沒想到,前幾天小吳隨意發表的一點感慨,居然在微博火了。
不用關注他,關注我就行了哈,我叫「三坨土」嘻嘻
把圖放大看看,有同感的扣 1。
說來傷感,能跟這三張圖產生共鳴的人,年齡估計跟我差不多,正在邁入中年。好像每天上網的時間越長,整個人就越壓抑越不開心。
可轉念一想,我們也是經歷過好時候的啊。從回憶盒子里翻一翻,就想起了這么多舊事:
1. 初一我爸找人組裝了一套臺式機,放在客廳,遭了四五千塊,還搞了個撥號上網。電腦連上網后,家里座機就占線打不通了。
2. 暑假在家不想寫作業,我把好朋友喊到家里來上網沖浪,打開新浪首頁,很拽地炫耀:全世界的新聞隨便看!點這里還能聽歌!搜一下還能看周杰倫的照片!繪聲繪色講得起勁,殊不知我爸打電話一直打不進來,查崗被抓了個現行。
3. 后來我學聰明了,連網 10 分鐘就斷開 5 分鐘。一個月后我媽去交話費,收到一張天文數字賬單,我不光挨了頓收拾,還被送到農村過剩下的暑假,斷網療傷。
這個界面眼熟嗎?
4. 那個時候網速很慢,加載圖片是一行一行地顯示出來。網速最快的地方叫網吧,遍地開花,座無虛席。我爸說,你要是敢去網吧我打斷你的腿。
5. 我當然還是跟同學去過幾次的。網吧里大部分是男生,一邊聽歌、一邊聊 QQ、一邊看電影,一邊打游戲、一邊抽煙,一邊抖腿,多任務進程,而我主要是聽歌、聊 QQ。我同學更寶,她去網吧是為了更新網名和個性簽名。有一次我看她寫道「偶不是 PLMM,偶是恐龍」,想幫她投稿到迷惑行為大賞。
當年最流行的輸入法,至今沒學會五筆
6. 網吧最厲害的地方在于,硬盤里存了很多高清電影和臺灣綜藝,我最愛看《超級星期天》《我猜我猜我猜猜猜》,吳宗憲和小燕姐是我心中全宇宙最幽默的人。但去了兩次我就不愛去了,一是不喜歡煙味,二是覺得鼠標鍵盤臟兮兮的。
7. 那個時候 QQ 一號難求,誰有六位數靚號誰就是老大。聽說班里有個男同學喜歡我,我跑去質問人家,你能送我一個 QQ 號嗎?——就是我現在用的這個。
8. 貼吧和 BBS 太好耍了,發帖、排樓、精品區,我覺得網上的人個個有才華!啥都會,寫段子、PS、改編創意,而且一個比一個幽默。我曾經在周杰倫吧灌水,結果寫好后一刷新就找不到了,瞬間被新增的 30 頁淹沒。
9. 初中喜歡一個明星,經常去她的粉絲論壇遛彎,還在上面發表過一些矯揉造作不知道在說什么的抒情散文。結果帖子一下子被頂到論壇前面,哥哥姐姐叔叔阿姨紛紛夸贊「哇這真的是初中生寫的嗎」,我激動得面紅耳赤,整個人都飄了,飄到現在。
10. 后來論壇改版要關掉,我把自己寫的散文小心地存在磁盤里,多年后打開磁盤,發現遭病毒了,哦豁,我的文學著作灰飛煙滅。
老式存儲磁盤
11. 上初三后我有點跟不上潮流,因為那會兒流行裝扮 QQ 空間。全班都跟在黃鉆會員屁股后頭跑,排隊求人家幫忙搞空間裝飾。像我等卑微之人,只好去每個同學空間留言:我來給你踩踩!記得回踩哦!
12. 當年 QQ 空間最火的一篇文章叫《明星 QQ 號大全》,我真的試圖加了下何炅的 QQ,想問他我可不可以參加《快樂大本營》。
13. 學校里誰跟誰耍朋友(談戀愛)了看 QQ 秀就知道。其實我最不喜歡的就是 QQ 秀,覺得上面的搭配好土哦。
14. 摩爾莊園、洛克王國、航海投資、偷菜、搶停車位、QQ 寵物都是全民參與的游戲,暑假我姐上了個半夜三點的鬧鐘,說要起來收菜。
我唯一玩過的游戲是泡泡堂。
15. 最絕的是我媽,玩系統自帶的紙牌游戲,可以玩到凌晨一點。
16. 上高中后我有了手機,第一次能用手機登錄 QQ,我驚呆了!
不寫了,再寫下去,估計能寫成一本書。
反正后來科技突飛猛進,大部分朋友都經歷過了。我們這屆應該是最后一批跟同學互加過 Facebook 的幸運兒。
我發現小時候跟現在上網沖浪最大的區別是,以前上網的時間極其有限,而且需要提前安排,所以顯得無比珍貴,每個人都是認真在對待這件事。
就像 @和本我一起逃離 所說:
「家里沒電腦,每個禮拜就周末到我爸辦公室玩倆小時。如果他出差,下個禮拜必須補給我。都要在周五制定好周密計劃:一小段時間用來加同學 QQ 和去空間留言互踩,一小段下歌進 MP3,一小段查最近沒看但是很關心的電視劇梗概,一小段看偶像的美圖。如果網速慢了還要申請加時,全程連廁所都不舍得上。」
每天 1 小時的時間都保證不了,哪怕只是收個菜,去貼吧簽個到,跟陌生頭像扯兩句天,獲得的都是純粹的快樂。現在每個人永遠在線,隨時隨地可以上網,反而索然無味。
以前上網是為了尋找快樂,現在上網只是單純輸入一些信息。以前過暑假要是被家長允許通宵上網,簡直要高興地翻到天上去。現在呢……我能不開電腦就不開電腦。
貼吧、酷狗、土豆、4399、可樂吧,chinamp3,閃客帝國,happysky、你是 GG 還是 MM……這些詞匯,隨著互聯網的迅猛生長而逐漸消亡。
網友總結的金句總結得好:
「以前上網叫沖浪,現在上網叫潛水」
「以前是上網快樂一下,逃避現實生活,現在上網多了要趕緊關掉到真實生活里喘口氣…」
20 年前,網絡只是用來打發閑暇時間。現在的大家,是生活在網上的。互聯網的發展,經濟的繁榮,一定會讓生活變得更快捷。但是,這一切并不代表人的內心,會感受到更多幸福。
只要一打開手機和電腦,馬上就會被數十件事吸引注意力,看完新聞,刷朋友圈,刷完朋友圈刷微博。貌似吸收了很多資訊,可回憶起來,腦子里什么都沒有留下。這并不是生活的真實面貌,只是互聯網想讓你看到的面貌。繽紛的信息流榨干了你的時間,卻讓你忘記你真正需要的東西是什么。
家庭網絡剛剛普及的時候,上網的人數少,大家就算觀點不一致,尚且在試圖溝通討論。現在上網小心翼翼,不敢輕易發表任何觀點,因為隨時可能被陌生人攻擊。
尼葛洛龐帝二十多年前曾經預言,互聯網的普及能讓世界更加和平,沖突減少,現在是啥樣子大家心里都有數。
所以,今年開始,我有意識的在控制自己的上網時間。尤其是最近一個月,關注了我微博的朋友可能知道,我已經連續 31 天每天8點前早起打卡了。一個月下來,晚上到點就困,早上能自然醒,多出很多時間運動、做事。每天最開心最充實的時候,不是熬夜刷劇,不是聯機游戲,而是每天早上我成功早起,吃上了自己做的早飯,去健身房游了泳,再去附近的超市買菜。
規律的作息,還有線下生活里平淡的小事,讓我重新找回了對生活的掌控感。
從逃避現實生活,到回到現實生活,生活的幸福感始終還是來源于生活本身。科技再發達,這個道理都是不會改變的。
今天的結尾,就貼一段樸樹的歌 New Boy 吧。那時的專輯,叫《我去2000年》,未來剛剛展開,一切都充滿可能。
是的我看見到處是陽光快樂在城市上空飄揚新世界來得象夢一樣讓我暖洋洋你的老懷表還在轉嗎你的舊皮鞋還能穿嗎這兒有一支未來牌香煙你不想嘗嘗嗎明天一早我猜陽光會好我要把自己打掃把破舊的全部賣掉哦這樣多好快來把奔騰電腦就讓它們代替我來思考穿新衣吧剪新發型呀輕松一下WINDOWS98打扮漂亮18歲是天堂我們的生活甜得象糖
雖然 31 天的早起打卡結束了,但我每天打卡的時候,也有堅持錄一小段打卡視頻!
爭取吧,這周末把 31 天打卡全紀錄的視頻 vlog 發出來,到時候也會寫一些我早睡早起的經驗和心得,希望能幫助到大家。
記得鎖定我的頻道噢。
時間倒退至17年前,一場洋洋灑灑的大雪中看雪論壇成立了,素未謀面的各路人馬憑借對安全技術的熱愛在這里彼此交流分享。
而17年后,這群一夢為馬的人們在帝都初次聚首,舉辦第一次峰會。以下為看雪開發者峰會中十二個安全議題,雷鋒網現場整理。
Flash 之殤 - 漏洞之王 Flash Player 的末路
演講嘉賓:仙果 看雪論壇二進制漏洞版主,興華永恒公司CSO。
Flash Player 作為最受歡迎的多媒體軟件,一直以來都受到大眾的軟件,遙想當年的閃客精靈時代,何其風光。而隨著 2011年11月 Flash Player 宣布不再支持移動端,并在隨后放棄 Linus 平臺,以及蘋果宣布 iOS 不再支持 Flash Player 成為雙重打擊。
在得移動者得天下的時代,Flash Player顯得尤為落寞。
而在 2015 年 Flash Player 榮登"漏洞之王"的寶座后,Flash 成了"千夫所指"的對象。畢竟 Flash Player 作為插件存在于多個平臺,因此一個漏洞的爆出就會影響諸多平臺。
本議題就以Flash player為題,通過 Flash Player 漏洞利用史展現了 Flash 漏洞利用技術和攻防對抗技巧。
舉例來說,2015 年 7 月,adboe 針對 vector 對象引入了 cookie 和 length 檢測機制,使得 vector 的利用方式被封堵。
2015 年 12 月加入了隔離堆機制,對一些比較容易出問題的對象進行堆隔離,又引入了 ByteArray 對象的長度 cookie 檢測。
2016 年 3 月 引入了針對 MMGC(unmanaged memory)內存的 System Heap 機制,使用系統的分配函數替代了 flash GC的分配函數,使內存更加隨機,難以預測。
2016 年 6 月 引入 Memory Protector 機制,有點像延遲釋放機制,是用來緩解 UAF 漏洞的,理論上和微軟出的機制差不多,但是 adobe 自己做了一些改變。
淺析WEB安全編程
演講嘉賓:湯青松 中國婚博會PHP高級工程師、安全顧問。
常見漏洞有哪些?
代碼注入、CSRF、0元支付、短信轟炸、密碼找回……
湯青松通過對 SQL 注入、XSS 跨站與 CSRF 請求偽造漏洞、越權漏洞以及支付漏洞這幾個開發中容易忽略又比較常見的安全問題進行介紹,用以指導在開發中如何避免安全問題的產生。
SQL注入的成因可以理解為使用用戶的參數拼接SQL語句,參數改變了原SQL語句的結構。其可分為三種攻擊方式,
第一是利用注入漏洞改變頁面返回數據,稱之為回顯注入。
第二是報錯注入,在URL加入了一些錯誤的SQL語句,被執行后返回了異常信息,這些異常信息當中包含了敏感信息,可以通過屏蔽數據庫連接錯誤來防范此問題。
第三是盲注,分為布爾盲注和時間盲注。
那有什么手段可以防范SQL注入呢?這里有三點建議。
攔截帶有SQL語法的參數的傳入
通過預編譯處理拼接參數的SQL語句
定期分析數據庫執行日志,是否有異常SQL執行。
XSS 跨站與 CSRF 請求偽造漏洞的成因可能是參數輸入未經過安全過濾,惡意腳本被輸出到網頁,或是用戶的瀏覽器執行惡意腳本。其可分為反射型、存儲型、DOOM 型三類,可通過過濾標簽、實體轉義代碼以及設置 httponly 進行防范。
越權漏洞是指業務系統中對用戶權限驗證不嚴謹,用戶能操作不屬于自己權限的操作。湯青松建議前臺和后臺的查詢盡量不要用同一個查詢接口,也不要暴露連續ID,比如訂單號。
還記得 2014 年,一個天才小學生寫代碼實現 1 分錢買 2500 元商品的事情嗎?
事實上由于開發者在數據包中傳遞支付金額,后端卻沒有對金額做校驗或者簽名,導致攻擊者可以隨意篡改金額提交的事情比比皆是。湯青松建議商家限制超量購買限量商品,限制低價、免費購買付費商品、限制免費商品獲得金錢、積分等。
業務安全發展趨勢及對安全研發的挑戰議題概要
演講嘉賓:彭巍 威脅獵人產品總監。
業務安全包括賬號安全、內容安全、營銷活動安全等,在此之下又各有分支。
如果說業務安全在 2012 年之前還只是以阿里、騰訊及攜程等為主的局部戰場,近些年隨著垂直電商、社交、移動游戲和 O2O 等領域的快速發展,業務安全及反欺詐被更多的視線關注。
但多數廠商并沒有像阿里和騰訊一樣與黑產相愛相殺一起成長,面對黑產的攻擊會一時無措。作為防守方,除了對抗技術外,更要增強對黑產的認知,了解當前在一些業務核心問題上的對抗階段和思路。
諸如被視為黑產技術飛躍式的發展——秒撥,實際上也是通過三步實現,
匿名代理
批量獲取個人ADSL撥號IP
虛擬化ADSL實現海量的IP資源獲取
彭巍通過多個黑產案例證明多數甲方在業務安全及反欺詐上很被動的主要原因是缺乏對黑產的認知,并幫助甲方研發梳理業務安全對抗思路并對當前主要的一些風險場景具體說明。
Windows 10新子系統*新挑戰
演講嘉賓:陸麟,中國最老的十大黑客之一,Windows系統內核專家。
陸麟分享了他在 Windows 的 Linux 中研發出來的一些成果,即可以直接在 Windows 下直接執行的 Linux,以及一個windows 10的0day漏洞。
智能化的安全: 設備&應用&ICS
演講嘉賓:王東 啟明星辰ADLab西南團隊負責人。
物聯網熱潮和泛在信息化推動了智能設備和智能應用的迅猛發展,同時野蠻式生長也帶來了大量的安全漏洞,一旦被利用就會爆發出遠超傳統信息化邏輯邊界的物理性傷害。
比如智能冰箱,溫度被惡意操控,食物隱形變壞,傷人;智能汽車,高速熄火,傷人;智慧醫療,精準診斷信息被利用,特別是敏感疾病的治療信息被他人獲得后果更加嚴重;工業控制,鍋爐溫控異常炸鍋,傷人。
以智能門鎖為例,雷鋒網曾報道過酒店幽靈五年盜竊全美,竟師從黑客?文中偷變全美的犯罪分子就是利用智能門鎖的漏洞輕易打開了各個酒店房間。
王東在議題中首先對 WIFI 和 BLE 兩種組網類型的智能門鎖進行安全漏洞分析,相比 WIFI,自帶光環的 BLE 可實現點對點通信,不需要中間設備,且可以跳屏傳輸,信道加密,致使抓包麻煩。
那聽說現在很多智能門鎖都采用“APP+設備+云端”構架?
云端缺陷就更好利用了,只要登錄APP,選擇一鍵開門,并編寫代碼調用GATT接口即可發送開門密碼……
而在最后,王東也分享了工業控制系統方面的安全問題,比如弱口令及數據泄露司空見慣……對于廠商來說,頭疼的不止是軟件漏洞、協議漏洞、操作系統漏洞交織在一起,更因為一旦要修補這些漏洞就需要中斷業務。畢竟,這是一件需要多方協調的事情。
移動APP灰色產業案例分析與防范
演講嘉賓:無名俠 陳愉鑫 移動安全愛好者、看雪會員。
移動互聯網時代,互聯網業務飛速發展,在這樣的大背景下滋潤了一條以刷單、倒賣、刷榜、引流、推廣為主的灰色產業鏈。他們以低成本換取了高額的利潤,給互聯網企業以及用戶都帶來了巨大的損失。加固技術、風險控制、設備指紋、驗證碼等技術也都在飛速發展,但實際效果并不能讓人滿意。
陳愉鑫在此議題中揭露了多個真實案例的技術細節,開發流程,運營流程,并提出一些防護建議,協議安全需要從體系上進行加強。
開啟IoT設備的上帝模式
演講嘉賓:楊經宇(Jingle)就職于騰訊反病毒實驗室,從事惡意代碼研究工作。
在議題開始時,楊經宇先講了 IoT 金字塔。
最為底端的是大眾眼中的 IoT 即萬物互聯,在此之上是軟件開發人員眼中的 IoT 是一個帶有聯網功能的嵌入式設備,更上一層安全研究人眼中 IoT 是一個金礦,只要挖就永遠有料(漏洞),處于金字塔頂的是why,為什么要 root IoT設備?
可能是為了突破設備限制,增加功能,也可能是為了做進一步的安全研究,甚至利用 root 設備薅羊毛,挖礦……當然這屬于黑產所為。
不可否認,如今 IoT 設備大量涌入智能家居領域,IoT 安全和大眾的生活息息相關,智能電飯煲、插座、攝像頭、電視、掃地機器人......如果智能家居被如電影中的智能汽車一樣被遠程遙控,后果不堪設想。
在議題中,楊經宇關注 IoT 設備開啟上帝模式(即 root 模式)的相關安全問題,在提到 root IoT設備的常見技術手段比如弱密碼和 RCE 漏洞外,楊經宇以一個中興攝像頭固件校驗漏洞為例,介紹偽造固件繞過固件校驗算法進行 root 設備的方法。
另外,楊經宇也分享來獲得 root 權限后引發的潛在安全威脅,并提供緩解安全威脅的一些方法,例如固件加密與簽名,防火墻等。此外,還分享了兩個已提交 CNNVD 的 IoT 設備 root 漏洞。
那些年出現的意料之外的漏洞
演講嘉賓:鄧永凱 綠盟科技 Web 安全研究員。
鄧永凱針對開發者在開發編碼時最容易產生漏洞以及意料之外的漏洞進行分析,闡述其原因以及應該注意的地方。通過沒有防御到防御繞過、錯誤的防御姿勢、錯誤的使用方法、錯誤的修復方法、系統及語言自身特性、設計缺陷、二次漏洞、程序員的惰性導致的漏洞等方面進行了實例講解。
游戲外掛對抗的安全實踐
演講嘉賓:胡和君 騰訊游戲安全高級工程師。
在議題中胡和君以 FPS 類型游戲的自瞄外掛功能的對抗為例,通過對自瞄外掛實現原理的解析,說明了如何使用定制化的技術思想,達到對外掛作弊功能的持續壓制。另外議題中還談及游戲漏洞挖掘的核心思路和方法技巧,游戲開發者自身提升游戲安全性的技術手段,安全防守方定制化方案分析、開發、實現的方法和技巧等內容。
java json 反序列化之殤
廖新喜 綠盟科技網絡安全攻防實驗室安全研究員。
隨著 REST API 的流行,JSON 的使用也越來越多,但其中存在的安全問題卻不容忽視,特別是由于反序列化導致的遠程代碼執行更是威力十足。
在這次演講中,廖新喜主要闡述 Java Json 庫的反序列化特性導致的RCE。
另外,還將以 Fastjson 舉例說明,公布部分未公開的反序列化的payload、0day,并會對這些payload分類解讀。
另外,議題涉及 Gson,Jackson 和 Fastjson 這三個最常用的 JSON 序列化庫的序列化和反序列的操作,并分析其安全機制,從安全機制上發現其潛在的安全漏洞。
反序列化漏洞出來已有一段時間,前期的一些防御方案隨著時間的推移不再有效,但是卻廣泛傳播,廖新喜也在議題中從開發、運維的角度來,給出建議,指出哪些防范方案不再有效,為什么是無效的,并進一步提出正確、可靠的防御方案,以防御此類安全問題。讓更多的開發者對Java反序列化漏洞有更加透徹的理解,做好安全編碼,做好安全防護,減少被黑客騷擾的機會。
一石多鳥——擊潰全線移動平臺瀏覽器
Roysue 看雪iOS版塊版主。
瀏覽器早已成為我們日常生活中不可或缺的一部分,這種攻擊可以造成大范圍的用戶信息泄露,不僅局限于網站上手機上填寫的姓名電話、信用卡銀行卡等用戶基礎信息,更包括了我們日常生活中頻繁使用的淘寶購物,“掃一掃”、“公眾號”、“小程序”、共享單車H5、餓了么H5等等貼近生活的一線App,所有App均不同程度的使用了某種Webview的實現。一旦被意圖不軌者掌握并利用,后果非常嚴重。
針對應用層的攻擊頻次連年增長,攻擊方式更加多元,而越來越多企業的業務又依靠互聯網來實現,防止應用層安全失守成為企業不可回避的問題,做好應用層安全也成為廠商和企業不可或缺乃至不可推卸的責任。roysue 在議題中針對應用層的攻擊頻次連年增長,攻擊方式更加多元的現象,提出了相應的策略。
如何黑掉無人機
謝君 阿里安全IoT安全研究團隊Leader。
本議題是基于某品牌創新無人機DJI Phantom 4 Pro和DJI Mavic Pro機型上進行的研究,系統的介紹某品牌無人機的架構體系,功能模塊,傳感器等,包括各個組件的攻擊面,安全防護體系,軟硬件反調技術及其繞過方法,并深度解讀無線寬帶通信等。現場會介紹一個不需要通過軟件漏洞就能Root無人機的方法,以及如何遠程劫持一臺無人機。
無人機是一個復雜的系統工程,包括飛控系統、避障測距定位系統、圖像采集、無線通信等。
謝君在議題中介紹了某品牌無人機的架構體系、功能模塊、傳感器等,包括各個組件的攻擊面、安全防護體系、軟硬件反調技術及其繞過方法,并深度解讀無線寬帶通信等。
而為什么要 Root 無人機?實際上是為了更方便研究無人機及其他模塊。
那怎樣 Root?
雷鋒網了解到,通常需要通過軟件漏洞,執行adb_en.sh腳本來進行,而謝君在現場還介紹一個不需要通過軟件漏洞就能Root無人機的方法,即修改start_dji_system.sh腳本“Debug=true”也可以達到root目的。另外,謝君還演示了如何遠程劫持一臺無人機。
寫在最后:
結束從不意味著落幕,而是嶄新的起點。
而這群熱愛安全技術的人們也將繼續砥礪前進。