2015-6-3 2015-6-3 程序员与黑客 第二季 @余弦 | 2015.10 程序员 知道创宇 技术VP JavaScript Python 大数据 ... 黑客 关于我 evilcos.me web2hack.org kcon.knownsec.com sebug.net zoomeye.org ... 内容  前情回顾  地下黑客形势  安全过程 前情回顾 这次只谈「程序员」 其他的环节不谈:) 思想①：黑客思维需要贯穿「...->架构->研发->运维->...」 架构思想 理想状态： 技术团队每个人都具备黑客思维 思想②：优美的架构一定是健壮的 架构思想 1. 想象下 「生态系统」 2. 有漏洞/被黑 这很正常 3. 能快速「自 愈」才是关键 思想③：优美的架构一定是处处优美的 架构思想 … 文档 代码 逻辑 人 -> 团队 思想④：安全的本质是信任 架构思想 单元的重 要性 「紧内聚、松耦合」设计思想 紧内聚 -> 最小单元 -> 到一段逻辑代码 松耦合 -> 分离 -> 不信任任何输入 分离的重 要性 12 关键的分离  人员职权分离  服务器分离  账号权限分离  文件目录分离  代码分离  Cookie分离  子域分离 技术选型  任何组件都有漏洞   一般规律  越流行的开源组件越靠谱  越靠谱的团队打造的组件越靠谱 时刻做好被黑个透的准备  优美的架构多重要  分离设计能大大提高入侵门槛 快速应急 -> 快速自愈  地下黑客形势 形势一  任何明面可见的产业链都对应着至少一条黑色/灰色产业链 16 形势二  撒网式攻击时时刻刻都在发生   更可怕的是：撒网式攻击进阶到针对性攻击 最可怕的是：直接面对针对性攻击，尤其是APT 17 形势三  网络空间遵守黑暗森林的游戏规则  被发现即被干掉 形势四  没谁真敢、真能撼动地下黑客  只有历史进程可以撼动一切 —— 物竞天择、适者生存  一切的人为对抗都是不痛不痒 形势五  永远不要低估地下黑客的执行力  漏洞的黄金应急时间：24h、12h、6h、1h [举例]地下黑客游戏规则  针对性的撒网式攻击  适当剧透个例子：网贷里的宝藏