语言，然后是 web 常见漏洞的学习，然后是中间件漏洞(Apache,tomcat ，weblogic 等)，然后是安全工具的使用。学到这里，可以达到找到网站漏洞并利用，拿到网站控制权。这一步能够达到修改网站首页的水平，比如留下自己大名到此一游。曾经所谓的红客入侵美国白宫，留下五星红旗，大概就在这个水平。

进一步，需要以网站控制权为立足点，进一步控制服务器。这个阶段就是学习权限提升。因为拿到网站控制权后，默认的权限是普通用户，需要提升到超级管理员，才能在服务器上为所欲为。内容有 Windows 和 Linux 的基础，起码能够搭建网站。Windows 和 Linux 常见的权限提升漏洞以及一些套路。

能够控制服务器后，就有机会能够进入一个大型站点的内网。大型站点通常是一个集群，由多台服务器组成一个内网。当通过网站漏洞控制其中一台服务器后，就需要以这台服务器为立足点，进一步攻破其他内网服务器。这个阶段叫内网渗透。攻击成功的话，可以拿到内网的凭据，你可以在所有服务器中自由翱翔，出入自由。

对于一些企业，办公网是一个独立的网络，不和服务器所在的网络相连，控制了服务器自然还达不了办公网，无法窃取企业机密，比如研发部门员工电脑上的代码。或者是企业的服务器都在云上，和办公网完全是两个不同的网络。所以还有个阶段叫社会工程学。社会工程学和钓鱼攻击息息相关。比如你伪装成保洁员，去目标公司翻垃圾桶，有机会找到员工的外卖单子，快递单等等。你可以冒充外卖商家或快递单，诱导目标员工打开含有恶意代码的网页等等，从而控制员工 PC 。然后再进行内网渗透，控制办公网。

当然，还少不了一门编程语言。目前比较流行的是 python 和 golang 。学习的目的主要是为了解决工作中的自动化问题。举个例子，你伪装成银行工作人员，去目标公司搞活动，比如填写问卷调查送礼品。从而收集到员工的姓名和手机。但是对于不同部门的员工，钓鱼邮件可能会有不同的说辞。这个时候，就可以使用上述两种编程语言批量发邮件。

大概就这些，学习路径按照攻击链去学习，先学习能够控制网站涉及的知识点，然后是控制服务器的知识点，然后是内网漫游的知识点，然后是社会工程学等等。

为知笔记。