网络安全求职指南入坑指南 - php发展

TUhjnbcbe - 2021/4/28 5:11:00

北京酒渣鼻医院 https://m-mip.39.net/pf/mipso_8733702.html

四叶草网络安全学院致力于网络安全攻防实战型人才培养，学院总结多年一线实网攻防经验与案例，自研实战攻防安全教学体系，结合线上、线下培训、竞赛以及攻防实战等形式培养和提升实战能力。

一周漏洞速览

SmallCRM2.0存在后台登录绕过漏洞

SmallCRM2.0，PHP客户关系管理系统是一个专注于售票管理的平台。SmallCRM2.0存在后台登录绕过漏洞。攻击者可以利用此漏洞绕过后台登录，可以造成敏感信息泄露，严重者可导致服务器被控制。

修复建议：

升级到最新版本。

OECMSv4.3后台添加管理员处csrf漏洞

OECMSVer(企业网站系统)是由奥壹技术（OEdev）基于自主研发的OEPHP架构体系开发的一套企业建站系统。OEcms采用MVC开发模式，轻巧、灵活、易用、易于二次开发。OEcms新版支持7种模型：文章模型、产品模型、图库模型、下载模型、招聘模型、单页模型和外部模型，支持自定义字段、支持自定义模板文件、支持自定义模型SEO等；用户可在后台添加、修改、删除模型，随心所遇建立属于自己的企业网站。OECMSv4.3后台添加管理员处存在csrf漏洞，攻击者会利用此漏洞添加管理员账号密码，登录网站，窃取网站信息。

修复建议：

验证请求的Referer是否来自本网站，但可被绕过；

在请求中加入不可伪造的token，并在服务端验证token是否一致或正确，不正确则丢弃拒绝服务。

ThinkCMFX存在代码执行漏洞

ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架。cmfx,在ThinkPHP3.2.3上，它与ThinkCMFThinkCMFXbased相同，并且从thinkphp3抽象出了四个baseController，HomebaseController、AdminbaseController、AppframebaseController、MemberbaseController。ThinkCMFX存在代码执行漏洞，攻击者可以利用此漏洞执行任意代码，从而获取目标系统的控制权。

修复建议：

更新CMS到较新版本。

一周安全资讯速览

App现大BUG车主可远程操控他人车辆特斯拉回应

作为全球市值第一高的车企，特斯拉有时还对外称，自己是互联网科技企业。只不过，作为科技公司，大概率会出现BUG。但这样的故障，却能让每一个车主都倒吸一口凉气。9月15日消息，有特斯拉车主发布帖子称，自己打开特斯拉App后，发现自己的车子不见了，出现的却是别人的车辆。

CISA披露了伊朗黑客使用的WebShell详细信息

当地时间9月15日，美国网络安全和基础设施安全局（CISA）发布了一份恶意软件分析报告（MAR），该报告详细介绍了19个恶意文件的细节，其中包含有关伊朗黑客使用的WebShell的技术细节。

WhatsApp现神秘漏洞，黑客可远程查看聊天记录

Facebook拥有的WhatsApp已揭示了六个以前未公开的漏洞，该公司现已修复。该漏洞已在专门的安全建议网站上报告，该网站将用作新资源，提供有关WhatsApp安全更新以及相关的常见漏洞和披露（CVE）的完整列表。

Edge新增密码生成功能：向用户推荐强密码

基于Chromium的新版Edge浏览器不仅在发现密码泄漏之后能向用户示警，现在还可以为在线用户推荐强密码。如果用户选择这项功能，那么Edge就会保存并在下次访问网站时自动填写用户名和密码。目前密码生成功能已经在Edge的Canary和Dev频道上发布。不过想要使用该功能需要登录微软账号开启密码同步功能，然后再在设置中选择保存密码。如果你在Android和iOS设备上使用Edge并同步数据，那么桌面端生成的密码也可以在移动设备上使用。

Twitter应用添加数字中心：可查询美国大选相关信息

据报道，Twitter在其应用内推出了一个专门的栏目，用于让用户查看选票信息，包括邮寄选票的实时信息，以及如何在11月3日美国总统大选开始前进行登记。Twitter公司发言人表示，新的投票中心将出现在应用的“发现”栏目中，其中还将出现一些“无*派投票倡导团体”所发布的推文，这些团体包括Vote.org、公民联盟和JustVote等等。此外，这个信息中心还将直播与选举相关的活动，例如选举辩论，并根据用户的位置显示参选人的名单。

工信部专家谈App偷听、自启动：群众举报越来越专业

9月14日，国家网络安全宣传周在郑州启动。据国内媒体报道，在国家网络安全宣传周上，隶属工业和信息化部的中国电子技术标准化研究院信息安全研究中心审查部总监何言哲表示，自中央网信办、工信部、公安部、市场监管总局联合开展App违法违规收集使用个人信息专项治理以来，有许多进步的变化。

谷歌高级保护计划新功能：可疑文件上传进行全面扫描

谷歌的高级保护计划（AdvancedProtectionProgram）主要通过在Chrome浏览器上附加额外安全功能，从而保护那些特别容易成为网络攻击目标的用户。此前，高级保护计划最多只能标记或阻止一个被认为有问题的下载。现在，谷歌表示，如果下载的文件看起来很可疑，将为注册用户提供一个新的选项，将其送去进行深度扫描。

美国起诉2名黑客，称其为报复伊朗将*遭暗杀而攻击多家网站

据俄塔社15日报道，美国司法部网站在周二发布声明称，美国当局起诉了两名“黑客”，称他们为报复美国暗杀伊朗“圣城旅”前指挥官卡西姆·苏莱曼尼将*而对美国进行了网络攻击。美国司法部在声明中强调，这些被指控的黑客如果承认自己犯有共谋罪，将面临最高5年的监禁和最高25万美元的罚款，如果被控实施网络犯罪，将面临最高10年的监禁，以及最高25万美元的罚款。目前，美国马萨诸塞州地方法院正在审理此案。

零时科技区块链本周安全情报

托管数据中心巨头Equinix受到NetwalkerRansomware的打击

Equinix是全球托管数据中心市场份额的领导者之一，在五大洲25个国家/地区拥有个数据中心，受到Netwalker勒索软件运营商的打击。网络犯罪团伙要求为解密器支付万美元的赎金，并防止泄露被盗数据。该公司在其网站上发布的声明中披露了该事件，并确认了攻击了许多内部系统的勒索软件攻击，所幸的是，其为客户提供服务的主要核心并未受到影响。

多名投资者指责波场JustSwap白名单项目疑似跑路

9月10日消息，网络安全网站BleepingComputer表示，巴基斯坦最大的电力生产商受到黑客威胁。。巴基斯坦卡拉奇的唯一电力提供商K-Electric遭受了勒索软件攻击，犯罪分子要求万美元的比特币。K-Electric为万以上的居民提供电力，但这次黑客入侵并未影响到这些服务。相反，作案者将目标对准了在线计费平台，并且用户无法操作该网站。

EOS挖矿项目珊瑚的wRAM遭黑客"重入"攻击，损失超12万EOS

据链闻消息，多名投资者在社交平台上指责波场TRON去中心化闪兑产品JustSwap上流动性挖矿项目疑似跑路。一位社区成员在推特表示，Whales.finance项目疑似跑路，该社区成员表示，项目的官方网站、推特账户、Discord和Telegram等官方社群均已解散或关闭。部分投资者已在推特平台上试图联系孙宇晨，称JustSwap曾将Whales.finance列入白名单，因此希望能够得到补偿。另一位投资者此前在Reddit上也指出，流动性挖矿项目「TronSupernode」疑似已经跑路，该项目先是关闭Telegram等媒体账号，随后

TUhjnbcbe - 2021/4/28 5:11:00

设计求职招聘微信群 http://www.ktyx.com.cn/lehuo/baike/20201113/534.html

「约见」是专头平台为企业家创业者开启的创业“虫洞”，在这里，我们会定期推荐各种类型的专业达人：他们有的是身经百战的创客先锋，有的是目光老道的投资人，还有的是具有前沿互联网经验的攻城狮、产品锦鲤、程序猿、设计狮们……他们或许可以帮你穿越那些经营中的迷雾和荆棘，先人一步，直达彼岸。

关于专头

我是何少岳，现任广州市比目网络科技有限公司CEO职务。公司专注于移动互联网行业，立志于提供快速安全的后端云服务和移动广告服务，依托于Bmob后端云背后的技术人才优势和多年的移动互联网分发资源，到目前为止支撑着全球6万多创业者/企业的创业创新产品，先后完成了天使轮和A轮融资，获得第二届移动互联网拳头奖之“最佳开发者服务平台奖”。

我在移动互联网领域有9年从业经验，熟悉移动互联网的技术研发和推广业务，期间创立了掌信传媒，担任技术创始人，负责应用分发平台研发，担任了东信时代的技术总监职务，负责移动广告平台研发，创立了广州市比目网络科技有限公司，负责Bmob后端云的业务和公司运营。

多年的行业经历让我觉得变化无时无处不在，积极拥抱变化，先用最快的方式去验证市场，不断用局部最优实现全局的较优或者最优，这才是解决问题的最佳办法。希望我的知识与经验，可以帮助需要转型移动互联网，或者缺乏技术支撑的企业家解决问题，期待与您的约见！

能力案例研发擅长解决的问题：移动互联网开发

我熟悉多种开发语言，曾在东信担任技术总监，解决技术决策与开发问题。年与硅谷Alohar公司合作研发移动情境感知SDK，完成了GooglVnturs领投的万美元天使投资；

管理擅长解决的问题：团队建设、团队管理

我拥有多年大公司技术团队和创业公司整体团队管理经验，具有极强的执行力和统筹全局的领导力。

曾经担任东信时代信息技术总监3年，管理整个技术团队。创建Bmob后端云，担任BmobCEO，管理整个创业团队，保证团队高效的执行力。

专头说技术人如何转型创业

文

Bmob后端云CEO何少岳

对于很多Android/iOS/WPA个人移动开发者来说，开发一个有网络功能的应用是一件不容易的事情，不仅仅需要购买或租赁服务器，而且还必须掌握一门诸如Java/.nt/php这类的服务器开发语言，每开发一款移动应用程序，就必须开发维护对应的服务器程序。这一切对于移动开发者来说，都是一个噩梦。

Bmob移动应用云存储平台，致力于为移动开发者解决个性应用简单订制的问题。开发者只需要注册一个帐号，成功之后申请创建任意多个数据库，获得对应的Ky，并下载对应版本的SDK，嵌入到移动应用中，便可调用存取API进行数据的任意操作。

Bmob移动应用云存储平台可提供主动推送服务，简易的文件存储功能，API功能，如注册、登录、注销、找回密码等，并提供地理信息功能和移动数据分析功能，让开发者能够查看分析到移动应用的用户变化、应用终端变化、用户粘合度等信息。

这种模式可以让国内很多专门制作APP的团队省去服务器开发费用。

▍为什么创业

年，我在读研究生，当时我还只是一个简简单单的工程师，写写代码，做一些开发，在外面接一些小活，赚点钱。09年的时候经一位好友的介绍，我们一起创立了掌睿网络科技有限公司，做APP分发，它现在已经发展为华南地带处于一线地位的网盟公司了。

这家公司目前经营的非常好，我在里面是一个技术的合伙人，有一点股份，做的事情也不多。在当时，我需要做的是建立一个后台系统，做那个系统的时候其他公司都说，这套系统至少需要半年时间研发，而我在对广告业还完全不了解的情况下，仅用20天就完成了那套系统，到现在他们也一直在使用那套系统。

09年做了这个事情之后，就想去做点别的事情玩玩，于是在年就跟另外一些朋友做了一个彩票社区。创业前期是非常成功的，我们做的是针对于农民工的彩票社区，它包含了论坛，游戏等等，用户还可以在上面交友，看书，看资讯。这个平台在当时看来用户量还挺多，不到一年的时间就达到了20多万的注册量。

这个过程中还跟另外一个30多万的社区合并过，后来因为某些原因，我关闭了那个社区，转做彩票系统。这个系统烧钱烧的很多，而且当时蹦出了万彩票网等一些竞争对手，一方面他们花了非常多的钱走推广，而我们也没有控制好节奏，砸了很多钱，最后烧不下去，只能停止。

之后我加入了深圳东信网络，担任技术总监，从事移动广告业务，也就是SDK模式的移动广告平台。年，在东信担任技术总监的同时，我也博士毕业了。我开始询问自己真正想要的是什么，真正热爱的是什么，自己的人生到底要怎样走？于是，我就跟老板讲了自己想要创业的想法。半个月左右的交涉，我向他详细阐述了我的创业计划和发展前景，自然而然，他也就成了我的第一个天使投资人。

▍创业两年经历了什么？

从年开始创业到现在，我经历了很多很多，团队也得到了很好的发展，当然也走了不少弯路，那我有什么东西想要可以跟大家一起分享、借鉴的呢？

首先在团队管理方面，年的时候，我从老东家那边带了5个人到广州，为什么回来广州，必然是因为看上了这边的市场和环境，我选择了大学城这个清静的地方，让我们的技术团队，可以在非常好的环境下开展研发工作。但是创业路上不可避免的会遇到很多问题，到了年上半年两名核心人员离职了，他们对我的说法很简单。

第一个人跟我说，我要回家去，我要找老婆，因为他找不到老婆，在大学城一天到晚写代码，尽管很多大学生美女，但是他每天打交道的都是程序员，他说他年纪也大了，他妈催的急，要他回家相亲，他家在湖南，于是就回湖南那边去了，我想这也是很多程序员的痛啊。

而第二个核心人员，他觉得自己在技术方面遇到瓶颈了，Bmob用户量越来越大，他觉得他的技术已经HOLD不住了，他很担心自己的职业发展，另一方面，他觉得创业很辛苦，一天到晚要看流量，要监控，要随时随地的改bug，所以最终选择当了一名光荣的人名教师，不做程序员，也要培养程序员。

年底，我们顺利拿到了A轮融资，当时我又拉了硅谷的一个朋友回来跟我一起创业，让他去北京开拓新的点，发展一些合作，同时，他自己也开始从事一些互联网产品，并获得了投资，后来考虑到企业发展的一些问题，还是决定支持他脱离Bmob单干，所幸的是，随着Bmob发展的越来越好，我们的团队也不断壮大，进来越来越多的有激情、有活力，且年轻的牛人。

其实一开始我是拒绝招一些刚毕业的大学生的，我不是对大学生有偏见，在我以前看来，刚毕业的大学生在项目经验方面是比较弱的，而我是想要很强的，一进来就能开展项目的人。后来，我发现，我一不小心招的毕业生，个个都很厉害，不仅能单独搞定一个个项目，而且还能提出很多新奇的想法，大家一起玩技术，用技术实现想法，我才发现现在的90后们确实厉害。

经历了那么多，我发现最适合我的还是怎么样用自己的团队，或者是我们自身的技术去创造更大的技术，用互联网去发挥我们的价值。

当然，我们也在不断孵化新的产品、新的团队，就像PKBall、短工邦。我自己也是不断尝试，发展自我，让自己越来越多面化。在孵化短工邦的时候，我发现他们技术很强，销售能力更强，他们是毕业生，他们缺资金，缺经验支持，于是我就去找他们，并且拉了一些朋友来支持他们，用Bmob的技术平台支撑，加资金支持这样的模式来帮助他们。

大家可能会有这样的疑问，一个埋头写代码的人怎么才能够做那么多事情呢？我自己也在不断的反思，技术人应该怎么样创业？我认为，一开始技术人都应该有一点点的技术人脉，一些技术基础，一点说得出口的学历，最重要的是一些努力跟脸皮厚，我是一个很努力的人，在我做Bmob的过程当中，我几乎每天都是晚上12点，1点还在跟用户交流，沟通，知道大家想要什么，了解更多的用户需求和体验。在这个基础上又可以得到一些人的信任，积累更多的经验。

多做事，就多积累经验，有了经验，就能将经验套在其他项目上，不断踩坑，试错，才能走的更远，接触更多的牛人，视野也就更开阔。

▍经历后的一些启发

我认为，第一创业切记不能贪多，专注做好一件事情。我刚才说了一些过来的经验，就是贪多惹的祸，当时我不想单纯做一个平台，还想做产品，做了一些不合适的东西，当然这也是人生不可避免的，但我只是告知大家，将来创业的时候一定要记得，不要贪多。

第二是时刻要想清楚一点，企业生存的法则是什么，是赚钱！我觉得在这一点上非常多的企业没有想清楚，做了一个项目就去融资，拿投资人的钱为用户买单，压根没想着赚钱，实际上我觉得这是不合理的，它违背了商业的法则，做企业就是要赚钱，所以我经常对别人说的一句话就是当官要清廉，做生意要贪，这样世界才会更美好。你不想办法努力赚钱，你的团队根本不会用心跟着你走，因为他觉得这个企业没前途。做互联网的很多朋友都会被误导，觉得腾讯当时不是这样子过来的吗，它用免费的东西获取了更多的用户之后就可以发大财，但我认为这仅是少数的案例，生存下来才是第一法则！

第三要懂得合作的重要性。我举一个自身的例子，我的技术好，但是我的运营能力就很差，怎么办？那我就要懂得借力，我跟一些朋友聊，多借用大家的资源，脸皮厚一点，大家多合作，慢慢你的缺陷就会被弥补，自身也可以继续做最擅长的东西。到目前为止我身边几乎所有的朋友，都觉得何少岳就是搞技术的，压根没觉得我变了。但是很多人也没有发现，其实我现在个人的性质已经不断在变了，我不单纯是一个技术人，我做投资，搞运营，懂财务，懂管理，各个方面我都在涉猎，正在转变成一个合格的企业管理者，但是本质的东西，核心的东西仍然坚持着。

另外一个，我觉得技术者有一个问题，不好意思跟别人谈分成，谈股份。实际上这是不对的，你要做好事情，一定要在一开始就说的清清楚楚，接下来你处于什么位置，他处于什么位置，你的股份是多少，责任在哪里？这些全部都要清楚，这些说不清楚以后会后患无穷，导致非常多的问题，这也是我看到的一些创业团队中失败的原因。

▍对未来社会认知

我们社会正处于弱人工智能向强人工智能转变的过程，在这个过程当中你会发现越来越多的行业，越来越多领域都在拥抱技术，非常多的人都需要找技术，所以程序员这个行业，将来一定是一个非常吃香的一个行业，大家一定要坚持这个行业，谁能够在未来拥抱更多的技术人员，这就能够在未来的发展当中立于不败之地，这是我一直以来的观点，也是我一直努力发展比目后端云的原因，我们希望Bmob上会拥有越来越多的开发者。

在以前，店铺很火，现在店铺已经越来越少人投资了，很多传统产业开始被互联网不断取代。我觉得很多传统企业，应该好好考虑一下转型了，因为在未来，甚至在很短的未来，技术，如3D打印等等，会完全取代那个行业，所以我们一定要拥抱技术，这是我对社会的基本认知。

第二个方面是大家一定要慎重考虑，决定创业后就要以最快的速度创业，因为我觉得社会阶层之间的流动性越来越小，如果你不趁早创业，越往后你就会发现资源、市场早已被人瓜分，你基本上就只能够为上层服务，一直处于打工的状况，这就是我的看法。

P.S:需要获取更多专业问题解决方案，欢迎点击「阅读原文」，更多实力专头为您答疑解惑。预览时标签不可点收录于话题#个上一篇下一篇