Canal Admin管理员存在弱口令
FOFA: noscript="Canal Admin"
用法:python3 canal_Admin_weakPassWord.py -h
FOFA: noscript="Canal Admin"
用法:python3 canal_Admin_weakPassWord.py -h
如何评价阿里团队前顶级安全专家“道哥”的文章《中国黑客传说》?
毫无疑问吴瀚清已经是国内安全领域的顶峰了,毕业于西安交通大学少年班,阿里云盾的缔造者。排除中科院院士这种理论领域的天花板给他戴一顶蓝队论外最上位的帽子似乎不过分。我自然没有资格评价他的文章。于是我采访了麟子姐,华科+清华的顶级学力和全国大学生数学竞赛非数学类一等奖的超级天赋,感谢她在百忙之中抽空回答我的这个不情之请。
我不熟悉吴瀚清这个人,但他的那本《白帽子讲web安全》相信大家都不陌生。现在不少人对此书嗤之以鼻,认为其中内容中规中矩平平无奇,这其实更说明了十年前这位“道哥”已经预料到了未来长时间内安全领域的发展,无数后来者只是在他所预设的框架中打转,藏钩射覆,莫于能隐。作为一本面向大众的基础读物几年前摆在我这个学院派的书桌上。它的旁边是《计算机网络》,作者谢希仁,毕业清华大学电机系,解放军网络技术研究中心主任。另一本是非常经典的同济七版《高等数学》
即使技术领域中有如此重量级的资历在身大多数人对道哥口中所叙述的“V” “A”等人仍抱有质疑。我无法给出一个简单的真/假作为结论。我只能给出两个我的个人观点:十多年之前的互联网环境是怎么样的?个人电脑只是中产以上家庭中的奢侈品,拨号上网刚刚消失,人们感叹着天翼3G就是快。至于网络安全意识,可能军工政企的其中一部分维护人员知道个拔网线?但另一方面13年的吴瀚清已经是一个商人了,这些古老的黑客传说到底是他作为那个时代站在顶峰上的洞隐烛微还是为了电子工业出版社限时满减七十二块七毛五一本?我不知道。但我认为在现在一个合格的网络安全从业人员在看到这些文章时的第一反应是荒谬。今年是2023年,在那个时代御剑起手蚁剑收尾甚至简单用菜刀上传一个php一句话就叫做黑客,现在同样的操作叫做送死。近五年xdr,edr等设备的普及已经成为了大型资产的常态。V或者A那样的天才能在他们那个年代战胜一到几位安全专家的才智,而今天渗透重大目标的时候你所面对的是一套成熟的工业化/商业化体系
说完了过去与现在,那再聊聊未来吧。在道哥的公众号里他曾经说过如今的信息安全重实践而极度缺乏理论的现状。在这点上我和他的观点是高度一致的。一般来说理工科的发展会经历三个阶段,最开始人们观察表象积累经验,然后总结规律定性思考问题,最后运用数学手段定量分析问题。计算机也是一样的。现在已经有产品部分实现了将每一行代码具体存在的漏洞与执行逻辑转化为参数,宏观而抽象的建立起数学模型,通过算法模型理论性预知漏洞的产生。这是下一代网络空间安全发展的重要方向。未来关键资产的攻与防将会呈现出更大的不对称性。挟太山以超北海,语曰吾不能也,是诚不能也,这或许就是红队的未来。如前文所说我不否认吴瀚清文章的真实性,但我认为这篇文章并不会给网安初学者带来什么好的后续影响。割裂的时空导致技术环境的错位,进而是巨大的心理落差。(他)对红队的领域所描述的层次与成就太高了,让其他人学习的时候满目山河空念远,实战的时候见人分袂亦愁生,永远活在“V”“A”的阴影下,所见所思与现实穷山距海,看不起别人的成功,看不见自己的进步。
脱离技术层面,这篇文章带给了我们什么?(他)的三观很正,无论是从法律法规还是黑客精神上来说都是无可挑剔的,我这里想说的不是价值观,而是更深层次的,此文对于读者而言的,就像张兴成教授在《文化认同的美学与政治》一书所提出的“技术知识不应该是高于文化的第一权力”的观点。
“V从他的13亿条记录中轻巧的抽取80万条登录ip,绘制了这张铺满全世界的地图……在这个星球上,还有什么地方是你不曾征服的吗?你点亮了全世界!”
“征服”
我看到的是一个16岁考进西交少年班的黑客天才站在云端对端扆勒功的自然而然。最吸引人们的当然是像他这样的卓越人物神话中英雄般虏骑千重只似无的故事。但他们代表不了网络空间,更不是网络安全的真正样子。地图上的八十万个闪光点对看客来说只是几k像素,对他来说只是shell里的几行回显。有多少人想过网线连接的另一头是什么?是苦苦运转维系着一个创业理想的OA和围在电脑旁边心惊胆战彻夜难眠的小经理?是异国安全公司的职员在公司破产后失去工作,回到家中面对妻儿和账单的羞耻与绝望?还是拿着微薄薪水的底层安服面对客户质询时卑微的笑容,带着讨好,藏着恐惧,眼神全是试探的唯唯诺诺?大黑客鼠标一点批量操作的不值一提或许就是他们的全世界。每个人都有故事,V和A有他们的故事,我更希望更多人记住组成我们这个cyberspace的芸芸众生,他们也有自己的故事,而不是黑客传说里用来被打倒被玩弄的一串代码。记住这些隐藏在各路师傅/大佬光芒背后,一切归于平凡的真实。
凭君莫话封侯事,一将功成万骨枯。
他日豪杰仗剑起,又是苍生十年劫。
红队不需要英雄。
最后,无论是怀疑也罢,崇拜也罢,黑客的故事也只是旧日的传说了。过境千帆皆不是,囿于故事有何意义呢?人总是要向前看的。如果你致力于网络安全又相信道哥所言,那就请专心学习,争取变成像V一样顶级专家。如果你怀疑嘲讽认为这只是所谓道哥的幻想,那就去好好钻研态势感知与一线对抗吧,然后以自己站在同样高度的亲眼所见证实当年的嘲笑主打一个预言家刀了。在时间的长河里刻舟求剑挺没意思的,与其站在故事的边上对故事指指点点,为什么不试着变成故事里的人呢?
毫无疑问吴瀚清已经是国内安全领域的顶峰了,毕业于西安交通大学少年班,阿里云盾的缔造者。排除中科院院士这种理论领域的天花板给他戴一顶蓝队论外最上位的帽子似乎不过分。我自然没有资格评价他的文章。于是我采访了麟子姐,华科+清华的顶级学力和全国大学生数学竞赛非数学类一等奖的超级天赋,感谢她在百忙之中抽空回答我的这个不情之请。
我不熟悉吴瀚清这个人,但他的那本《白帽子讲web安全》相信大家都不陌生。现在不少人对此书嗤之以鼻,认为其中内容中规中矩平平无奇,这其实更说明了十年前这位“道哥”已经预料到了未来长时间内安全领域的发展,无数后来者只是在他所预设的框架中打转,藏钩射覆,莫于能隐。作为一本面向大众的基础读物几年前摆在我这个学院派的书桌上。它的旁边是《计算机网络》,作者谢希仁,毕业清华大学电机系,解放军网络技术研究中心主任。另一本是非常经典的同济七版《高等数学》
即使技术领域中有如此重量级的资历在身大多数人对道哥口中所叙述的“V” “A”等人仍抱有质疑。我无法给出一个简单的真/假作为结论。我只能给出两个我的个人观点:十多年之前的互联网环境是怎么样的?个人电脑只是中产以上家庭中的奢侈品,拨号上网刚刚消失,人们感叹着天翼3G就是快。至于网络安全意识,可能军工政企的其中一部分维护人员知道个拔网线?但另一方面13年的吴瀚清已经是一个商人了,这些古老的黑客传说到底是他作为那个时代站在顶峰上的洞隐烛微还是为了电子工业出版社限时满减七十二块七毛五一本?我不知道。但我认为在现在一个合格的网络安全从业人员在看到这些文章时的第一反应是荒谬。今年是2023年,在那个时代御剑起手蚁剑收尾甚至简单用菜刀上传一个php一句话就叫做黑客,现在同样的操作叫做送死。近五年xdr,edr等设备的普及已经成为了大型资产的常态。V或者A那样的天才能在他们那个年代战胜一到几位安全专家的才智,而今天渗透重大目标的时候你所面对的是一套成熟的工业化/商业化体系
说完了过去与现在,那再聊聊未来吧。在道哥的公众号里他曾经说过如今的信息安全重实践而极度缺乏理论的现状。在这点上我和他的观点是高度一致的。一般来说理工科的发展会经历三个阶段,最开始人们观察表象积累经验,然后总结规律定性思考问题,最后运用数学手段定量分析问题。计算机也是一样的。现在已经有产品部分实现了将每一行代码具体存在的漏洞与执行逻辑转化为参数,宏观而抽象的建立起数学模型,通过算法模型理论性预知漏洞的产生。这是下一代网络空间安全发展的重要方向。未来关键资产的攻与防将会呈现出更大的不对称性。挟太山以超北海,语曰吾不能也,是诚不能也,这或许就是红队的未来。如前文所说我不否认吴瀚清文章的真实性,但我认为这篇文章并不会给网安初学者带来什么好的后续影响。割裂的时空导致技术环境的错位,进而是巨大的心理落差。(他)对红队的领域所描述的层次与成就太高了,让其他人学习的时候满目山河空念远,实战的时候见人分袂亦愁生,永远活在“V”“A”的阴影下,所见所思与现实穷山距海,看不起别人的成功,看不见自己的进步。
脱离技术层面,这篇文章带给了我们什么?(他)的三观很正,无论是从法律法规还是黑客精神上来说都是无可挑剔的,我这里想说的不是价值观,而是更深层次的,此文对于读者而言的,就像张兴成教授在《文化认同的美学与政治》一书所提出的“技术知识不应该是高于文化的第一权力”的观点。
“V从他的13亿条记录中轻巧的抽取80万条登录ip,绘制了这张铺满全世界的地图……在这个星球上,还有什么地方是你不曾征服的吗?你点亮了全世界!”
“征服”
我看到的是一个16岁考进西交少年班的黑客天才站在云端对端扆勒功的自然而然。最吸引人们的当然是像他这样的卓越人物神话中英雄般虏骑千重只似无的故事。但他们代表不了网络空间,更不是网络安全的真正样子。地图上的八十万个闪光点对看客来说只是几k像素,对他来说只是shell里的几行回显。有多少人想过网线连接的另一头是什么?是苦苦运转维系着一个创业理想的OA和围在电脑旁边心惊胆战彻夜难眠的小经理?是异国安全公司的职员在公司破产后失去工作,回到家中面对妻儿和账单的羞耻与绝望?还是拿着微薄薪水的底层安服面对客户质询时卑微的笑容,带着讨好,藏着恐惧,眼神全是试探的唯唯诺诺?大黑客鼠标一点批量操作的不值一提或许就是他们的全世界。每个人都有故事,V和A有他们的故事,我更希望更多人记住组成我们这个cyberspace的芸芸众生,他们也有自己的故事,而不是黑客传说里用来被打倒被玩弄的一串代码。记住这些隐藏在各路师傅/大佬光芒背后,一切归于平凡的真实。
凭君莫话封侯事,一将功成万骨枯。
他日豪杰仗剑起,又是苍生十年劫。
红队不需要英雄。
最后,无论是怀疑也罢,崇拜也罢,黑客的故事也只是旧日的传说了。过境千帆皆不是,囿于故事有何意义呢?人总是要向前看的。如果你致力于网络安全又相信道哥所言,那就请专心学习,争取变成像V一样顶级专家。如果你怀疑嘲讽认为这只是所谓道哥的幻想,那就去好好钻研态势感知与一线对抗吧,然后以自己站在同样高度的亲眼所见证实当年的嘲笑主打一个预言家刀了。在时间的长河里刻舟求剑挺没意思的,与其站在故事的边上对故事指指点点,为什么不试着变成故事里的人呢?
👍11❤4