倪海厦老师讲2026丙午年：财神爷只认"土"

——从经济变局到身体养命的全方位生存指南”

——从经济变局到身体养命的全方位生存指南

"我看得很清楚，就像是一场看不见的大风，已经在太平洋上刮起来了，眼看着就要吹到咱们家门口了，可我看咱们好多老伙计还在那儿乐呵呵的数钱，觉得自己退休金存够了，房子也有了，日子过得挺安稳，却不知道这一阵阴风刮过来，带走的不光是你的健康，还有你辛辛苦苦攒了大半辈子的养老钱，你那是棺材本，是你留着最后这点尊严的底气，如果你还用以前那套老黄历来看日子，用那些西方人的经济学来看钱袋子，那你这次可能真的要栽大跟头了。"

为什么这么说？因为那些西方人的东西，那是看表面的形，是看已经发生的数据，那叫死数。而我们老祖宗留下的《易经》，看的是气，是（天）数，是还没发生但注定要发生的能量。老祖宗早就把这笔账算得清清楚楚了，你们知不知道2026年是个什么年份？在天干地支里，这一年叫丙午年，这三个字你们可能觉得陌生，但在我们懂行的人眼里，这三个字就是一片火海。丙是天干的阳火，是大太阳，那是烈日当空烤得地面滋滋冒油。午是地支里的火，是一天里正中午的时候，火气最旺，阳气最盛的时候，这就叫天干地支一片火海。这把火烧得有多旺？在《易经》里有一个专门的说法，叫赤马红羊劫，赤马指的就是这个丙午年。

历史上每逢这种火气极旺的年份，往往都伴随着巨大的变动，为什么？因为火性炎上火性刚烈，它要烧掉一些旧的东西，烧掉一些腐朽的木头。我知道你们现在心里在打鼓，说这跟我有什么关系？我就是个退休的老头/老太太，我就想安安稳稳过日子。朋友啊，这关系大了去了，甚至是决定了你的一生结局，决定了你能不能善终。

一、九紫离火运的本质：外实内虚的杀机

首先，我们要搞清楚我们现在处在一个什么样的大运里，从2024年开始，我们就正式跨入了三元九运中的九紫离火运。这一点经常听我讲课的朋友耳朵都要听出茧子来了。但是你们真的懂离火这两个字背后的杀机吗？

离卦，你们脑子里想一下那个符号，上下两根是阳爻，中间一根是阴爻，外表是实的、硬邦邦的；中间是虚的、空荡荡的，这就叫外实内虚。火的特性是什么？是向上串，是看起来红红火火，但是它是虚幻的，是扩张的，是没有根基的。

所以在离火运的初期，也就是这两年，你会看到一种奇怪的假象，什么假象？就是那些看不见摸不着的东西疯狂的着（火），比如什么人工智能，什么虚拟货币，各种概念炒得热火朝天，这就像是一堆干柴，刚点着的时候，火苗子窜得老高，把人的脸都照红了，看起来非常壮观，让人觉得这就是繁荣，这就是盛世。

但是各位，你们要晓得一个五行的铁律，这是老天爷定的规矩，谁也改不了：火烧得越旺，它对金的克制就越狠。五行的火是克金的，金代表什么？在我们的人体里，金代表肺，代表呼吸系统，代表大肠，代表皮毛。在社会上，金代表什么？金代表金融，代表货币，代表银行，代表那些硬邦邦的财富规则，代表你手里那张存折上的数字。

好了，现在我们把目光投向2026年，当这一年丙午大火，也就是离火运里的第一个顶峰，那个火气最狂暴的时候，遇到了原本就已经很脆弱的全球金融体系。这个金会发生什么？我想请你们闭上眼睛想象一下，把一块金子扔进太上老君的炼丹炉里，用三昧真火去烧会怎么样？那就叫火旺金溶。金子再硬，在烈火面前也得化成水，也得变形，也得没得脾气。这意味着什么？这意味着我们现在所熟知的这一套，特别是西方那一套以美元为核心的靠印钞票、靠借债过日子的全球金融模式，在2026年可能会面临一种熔断式的崩溃。

这不是我在危言耸听，现在的经济是怎么做的，是用信用做的，是用债务做的，这些东西本质上是虚的，是泡沫。离火运的主题就四个字——去伪存真。老天爷在天上看着，祂老人家看不下去了，所以你们这些人玩虚的玩得太过分了，把泡沫吹得太大了，人心都坏了。既然你们不肯自己戳破，那我就放一把火，把这些泡沫全部烧光。

所以，2026年的这场大动荡，它的本质不是说我们没饭吃的，不是说地里不长庄稼了，不是说工厂造不出东西的，而是价值的重组。以前你觉得值钱的那些数字、那些纸、那些所谓的理财产品，可能在一夜之间就会回归到它纸张的本质——就是废纸一张，而那些被我们忽视的实实在在的东西，才会显露出它的真心本色。

说到这里，我想问问各位，你们有没有这种感觉？最近这两年，你是不是觉得手里的钱越来越不经花了，去菜市场买把青菜，去药店抓副药，那个价格是不是让你心里咯噔一下？或者你看看身边那些曾经靠炒作、靠运气、靠投机倒把赚大钱的人，现在是不是都在纷纷返贫，有的甚至欠了一屁股债，连家都不敢回？如果你有这种切肤之痛，或者你对未来的钱袋子感到深深的担忧，甚至你现在每天晚上躺在床上翻来覆去睡不着，心里总觉得不踏实？

二、危机的"象"：中间空掉的地方

我们接着往深了挖，它具体有什么表现？是不是真的就像电影演的那样，bank关门，股市归零？易经讲究象数理，我们先看这个象。刚才我说的离卦是中虚，这预示着2026年的危机核心会发生在中间空掉的地方。

什么地方是空的？债务是空的，因为借的钱是透支未来的，你花的是孙子辈的钱，那能不空吗？房地产泡沫是空的，因为那是用钢筋水泥堆起来的金融衍生品，没人住的房子，那就是一堆建筑垃圾。在丙午年，火气一冲，这些空的领域会最先爆炸。我们可能会看到某些大型的跨国的金融机构，或者是一些我们以前认为大的不能倒的庞然大物，会因为资金链的突然断裂而轰然倒塌。

而且火的特点是什么？是快火烧起来，但是噼里啪啦瞬间燎原，它不像以前的土运，土是厚重的，慢吞吞的，但是火运不一样，火运的崩盘是跳崖似的，就像一个人心脏病发作，前一秒还在跟你有说有笑，后一秒扑通一声就倒地了，这就是火的特性，爆裂迅速，它来势汹汹，让你根本来不及反应，根本来不及把钱取出来，根本来不及卖房。

听到这里是不是觉得后背发凉？是不是觉得世界末日要到了？别怕，如果没有解药，我也不会费这个口舌跟你们讲这么多。易经告诉我们一个最伟大的道理：孤阴不生，独阳不长。任何事情都有两面性，火虽然克金，但是火也生土，这就是我在这里要告诉大家的救命密码，这也是今天这堂课最值钱最核心的天机。

三、解药在"土"：转化火的能量

在五行的流转中，有一个能够化解火克金这个死局的元素，那就是土，火生土，土生金，土是火和金之间的桥梁，它就像是一个转化器，能把那股想要烧毁你的大火转化成滋养的能量，然后再把这份能量输送给金，让你的财富不但不缩水，反而因为有了火的淬炼，变得更加纯正，更加坚固。

那么，什么是土？很多人一听到土就以为是去买房子，去买地皮，错，大错特错，如果你现在还想着去炒房，那你真的是在往火坑里跳。现在的房子大部分都是水泥块，那是燥土，根本生不了金，反而会吸干你的血。我说的土分为两个层面，一个是物质层面的，一个是精神层面的。

在经济上，土代表什么？土代表实体，土代表农业，代表粮食，代表那些能够长在地里，能让人填饱肚子的东西，土代表原材料。代表那些不管世界怎么变，你造汽车也好，造手机也好，都离不开的基础资源，土代表看得见摸得着能够养活人的东西。当金融的数字化，那个金被大火得面目全非的时候，那些聪明的资金，那些被吓坏了的钱，会疯狂的寻找避风港，这个避风港绝对不是比特币，也不是什么高科技概念股，因为那些都是往火上浇油，死得更快，它们会流向哪里？向实实在在的资源。

所以，我大胆的推算到了2026年。那些掌握了粮食的人，掌握了核心生产资料的人，掌握了真正技术的人，将会成为新一轮的财富霸主。而那些手里只有一堆股票代码，只有一堆房产证，但没有现金流，没有实物支撑的人，将会是这场大火中最惨的牺牲品。

更深层的"土"在人心。在我们中华文化里，在五德里，土代表什么？土代表信。仁、义、礼、智、信，信属土。什么叫信？信就是诚实，信就是厚道，就是靠谱，就是厚德载物。各位你们想一想，未来的经济最大的危机是什么？其实不是钱没了，是信任没了。

离火运，人心浮躁，大家都想赚快钱，都想割韭菜，诈骗横行，大家谁都不信谁，银行不信，企业怕坏账；企业不信，消费者怕退货；老百姓不信，专家怕被忽悠，这就是信——土流失。这就好比水土流失一样，根基都没了，上面的树木，财富还能长得好吗？在这种情况下，谁能守住信，谁能像大地一样厚道踏实，不玩虚的，谁就是那个能够承载财富的土。

这就像是一场大浪淘沙。老天爷放这把火，目的非常明确，就是为了把那些投机取巧的、坑蒙拐骗的、德不配位的人全部筛出去。剩下的是谁？剩下的是那些真正有德行、有本事、有良心的人。

四、培土三味药：实业、信用与脾胃

所以，面对2026年的经济变局，你现在该做什么？准备赶紧去买黄金吗？黄金固然是金，但在烈火之下，黄金也难以独善其身，它的波动也会非常剧烈，你可以买点压箱底，但千万别指望靠它发大财。我给你的建议是去培土，怎么培土？我有三个具体的药方，你记好了，这比吃什么补药都管用。

第一味药，回归实业，回归技能。不管你多大年纪，你要有一门手艺，这个手艺不是说让你去搬砖，而是说你要有一个不管世界怎么变，别人都需要你的本事，哪怕你会做一手好菜，哪怕你会带孩子，哪怕你会中医按摩，这都是本事，这就是你的立身之土。不要再去搞那些虚头巴脑的投资了，把钱投在自己身上去练真本事。

第二味药，要积累你的信用资产。在未来，你的人品、你的口碑，比你银行卡里的余额要值钱1万倍。当所有的契约都失效的时候，你这个人的名字就是最强的契约，你要让周围的人都知道老张老李这个人靠谱，说话算话，哪怕天塌下来找ta准没错。这就是你在给自己铸造一个避风港，当大火烧来的时候，大家都往你这跑，因为你这里有土，你这里安全，那你还愁没钱赚吗？

第三味药，也是最重要的一味药叫养脾胃。这就要讲到身体的，你们知道吗？心属火，肺属金，脾胃属土。2026年外面的火太旺，会引动你身体里的心火，心火一旺，人就焦虑，就失眠，就心慌，心火克肺金，你的呼吸系统，你的免疫力就会下降，那怎么救？还是靠土，脾胃就是土。我想问问大家，你们最近是不是吃饭不香，是不是容易腹胀，是不是总是胡思乱想想得脑仁疼？中医讲思伤脾，你越焦虑，你的脾土越弱，脾土一弱，就生不出肺金，你的身体防御系统就垮了，你的财运也就跟着漏了。

所以从今天开始，你要好好吃饭，多吃黄色的食物——小米粥、南瓜、红薯这些看起来土里土气的东西，那是补土的宝贝。吃饭的时候专心吃饭，不要看手机，不要看那些让你焦虑的新闻，把心放在肚子里，细嚼慢咽，你每嚼一口饭，就是在给自己的身体培土，你的脾胃好了，土厚了，就能生金了，你的财运自然就稳了。

五、能量的回流：福德的密码

讲到这里，这是一个非常深刻的转折点，我们都在谈论如何保全财富，如何不变穷，但是大家有没有想过，财富的本质到底是什么？我们中国人讲财气，财它不是一张纸，它是一种能量，它不是静止的，它是流动的，在五行里，财对应的是什么？很多人说金克木，木是财，也有人说土克水，水是财，其实对于火运来说，水就是最珍贵的东西，2026年是火旺之年，火多水干，这意味着什么？意味着流动性会枯竭，你想想，天大旱，河里都没水了，如果你想在干旱的年份你还有水喝，你该怎么办？你能光想着把家里的水缸盖紧吗？但水早晚会喝光。你要学会挖井，你要学会布施，这是一个宇宙能量守恒的最高秘密。

当你感觉到大环境的收缩，感觉到恐慌的时候，说明你的能量场的封闭。你越是恐惧，越是想把钱攥得紧紧的，你的财路就越窄了。因为火气会把你封闭的那点死水迅速蒸发掉。反过来，如果你懂得能量回流，你懂得在这个时候去帮助别人，去支持正道，去传播智慧，你就是在给自己挖一口神井，哪怕你只是给路边的乞丐一块钱，哪怕你只是把这篇救人的文章转发给你的亲朋好友，这就叫水，这就是在火海里给自己浇灌出一条生路。

当你今天在这里听到了我这番关于未来的推演，你心里有了底，你不再像无头苍蝇一样乱撞，这其实就是你得到了巨大的能量。这份能量不是我倪海厦给你的，是老祖宗的智慧，跨越了几千年，专门在这个时间点来救你的。如果你只是把它当做一个免费的资讯，听完就完了，甚至还心存怀疑，说这老头在胡扯，那么这份能量在你身上是停滞的，在无形的世界里，你会欠下一笔智慧债，这笔债在平时可能没事，但是到了2026年这种大清算的年份，它就会变成你运势上的一个漏洞，那个丙午年的大火...

所以真正懂易经的高人在得到指点之后，一定会做一个动作，叫做水洗或者回流。这不是说你非要给我多少钱，我不缺钱，我看病的钱够我花了，我一把年纪了，要那么多钱干什么？带棺材里吗？我说的是你要向这个宇宙表达你的诚意和感恩。这种表达可是多种形式的，比如说你觉得这篇文章给你指明了方向，让你心安了，哪怕只是让你今晚能睡个好觉了，你可以通过平台的功能进行一种水洗的支持，或者点赞转发，这不仅仅是一次简单的互动，这不是交易，这是你在告诉老天爷，我懂规矩，我是一个有信徒的人。我愿意知识的传播，我不欠这个世界的。当你发出这个信号的时候，你的心是打开的，你的格局是放大的，你付出的那一点点会变成巨大的功德光环，护佑着你。

在2026年，当别人的财富被大火吞噬的时候，你的财富因为有了功德的加持，有了信徒的保护，反而会越烧越旺，这才是真正的火生土，土生金，这就是破财免灾的高级版，叫布施德福，你主动让能量流动起来，灾难就追不上你。

咱们话说到这上半场，关于钱袋子的事基本给你们交了个底，但是光有钱没命花，那也是一场空。2026年的这把火不光烧钱更烧身。接下来我要跟你们讲讲身体上的保命绝招，这些东西平时我在诊室里那都是要收挂号费才讲的，今天我都免费送给你们，因为我看见过太多因为无知而倒下的悲剧，我不忍心。

六、身体保命：应对丙午火旺之年

丙午年火气太旺，在中医里，火对应的是心脏，金对应的是肺，火克金，这是五行的生克。对于年轻人来说，可能就是发个烧，咳嗽两嗓子，扛一扛就过去了。但是对于咱们四五十岁以上的人来说，这就是一道鬼门关，为什么？因为人老了，肾水本来就亏，水克火，如果你的肾水足，你还能压得住那个心火。但是现在的人熬夜吃这些，乱吃药，肾水早就干了。等到2026年，天上的大火一引动，地下的肾水就救不上来，这就叫心肾不交。心火一旦失控，它往哪里跑？火性炎上，它是往上冲的，它直冲你的脑门。

所以我敢断言，2026年将会是心脑血管疾病、中风、高血压爆发的一年。很多平时看起来挺精神的老头老太可能在一夜之间就倒下了，还有肺部的问题，因为金被火克，呼吸系统极其脆弱，一场流感可能就会演变成大问题，那你该怎么办？是不是要去医院排队买药？千万别。药补不如食补，食补不如神补，神补不如气补。

第一招：金鸡独立（引火归元）

我教你们一招，最简单的也是我经常提到的，叫金鸡独立，但是针对2026年的火运，我要给这个动作加个心法。你们每天早上起床面向南方，为什么向南？南方属火，我们要借火生土。找个平坦的地方，先把眼睛闭上，把心静下来，然后慢慢抬起一只脚，单腿站立。注意了，重点来了，当你站立的时候，你的意念要放在哪里？千万不要放在头上。要放在你的脚底板，放在那个涌泉穴上。涌泉是肾经的井穴，是水的源头，你意守涌泉，就是把上面的火往下引，引到水里去，这叫引火归元。当你能稳稳当当站上一分钟，你会感觉脚底板发热，这就对了。这就是把你身上虚浮的贼火转化成了温暖你脏腑的真火。这比吃什么降压药都管用。

第二招：揉腹（火生土）

再教大家一个动作，叫揉腹。刚才我们说了，脾胃是土，土能化火生金，脾土就在肚子上。每天晚上睡觉前，平躺在床上，两手搓热，重叠在一起，按在肚脐上，先顺时针揉36下，再逆时针揉36下。这不仅仅是助消化，在易经里，腹部是坤卦，坤代表大地，代表土。你用手掌的温热去温暖腹部土，这就是火生土最直接的操作。你在揉的时候，心里要默念三个字："化化化"。化什么？化掉你的焦虑，化掉你身体里的淤血，化掉那些多余的火气。你坚持做一个月，你再看你的舌苔，绝对不一样，你的睡眠会变好，心里会踏实，这就是你的土厚了，你的根基稳了。2026年再大的风浪也吹不到一个根基深厚的人。

七、家居风水布局：土气镇火

接下来我们说说家里的风水布局。很多朋友问我说，既然2026年是火年，我是不是要在家里放一缸水来灭火？你看这就是不懂辩证法，这就只知其一，不知其二。丙午年的火是天火，是大火，你家里放了一盆水是杯水车薪，而且火太旺的时候，你泼点冷水上去，反而会炸锅，那叫水急火怒，反而坏事。正确的做法是什么？还是用土。

你们回家看看，家里的正南方，还有房子的正中间，这两个位置在2026年是重中之重。正南方是离宫，是火的老窝，正中间是中宫，是皇极位。

在2026年，千万不要在这两个方位放红色的东西，不要放红地毯，红灯笼，也不要放尖锐的带刺的植物，那是木，木生火，那是找死。你应该放什么？放石头，放陶瓷，你可以去捡几块圆润的鹅卵石，洗干净了放在家里的正南方，或者摆一个陶瓷的大花瓶，空的不要插花，为什么？因为石头和陶瓷是真土，火一来看到土，它就会去生土，它的破坏力就被耗竭掉了，转化成了生养万物的能量，这就叫贪生忘克，火光顾着去生土了，都忘了去克金——你的钱财了。这是一个非常高级的风水局，叫泄秀，不动声色就把灾难化解于无形。

还有家里的西北角，西北角代表男主人，代表家里的顶梁柱，也代表乾卦。2026年火克金，最容易受伤的就是家里的男主人或者是老父亲。所以家里的西北角一定要打扫得干干净净，千万不能堆放杂物，更不能有厨房。但是，火烧天门大凶，如果在西北角摆放一些金属的工艺品，比如铜葫芦或者六个乾隆铜钱，这是在帮金助威，增加金的抵抗力，这就是用环境的力量来加持你个人的运势。

八、人心与家庭：定力与智慧

讲完了身体和环境，我们再来讲讲最难的人心和家庭。我预感到了2026年很多家庭会爆发激烈的冲突，为什么？因为火气燥，人一旦被火气裹挟，脾气就会变大，父子反目、夫妻吵架的事情会层出不穷。特别是对于咱们这些做了父母的人来说，看着孩子们在经济动荡中挣扎，看着他们失业降薪，还不起房贷，我们心里急啊，一急就容易唠叨，一唠叨孩子就烦，火药桶就炸了。

各位老友，听我一句劝，到了2026年，你要学会做一个聋子，做一个哑巴，这就是我一直说的定力。年轻人的事你管不了，你不要管，那个时候社会上会有很多诱惑，也会有很多恐慌，你的孩子可能会回来跟你哭诉，说爸妈现在有个赚大钱的机会是什么？区块链是什么？元宇宙只要投进去，下个月就翻倍，或者他们会说，完了完了，现在钱不值钱了，我们要赶紧去买那个什么币，这时候你千万别动，千万别把你的棺材本拿出来给他们去填窟窿，你要像一座大山一样稳稳的坐在那里，你要告诉孩子，孩子别怕，只要咱们家还有你，还有田，只要咱们一家人身体健康，天塌不下来，你要做那个定海神针。如果你轻易的被孩子的情绪带着走，把养老钱拿去赌博式的投资，那才是真的万劫不复。记住易经讲："物极必反"。

2026年的大火虽然凶猛，但它也是在炼金，对于那些有准备的年轻人来说，这把火是在帮他们去除杂质。现在的年轻人太浮躁了，太脆弱了，让他们经历一点社会的毒打，经历一点经济的寒冬，不是坏事，只有经过烈火的淬炼才是真金。作为长辈，我们能给他们最好的支持不是金钱，而是我们平和的心态，是我们不添乱的健康身体。

九、2026年三大行动指南

好了，话说到这里，我想咱们今天这场龙门阵也摆得差不多了，但是真正的行动指南我现在才要正式发布，刚才我提到的三件事，现在，我要把这三件事拆解成具体的可执行的操作手册，请大家拿出纸笔保存，这可能决定了你未来5年的生活质量。

行动一：资金归拢，现金为王

具体操作，我不是让你把钱都取出来放在床底下发霉，我是说你要砍掉一切高风险的投资。如果你手里有那些承诺年化收益率超过4%的理财产品，趁早赎回来，别贪那点利息，本金安全才是第一位的。如果你手里有多余的房产，特别是在那些人口流出的三四线城市，或者是什么远郊区的海景房、旅游房，现在是最后的一场机会，别想着卖高价，能脱手就是赢。把这些变现的钱存成大额存单，或者是购买国债，这就是最稳的土。记住，在动荡的年份，现金流就是王道，当别人因为缺钱而变卖资产的时候，你手里有现金你就是爷，你可以用极低的价格买到最优质的资产，这就叫在别人恐慌时贪婪，但前提是你得有贪婪的资本。

行动二：深耕自己，修炼内功

老年不要觉得退休了就没事干了，26年大家都没钱消费，但是大家都有病要看，都有心病要治。如果你懂一点中医，懂一点按摩，懂一点心理疏导，甚至是你做饭特别好吃，这些看似不起眼的技能在未来都会变得非常有价值。你可以去学一套太极拳，或者学学八段锦，把自己的身体练得棒棒的。你想想，如果你一年不进医院不吃药，这省下来的钱是不是就等于赚到了钱？而且当你身体健康，红光满面的时候，你走出去，那个气场就能感染别人，别人看到你就觉得心里踏实，这种信任感是千金难买的。

行动三：积德行善，广结善缘保命

这一点再怎么强调都不过分。古人讲积善之家必有余庆，这个余庆就是留给子孙的福报。怎么积德？不是非要去庙里捐几万块钱，你在小区里看到别人提重物搭把手，看到邻居吵架劝两句，看到流浪猫狗给口吃的。最重要的是修好你的口德。离火运火主礼也主口舌（朱雀主口舌），大家火气都大，网络上全是戾气，全是谩骂，你千万别去参与，你别去网上跟人怼喷，别去传播那些负能量的谣言。

你要做那个传播温暖的人，你在朋友圈发一句鼓励大家的话，你给正能量文章点一个赞，写一句充满正能量的评论，这叫法布施。真经不怕火炼，厚德方能载物，你不仅仅是在写字，你是在用你的意念在这个虚拟的网络世界里打下一个正能量的装置，这个装置会发出光来吸引同频的人，排斥那些倒霉的鬼，这就像是一个巨大的防护罩，我们成千上万看过这篇文章的人，大家心连心，气连气，共同构建了一个强大的能量场。在这个场里，我们是安全的，我们是互助的。

结语：大火炼真金

最后我想跟各位交个底，2026年，从五行之气来看，确确实实是一个大坎，这就像是季节转换，从秋天进入冬天，必然会有寒风凛冽，经济的寒冬可能比我们想象的还要冷，还要长。但是中华民族这五千年来什么样的大风大浪没见过，我们这个民族最擅长的就是在绝境中重生。我们的文化基因里写着多难兴邦，对国家来说，这是一次凤凰涅槃的机会。我们会从外向型的、依赖别人的经济模式转向内循环的、自主的、强大的实体经济。对个人来说，这是一次灵魂的洗礼，我们会从追求物质的狂热中冷静下来，去思考生命的真谛，去回归家庭，回归内心。

恐慌是最大的病毒，只要你今天听懂了我的话，回去之后按我说的做：收缩战线，保护好你的钱袋子，强壮脾胃，保护好你的身子骨，积德行善，保护好你的福报，那么2026年的大动荡对你来说就不是一场灾难，而是一场精彩的大戏。你不是台下的受害者，你是台上的主角，你可以气定神闲的看着窗外风雨飘摇，手里端着一杯热茶说："你看咱们听老师的话，早做准备，现在多踏实。"这篇我讲得很深很透是为了大家能平平安安的度过未来的动荡岁月。如果你能听得懂，那是你的福气，如果你能照着做，那是你的造化。

最后我还送给大家一句话，作为结尾：

"大火烧去的都是虚妄，留下的才是真金。"

备注：此文根据过往倪海厦老师分享搜集整理，仅供参考。

跳转微信打开

''

跳转微信打开

贪：什么都想要

嗔：什么都看不惯

痴：什么都想不明白

慢：什么都看不起

疑：什么都不相信

跳转微信打开

究竟是多么伟大的前程，值得把每一个四季都错过~北京世界赠予我的 (2025一年好景·立夏——青春正风华现场)

跳转微信打开

《道德经》中有云“天道无亲，常与善人”。那什么是善？什么是恶？

《道德经》中有云“天道无亲，常与善人”。那什么是善？什么是恶？

最近终于读完了《凡人修仙传》，我觉得主人公韩立修炼到斩三尸阶段关于善恶的自我问辩可对此解答一二。

《凡人修仙传》原文摘记：

“

“不错，我想和道友论一论善恶之道，若是道友的回答能让我满意，我就愿意放弃争夺这具身体。”白衣韩立说道。

“你既然要论道，那我自然奉陪，有什么想问的，尽管问吧。”韩立身上的气势也潮水般敛去，淡淡说道。

“好，那我请问阁下，为何人有善恶之分？”白衣韩立问道。

“人本无善恶，所谓善恶，存乎一心尔。”韩立淡淡说道。若说此前，让他谈论善恶，恐怕他还说不出个所以然，但有了此前在襄邑小城这百来年的沉浸，闲暇时也读了不少关于此道的经典，两相结合，对于这世间善恶，自然也有了不小的感悟和体会。

“俗语有云，善有善报、恶有恶报，但实际上却并非如此。世间诸多行善之人，家里却过得穷困潦倒，而有的人作恶多端，却过得逍遥快活，这却是为何？”白衣韩立又问道。

“道友此问，不过一叶障目，不见泰山。何为善，而何又为恶，皆不是从表面便能轻易判断。只要有益于他人，有益于世间，就算打人骂人也都是善；反之，若只是为了达到自己的目的，即便敬人爱人，也变成了巴结讨好，也成了恶。一人行善积德，即便生活贫穷一些，子孙后代往往发达，而一人投机取巧，纵然得了一时富贵，总归没有好下场。”韩立淡淡说道。

白衣韩立听闻此话，微微颔首，随即又追问道：“那何为善，何又为恶？”

“对己对人皆有利可称之为善，对己不利但对人有利则是大善。对己对人皆不利是为恶，对己有利但对人不利的则是大恶。”韩立面色平静的说道。

“但凡做了利于他人之举，皆可称善吗？”白衣韩立淡淡问道。

“不可，有心为善，虽善不赏，带着目的去行善，仅是伪善，发白内心地为善，并不求回报，才是真善。”韩立摇头说道。

“一老翁失足落水，另一年轻商贩途经此处，将落水老翁救起，老翁以银钱一锭作为谢礼，商贩欣然收下，此举，为善否？”白衣韩立眼中泛起一丝满意之色，再次问道。

“善。”韩立说道。

“按你方才所言，不求回报才是真善，商贩接了银钱，岂非拿了回报，如何能称对？”白衣韩立追问。

“无论那商贩救人之前是否想到了回报，此事传开后，必能激励世人行善之心，只要是对众生有利之举，皆可称善。”韩立说道。

“世间有言：人善被人欺，道友以为如何？”白衣韩立又问道。

“此等事世间确实有之，然而只是少数，并非常态，我等要以开阔的胸怀包容这些许不公，如此才能立于不败之地，若然因其生怨，则便会落了下乘。”韩立说道。

“想不到道友对善之真意了解如此之深，佩服。在下还有最后一问，还请道友作答。”白衣韩立默然了片刻，叹息一声后，说道。

“请说。”韩立含笑说道。

“世间之人，讨论道理时夸夸其谈，行动之时却眼高手低的甚多，道友对善之真意理解深刻，然而我等具体应该如何修善？”白衣韩立目光灼灼的看着韩立，问道。

“于一切法，无取无舍；于一切事，无染无执；于一切境，不动不摇；于一切时，常行方便，随顺众生，令皆欢喜，此即为修善法也。”韩立默然了片刻，缓缓开口说道。

“于一切法，无取无舍；于一切事，无染无执；于一切境，不动不摇；于一切时，常行方便……”白衣韩立喃喃自语。“哈哈，好，道友这四句话说的绝妙，在下佩服！”白衣韩立拍手大笑道。

”

阅读原文

跳转微信打开

那天看到这幅字画，新生欢喜，买来放在书房。

那天看到这幅字画，心生欢喜，买来放在书房。

弘一法师有云：人生即三见，见天地，见众生，见自己。

见天地：从阴晴圆缺、生老病死中意识到自然的法则和规律。“寄蜉蝣于天地，渺沧海之一粟”。在大自然面前学会敬畏。

见众生：人生世俗的追求莫过于“名利”二字，人性是复杂的，每个人都有自己的功课与关卡、苦难与挣扎。当因果站出来，这世上没有可怜人；但当慈悲站出来，这世上全是可怜人。在众生万相中学会宽容。

见自己：人有七情六欲，红尘炼心。从追求物质名利，到追求精神文化，到追求灵性成长，这是一个从向外求转到向内求的过程。"钱塘江上潮信来,今日方知我是我。"愿你遇见未知的自己，以及成为更好的自己。

见山见海见自己！

阅读原文

跳转微信打开

看打铁花为什么会感受到心灵的震撼与惊喜，因为当外在的铁花与内在的心花心心相印，心之性也如花一般绽放于我们的生命内，心花怒放，吾心光明。

跳转微信打开

甲方安全小兵的日常

题图 by 6姐

生活不止眼前的枸杞，还有诗和甲方。两年前，我来了甲方，成为一名互联网公司的安全工程师。刚开始的阶段也是与一个个漏洞为伴，做做安全测试与漏洞推修。那时的日常可以参照我的那篇《安全摘记：互联网安全小兵的日常》。

后来，领导发现我吹牛逼的水平远远高于我的技术水平，决定对我因材培养，逐渐让我和业务打交道，作为安全接口人对接业务的安全需求，以及对通用型的业务需求做一些安全能力的沉淀。从此之后，就开启了我的打杂生活，日常工作包括输出一些安全场景的解决方案、安全意识安全制度安全技术的培训、安全事件审计、应急响应、安全合规、安全推广运营等。

很多人对安全工程师都有一个误解，这里就要思考一下了：

安全工程师的工作就是挖洞吗？

外部给企业提交漏洞的“白帽子”，以及内部经常收到漏洞通知的同事些，往往会觉得安全工程师就是与漏洞打交道。其实就像宜人贷在先知的一次安全大会上分享的那样，处理安全漏洞只是甲方安全人员一部分工作职责，事实上企业内的信息安全建设涉及的工作范畴可以很丰富，如安全需求评审、安全事件审计、安全培训、应急响应、业务风控、安全系统研发、安全合规等。

在《互联网企业安全高级指南》那本书里，作者大致将互联网公司的安全工作分为四个方面，简单描述下供参考：

• 信息安全管理：安全流程、整体以及场景化的安全策略制定与推动等。

• 基础架构与网络安全：生产网络各种网络设备、链路、服务器、服务器程序、数据库等涉及的安全运维，比如漏扫、打补丁、防火墙、安全配置、主机入侵检测等。

• 应用与交付安全：应用层面很多表现为Web服务（APP很多也是基于Web），这部分是目前攻防对抗主战场。代码审计、渗透测试、Web应用防火墙，安全开发SDL等可以划分到这部分。

• 业务安全：帐号安全、垃圾注册、交易风控、反外挂、反羊毛党等可以算作这部分。这些是在基础安全问题解决后的进阶需求，也越来越受到重视。

来到甲方之后，开始跟业务打交道，突然感觉有点忧伤的就是，明明我来到了甲方，可是作为安全支持对接业务的时候，我好像又变成了乙方…实际情况想想也可以理解，因为安全是一个偏服务、支持类的工作，在服务于为公司创造营收的主营业务的时候，安全更容易处于“弱势”地位。好吧，为了爱与责任，只能“业务虐我千万遍，我待业务如初恋”。

最近拜读了几篇分享企业安全人员日常工作的文章，比如友田的这篇《卧底“一个人的安全部”，我发现了某些大秘密》，以及“他们都叫她女神”的这篇《安全的价值》，读完很有感触。回想这两年在企业做安全建设、推动安全方案、以及与业务打交道的经历，从职场萌新混到了“老油条”，作为安全工程师，也慢慢学会了如何“体面”地与业务打交道。于是便写了此文，闲扯一下。

0x01 安全与业务的关系

举一个我经常喜欢说的例子，比如下边这张图，你过桥的时候会扶着栏杆吗？

我在现场讲安全培训的时候，也问过很多同事扶不扶，大家反馈除非靠在桥边看风景，基本不扶。

好吧，那如果桥上没有栏杆，你有没有一些忐忑呢？就像下图这样。

我觉得对于用户来说，产品和信息安全，就像是桥和桥栏杆，行人过桥的时候可能很少扶着栏杆，但如果桥没有栏杆，碰巧行人安全意识也比较薄弱，很可能就会出现安全事故。

《白帽子讲Web安全》那本书里说过，当一个产品其他方面都还可以的时候，那么“安全”也应该成为产品的一个重要属性，甚至也可以成为产品的一项核心竞争力，比如对于电商来说，支付安全、用户账号安全、订单数据防泄漏等，这些安全能力建设就可以成为电商业务的核心竞争力。

但实际的情况呢，因为很多做技术的处理人际关系会比较僵硬。很多安全人员也有一个误区，就是把安全放在业务的对立面上。经常对业务同事说：你们应该如何如何…应该这么做否则就会被黑…然后业务同学觉得安全根本不了解业务场景站着说话不腰疼…然后安全和业务就互相觉得对方是sb…

我觉得互联网公司中，安全本质还是为业务服务。

作为安全人员，我们要有一种 安全合伙人（SecPartner）的概念，我们是要帮助业务解决问题，在一个战壕里战斗，而不是在一旁指指点点。明确我们的初衷是给业务帮忙而不是添乱。

交流的时候，面对业务，不要再用“你们”，而是用“我们”、“咱们”，换位思考，先理解实际的业务场景与安全风险，如果你的安全建议提的很专业，很接地气，那么，我觉得业务人员不仅会接受，而且后面推动实施的时候，研发和运维同事也会觉得掌握了更好的编码技能或者安全配置技能而产生正向的驱动力。

一旦合作的过程中，对方认可了你的专业与态度，那么以后合作会越来越信任和默契。

当然，作为安全人员，如果觉得自己水平不足以提出好的解决方案，就努力把存在的安全问题和业务童鞋解释清楚，只要他们对安全风险的本质认识到位，很多情况可以从业务的角度提出更适合的解决方案，然后咱们一起论证。

切忌不懂装懂，提一些纸上谈兵的方案。至于水平，慢慢积累修炼就好。

当然，安全在支持业务的时候，生气总是难免的。

比如我原来做安全测试和漏洞推修的时候，也会遇到下边这种情况。

5月份发现的漏洞，业务9月份直接“标记忽略”，而且对方连话都不想和你说。我能说啥，我只能回一句扎心了老铁，然后确认忽略…

还有这个，直接“内部系统，开发不修了”…我心里多少头羊驼奔腾，当初是你让测试，测试就测试…..

我就想拿着某次去阿里参加安全会议送的扇子去找业务理论。

信不信我扇你。

后来我一想，研发也不容易，排期紧张，而且动不动就要被拉去祭天。

这个时候我就要反思了。

我是不是陷入了“安全好治无病以为功” 的陷阱

其实有些问题，从技术上看确实是安全漏洞，但是从业务风险来看，可能问题并不大，甚至修复的成本比可能造成的损失都高，这种确实可以风险可接受。

既然生气总是难免的，那生过业务的气之后怎么办呢？

当然是原谅他。

以后业务有安全需求了还是要好好招待。

我觉得作为甲方的安全工程师，不光要关注安全技术本身，更重要的是要理解安全和业务的关系，和产品业务方沟通的时候，应该多一些真诚，少一些套路，有一个安全建设者的视角，以安全合伙人（SecPartner）的态度，思考如何帮助我们的产品更健壮，让我们的业务更健康。

0x02 如何输出更易被业务认可的安全方案

1、“正确解”与“最优解”

首先我们需要理解的就是解决安全问题的“正确解”与实际可以落地的“最优解”往往是有差异的，我举个例子说明：

你觉得服务器需要装杀毒软件吗？

首先，客观上来说，服务器也会面临恶意代码的威胁，比如webshell、挖矿程序、rookit后门、病毒、木马等。所以不管是从政治正确的角度来说，还是参考各种安全体系标准，服务器上安装杀毒软件都是一个正确解。

但是实际情况呢？

对互联网公司来说，追求高性能与用户体验，这就需要生产服务器的计算能力要大部分留给处理业务需求，如果服务器的安全防护程序的性能消耗超过10%或者5%，或者因为安全方案的性能消耗导致业务出现卡顿，那这个方案就是业务不能接受的。实际在生产服务器的计算资源上，留给安全的及其有限，所以直接在服务器上安装杀毒软件目前看来不是业务能够接受的，它不是一个最优解。

那恶意代码的防护需求有更好的解决思路吗？

一个可行的做法是，将防范常见恶意代码的功能做成模块，集成到服务器的入侵检测终端程序中，终端的入侵检测程序要做的也主要是记录服务器的一些状态和日志，而且为了降低服务端的性能，尽量不在本地分析计算，而是将日志返回给后端的安全分析服务器，做进一步的分析和处理。

这种安全方案，既考虑到了恶意代码的检测与防护，又降低了生产服务器的资源消耗。平时在与一些安全厂商的交流中，也注意到一些安全厂商在给企业提供安全产品时，也考虑到了降低服务器资源消耗的需求，有些产品都设置了自杀机制，比如当自身资源消耗超过10%，服务器又比较忙碌，就将自己的进程kill掉，将资源让给业务。

上边这种解决服务端恶意代码的方案就是更易被业务接受的可实施的最优解。这里的“最优”不一定最好，主要想表达的意思是业务可接受实施可落地。而且最优解往往也不是最安全的解。

2、是“治标”还是“治本”

这里我要先讲一个小故事：

有次我重感冒，鼻塞很难受，去看医生，医生是怎么给我治疗的呢？

他先是用一个长得和眼药水差不多的滴鼻液，在我鼻子里滴了几滴，很快就帮我缓解了鼻塞的难受，畅呼吸。然后又给我开了缓解感冒的药，告诉我按时服药、近几天如果鼻塞难受就再用滴鼻液缓解。

这个例子中，滴鼻液起到了一个临时缓解鼻塞的治标的作用，缓解感冒的药就是治本的作用，医生的方案对我来说就是标本兼治。

安全也一样，出现安全问题，我们也要知道什么时候需要治标，什么时候应该治本，什么时候可以标本兼治。

就像我们处理漏洞应急的时候，假设发现了一个服务端的安全漏洞，修复方式可以有多种，比如：

1）改产品代码；2）改服务器配置；3）有WAF（Web应用防火墙）的话，直接加条过滤规则。

治本当然是在代码层修复，但是这个方案代价也最大，修复代码、排期迭代上线，而且研发作为唯一的生产力可能排期也很紧张。如果运维更新服务器配置能解决也行，但是要考虑到是临时更改还是要加到安全配置基线里，配置更改后会不会对其他功能造成影响。如果有WAF的话，最快的方法就是临时加条规则进行拦截，也叫“虚拟补丁”，这种很快，但是是治标的方法，也可能被绕过。

实际的应用中，比较靠谱的做法是，先通过WAF或者运维配置，临时控制安全漏洞的风险，然后让研发评估修复成本，排期迭代修复。这是比较理想的状况，实际的情况就需要因地制宜随机应变了。

3、“均码”与“量体裁衣”

我们买衣服会考虑尺寸，有的衣服就只提供了均码，身高体重在一个区间里的都可以穿，有的衣服就有更细分的尺码，消费者能选择更合身的尺寸，当然，也有那种量身定做的衣服，同时这种服务和产品就比较贵。

其实大的互联网公司，也往往有为集团输出通用安全方案的通用安全团队，以及重要业务自己组建的能为自己提供定制化安全解决方案的自建安全团队。

一些广泛的差异化小的安全需求，比如漏洞扫描、数据防泄漏、终端和服务器的安全配置基线等，通用安全团队来提供解决方案就比较适合，性价比高边际成本低，比如对A业务的数据防泄漏方案，稍加改动就能适合B业务。

而对于业务来说，通用的安全需求可以直接对接集团的安全团队，如果有自身定制化很高的安全需求，通用安全团队资源又不够的，就可以自己组建专门的业务安全团队，解决业务的定制化安全需求，比如SDL（安全开发生命周期）、一些独特业务场景下的风控等，从而为业务提供更贴合的定制化安全解决方案。

说到这里，我又想起了一个自己嗓子疼的例子：

大学毕业期间，有一次嗓子疼，我就去看医生，医生发现我喉咙有些红肿，给我开了消炎药，我回去吃了几天嗓子慢慢不疼了。

结果不到1周，我再次嗓子疼，这次我换了个医院。去看医生的时候，医生仔细观察了我的情况，先是问我这几天吃了什么东西，我当时觉得挺奇怪的，不就是嗓子发炎了吗开点消炎药不就行了，但是我想了想还是如实回答了，就是说因为是毕业季吗，同学聚餐喝酒较多，那几天吃的也都比较丰盛。

然后医生又观察了一会，最后和我说：你这不是感冒发烧引起的嗓子疼，也不是嗓子发炎，你是因为最近饮食吃得比较多，睡觉可能姿势也有些问题，导致胃液反流到喉咙，蛰的你嗓子疼。我给你开一盒消解胃液的药。

我当时就觉得这医生比较专业，比较靠谱，诊断地也比较仔细。遵医嘱吃了胃药后，当天症状就明显缓解了。

好了，故事讲完了，你知道我想表达什么吗？

其实可以引申的点有很多，我简单说几个，比如：

1、同样的安全事件，根因可能会有不同，需要安全工程师根据专业知识以及对业务场景的调研来给出更专业更本质的解决方案，而不是头痛医头脚痛医脚治标不治本。

2、通用的安全方案通常没有量身定制的安全方案效果好。

3、一些KPI的导向可能会使得员工有不同的表现，比如如果医生的诊费很便宜，药品提成比较多，面对业绩压力他可能就会想尽快结束每位病人的诊断时间，给个差不多的判断然后给你开很多药。如果医生的诊费很贵，同时KPI需要重点考核治疗方案的质量和治疗效果，然后他就愿意给患者提供更细致更认真的诊断服务，然后开平价的对症药品。其实有时候在企业和其他部门合作的时候，如果有一些现象感觉有点奇怪，不妨去想一想背后有没有一些特别的原因，比如合作伙伴自己的一些考虑和诉求，这里就不引申了，实际工作中总会遇到一些因其他原因导致的折腾。

讲到这里，再讨论一下，你觉得业务什么时候需要安全呢？需要什么款式的安全呢？

举个例子，如果业务有100万，你让他花2万买个保险柜，他是愿意的。而如果业务只有2万，你让他花8000买个保险箱，他估计是会抗拒的。

原来我们都说，业务自己还活不下去的时候，是不会太考虑安全的，就跟那个桥一样，先把桥面铺好能走，再考虑栏杆的事情。当然，近几年也出现过，初始的时候没考虑安全，导致出一些重大安全事件给业务造成了很大的打击。所以，安全其实也可以尽早考虑，尽早规划。

在安全方案的款式上，就像网易春风一样，安全方案有轻薄也有厚重，业务体验很重要。

有时也不禁感叹，都是做安全，大家对春风这种安全的重视程度和风险意识可比信息安全强多了。

总之，如果想输出更易被业务认可的安全方案，首先要明确安全角度的“正确解”不一定是业务接受并且可以实施的“最优解”，然后知道什么时候要“治标”什么时候要“治本”，同时在条件允许的情况下，更多地深入业务，了解业务具体的安全场景，从而提出更接地气的安全解决方案。

0x03 一些安全工作的感受与观点

首先想讨论的就是：

你觉得信息安全的目标是什么呢？

是没有蛀牙没有漏洞吗？是不出现安全事件吗？

当然我们有一个理想化的目标：

进不来，拿不走，改不了，看不懂，跑不了

很白话，我就不自己解释了，总之理想很丰满。

但是实际的企业安全建设中，我觉得：

信息安全的目标是：风险控制。用有限的资源投入将信息安全的风险降低到可以接受的范围内。

而且安全建设也要考虑性价比以及投入产出比（ROI）。

资源有限我这里稍微引申一下，如果要做SDL（安全开发生命周期），但是资源不够，那就可以根据实际情况做精简，比如：

这是相对完整的SDL流程：

根据实际情况，在资源和能力有限的情况下，可以因地制宜裁剪SDL：

而在实施落地的时候，可能会更精简。

那么安全什么情况下方便介入业务呢？我遇到的通常有2种情况：

1）和“钱（重要资产）”相关的业务发展迅速，安全问题暴露明显，业务主动寻求安全支持。2）高危事件驱动，安全主动介入。

当然，对安全人员来说，如果是业务主动寻求支持，后续的合作会更顺畅一些。安全主动介入的话，如果安全的内部影响力不足，坑还是很多的，吃冷饭被敷衍也是正常情况。

所以，这个时候安全更喜欢被动。

好吧，我们回顾一下题目：如何“体面”地与业务打交道？

啰嗦了这么久，篇幅也很长了，能读到这里的估计都是老铁，这里就不继续扩展了，要不然到下个月也写不完~汗

分享几条我感受比较深的的关于企业内部安全建设以及如何与业务合作的心得吧：

• 3331原则：安全建设要想做成，30%看领导的决心，30%看业务与安全方案，30%看实施落地与运营情况，10%看运气。

• 安全建设目标：风险控制。用有限的资源投入将风险降低到可以接受的范围内。

• 防护策略优先考虑：如何缩小攻击面/风险面。

• 互联网公司中安全本质还是为业务服务。

• 安全可以成为业务和产品的一项属性与核心竞争力。

• 解决安全问题的正确解往往不是适合业务实际落地的最优解。

• 业务规模到一定程度，安全会上升为系统化和工程化的日常化活动。

• 根据业务情况和目标，安全建设是分阶段和分优先级的。

时隔，依旧认同唯品会安全大会上分享的那首诗：

方法都知道，落地很艰难。领导不支持，一切都免谈。除了靠自己，还得靠伙伴。

讲真，企业安全建设，知不易，行更难。打铁还得自身硬，安全部门要想工作推动更顺利，用实力和疗效赢得认可才是王道！

作为一个互联网安全小兵，在有限资源的情况下，日常致力于为业务寻求场景化的安全“最优解”，随着安全解决方案的实践与经验积累，越来越认同《白帽子讲Web安全》中的那些关于企业安全建设的观点：

1. 安全工程师的核心竞争力在于他对安全理解的深度，以及由此引申的看待安全问题的角度和高度。

2. 最可贵的不是那一个个工业化的解决方案，而是在解决这些问题时，背后的思考过程。掌握了以正确的思路去看待安全问题，在解决问题的过程中将无往而不利。我们不是要做一个能够解决问题的方案，而是要做一个能够“漂亮地”解决问题的方案。

3. 安全是一门朴素的学问，也是一种平衡的艺术。

唯有务实、努力。

共勉！

转载请注明出处 ：sosly

电脑上也可直接访问博客（https://）查看，如有内容更新以博客为准。点击。

阅读原文

跳转微信打开

台湾游记，超多图预警

台湾游记，超多图 

入行互联网后，感觉很快就成为了最年轻的朋克养生一代。但生活不止眼前的枸杞，还有诗和远方的田野。前段时间参加公司团建第一次去台湾，于是便写下这篇游记，记录下台湾之行的见闻与心情—《垦丁迷途台北烟雨》。

对于台湾的向往，来自于小时候的语文课文中的日月潭，来自于那些值得回味的青春电影如《不能说的秘密》、《那些年我们一起追的女孩》，还有平时那些打着台湾口号的小吃如台式卤肉饭、台湾车轮饼这种。毕竟宝岛台湾是中国不可分割的一部分，离杭州飞机也不远，那就趁团建一起去感受下台湾的风景与人情吧。

这篇游记流水账断断续续拖了一个月，因为刚从台湾回来就开启了加班模式…心里苦，但还是要保持围笑(￣︶￣)

出发前的准备

出行时间：4月份     
行程路线：杭州-高雄-垦丁-高雄-台北-杭州

1、证件

台湾通行证+有效签注、入台证。
签注需要自己去所在地公安部出入境管理局办理，注意办理的时候选择个人旅游签注，比团对旅游签注更灵活一些。这次入台证是出行前旅行社给办理的，是一张A4纸，凭这个纸 超过2000台币 可以退税。到台湾后通行证和入台证要随身带好。

2、货币

在台湾用人民币换新台币比较方便，带着银联卡到支持银联卡的ATM机上可以直接取现（取出台币，扣除对应人民币），机场就有。然后购物的话一些大商超和连锁也支持刷银联卡还有支付宝，也看到有支持微信的，都比较方便。
5天左右的话，每人可以换5000台币（1000人民币元=4636.7新台币）平时现金支付，差不多。

3、通信

首先，酒店里一般有wifi，我们要考虑移动通信。1）最方便的，不用换卡，在支付宝/飞猪上，充值流量—境外流量中选台湾，有个7天1G的52块。注意，这个境外流量不用换卡，但是是3G信号。
说到这里，移动的手机号其实可以直接下载一个移动的“无忧行”APP，在里边可以直接购买多个国家和地区的境外流量，更便宜，而且还送免费的当地和国际电话时长。2）淘宝/飞猪上买台湾电话卡，是4G。3）淘宝/飞猪上买个WiFi卡，或者租用一个随身WiFi，可以机场取，方便多人上网用。
4）去到地方办理台湾当地电话卡，比较贵，麻烦，常去还可以，只是去玩几天的话不推荐。

4、要带的东西

1）衣物考虑到白天温度30度左右，夜晚有的地方会降到20度，平时穿短袖，带一个薄外套就行。
因为考虑到要去海边玩，也带了泳衣，拖鞋也可以带，墨镜，戴近视镜的话，最好有那种夹片墨镜或者是能套在近视镜外边的墨镜。

2）药品 （防晒霜）那边外地人看病人不方便，带好常见药：感冒、肠胃、中暑。
防晒霜再说一遍，去到再买也行。

3）来去可以携带的可以带个标识清楚的充电宝，不超过2W毫安时。台湾的电压: 110V 220V酒店基本都有，咱们的电器低电压也支持，就是充电慢一点。三孔插头通常需要转换器，不过酒店前台一般可以借到。
从台湾回来，每个人可以带2条烟，然后1.5L的白酒。烟的话有阿里山、长寿的多个系列可选。酒的话，可以考虑一下金门酒厂的高度高粱白酒。

注意：出游政治类东西不要涉及（比如见到一些发报纸的、一些宣传功法的），避免不必要的麻烦。

D1：出发，从杭州到高雄

来回坐的是长荣航空和立荣航空，其实都是类属于长荣集团。飞机上手机可以开飞行模式，通知里念“飞hang模式”，我以为是他们念错了，直到我看到了文字-飞航模式，然后感觉比较细致的就是每个座位上有一个腰垫和一个耳机。

飞机餐味道就正常，颜色搭配比较好看。

到了高雄机场后，先切换了当地的流量，然后去机场的ATM机上换了些新台币。

新台币目前流通的纸钞面值有 2000、1000、500、200、及100，硬币面值有50、10、5、1。

坐乘坐旅行社的大巴回酒店，注意游客是不坐第一排的，因为第一排的话保险不保障。所以第一排通常留给导游。

导游是一个台湾大叔，很热情，说很多台湾人老家都在广州、福建、浙江，因为老蒋的关系，这里很欢迎浙江来的旅行团。路上东扯西扯，说台湾现在经济不景气，然后“空心蔡”上台后搞台独弄得大陆同胞来旅游的少了，他们做导游的活也少了。

然后说到现在台湾人平均结婚年龄，是男的37，女的34，说因为父母将孩子供到大学毕业后就会断绝经济往来，不会像大陆这边普遍会给孩子支持房子首付，导致台湾年轻人压力大，普遍结婚晚。说现在很多台湾年轻人更愿意到大陆工作，导游大叔也说希望将来能来大陆养老。然后台湾总共人口说是2000多万，对比下杭州市的常驻人口也是2000多万，所以感觉台湾人口密度是小很多的，显得人少。

闲扯就不多说了，高雄也算是台湾的重要城市了，但是一路上能感觉到9点左右，城市街道普遍没有太多亮灯的地方，建筑也有些旧的感觉，就像是回到了小时候的城市记忆。

住的酒店叫“大都会”，名字很霸气，档次说是五花，台湾酒店是按花来评级的，感觉像大陆的三星级，然后这是在酒店门口照的一张，看起来确实有点电视电影中的感觉。

初来乍到，好好休息~

D2：高雄-垦丁

高雄观光：西子湾、垦丁国家风景区之猫鼻头、垦丁国家风景区之鹅銮鼻

早上起来打开窗，阳光美美哒~~

早上出发，我们先去了高雄市西侧的西子湾，是一个风景天成的湾澳。巧在旁边就是台湾的中山大学。

说到大学，听导游介绍，台湾高等学校好像有2、3百所，所以想读书的人总能上个大学，就是比较知名的也只有几所。

然后，我们步行走街串巷，去旁边山上看一个旧时的炮台。

一个小巷子的随拍，天蓝蓝。

上山的路上，看到旁边的海湾，看出来心形的弧度没~

到高处，先看看海，那一对不起眼的红绿柱子就是进港口。通过水上的痕迹可以看到航道。

回头看看高雄市，确实感觉楼有些旧，然后人口密度确实比大陆小很多，导游说淡季时，商场的柜姐比游客还多。

随后就来到了炮台。

这个时候，想起《那些年》的那张照片。

瞅瞅独家演绎的大龄版。

上午就这样过去，途中买了一杯冰镇甘蔗汁，很爽口。接着我们就去吃了午饭。

路上有一排台湾地区的历届领导人的海报，最右边的就是有名的“空心蔡”。

饭店的门口、商场的卫生间看到两个广告，我感觉比较有意思，贴出来，亮点自寻。

吃过饭，我们就去了垦丁国家风景区之猫鼻头。它是介于台湾海峡和巴士海峡的交界处为恒春半岛向巴士海峡延伸而出的突兀点，典型的珊瑚礁海岸侵蚀地形，鸟瞰似女孩的百折裙，故有裙礁海岸之称。其外形状如蹲伏的猫，因而取其名为“猫鼻头”。这段导游词略显生硬，咱们继续。

大家看看下边的图，就是最右边那块像猫的石头，尾部对着这边，抬着头，蹲伏状。

到中间再来一张。

瞅瞅这片海。

景区旁边的一个小店，看到了熟悉的支付宝和微信，疑惑为啥是支付宝 vs 微信，而不是支付宝 and 微信，汗~

接下来，我们就去了台湾的最南端—垦丁国家风景区之鹅銮鼻。

鹅銮鼻公园位于台湾最南端，以灯塔驰名，为台湾八景之一。园内珊瑚礁石灰岩地形遍布，怪石嶙峋，步道纵横交错。

这里的风景确实挺美的，路上看到一棵树，有些像Dota里的小鹿-魅惑魔女。

然后景区内有一座白的灯塔。

鹅銮鼻的景色实在太美，让我忍不住高歌一曲，会的朋友可以和我一起来~~~

向天空大声地呼唤，说声 我爱你，向那流浪的白云，说声 我想你，让那天空听得见，让那白云看得见，谁也擦不掉我们许下的诺言。

想带你一起看大海，说声 我爱你，给你最亮的星星，说声我想你，听听大海的誓言，看看执着的蓝天，让我们自由自在地恋爱。

【夜空中国】台湾最南点     
这是台湾岛地理上的最南点，但它并不十分偏僻。  
此刻，珊瑚礁上的生物在休息，人们在不远处的灯光里熟睡。而在另一边，无尽的太平洋上空，夏季银河在缓缓升起。     
https://mp.weixin.qq.com/s/50Vo0lB7Mz_A4EQ--8M8fQ

80后的朋友肯定听出来了，这就是那首小虎队的经典单曲《爱》，歌词有木有很应景。

晚上入住了不远处的统一度假村，在台湾感觉统一集团真是个哪都有它的大集团。

睡前呢，我们就一起来品尝下台湾真的有牛肉的“满汉大餐”方便面 和 上边广告中的那个台湾啤酒吧。

晚安！

D3：垦丁迷途

垦丁机车自由行：恒春老街、海角七号、某个海边、关山夕照、垦丁大街夜市

第二天自由行，早上睡到9点，吃完饭差不多10点才走出度假村，今天去哪呢？必须一路向北。

《那些年》里边有一个机车环游台湾的片段，找了半天就找到这张，主要就是机车，我们也要骑车车。

问酒店前台要了这张租车老板的名片，就去这家了，老板开车来酒店门口接，一台机车一天600新台币。

就是现实和电影的差距….看这一见清新的 Hello Kitty 车型，搭配上我的人字拖，还有我在小摊上买的可以套在近视镜外边的墨镜，是不是整体看起来很稳，很机车~沿海公路上确实天青海蓝阳光灿烂。

为啥叫“垦丁迷途”呢？

因为今天自由行大家都很随意，我们出门的时候遇到一起准备出门的同事些，一起有8个人，就说今天可以一起玩，先去电影《海角七号》的拍摄地，在恒春老街。结果说好的朋友一路一起走，我和大枫哥垫后，结果大枫哥就停下来调整座椅的一会儿，我俩就再也看不见其他人了，说散就散…最后折腾了好一阵子才终于在海角七号汇合，汗~

来，先看看这个房子的外景，随手拍了个路人妹纸，应该也是个游客。

进屋来，这个屋子的主人在一楼有一些纪念品销售，然后二楼的原景卧室是要收费的，不贵，台湾的前两天逛的自然景点都比较便宜。

墙上有海角七号的一些剧照。

这床有种严选的风格。

来张合影，是屋主家的小女孩帮忙照的。看像不像一大家子兄弟姐妹些。大家可能看不出来，我们都二十多岁了。  

差不多到了要吃午饭的时间，打开大众点评，先去吃了恒春老街一家评价很好的甜品，忘了叫什么名字，原谅我，挺好吃的。

然后去吃了这家牛肉面，就是有点甜，味道还行~~~后来在台北的一家牛肉面更好吃

这个恒春老街，就是道路上垃圾桶很少，不对，是木有垃圾桶，驾着我的机车转了两圈都没找到…这是老街的一个老南门。

走吧，去海边。

回去的路上，遇见的第一个海滩，这个海边的区域并没有圈起来收门票，旁边也有配套的一些冲洗设施，海水里也有保护网圈起来的玩水区域，人也不多。

如果想休息，在旁边水吧点杯饮料（约10元人民币），可以坐半天。

在水里扑腾会，累了就在水吧坐着看风景，啦啦啦

下午4点钟左右，我们准备去关山看夕阳，一路骑行，从海边走到山上。

看这个海湾，有没有些像荒野行动里面的地图场景~

陆续有返程的渔船由北向南。

关山夕照。

玩了一天，接着我们就要去垦丁大街，也是个夜市小吃一条街。

因为群友推荐，我们先去了这家“贵族世家”牛排，这家里边主餐是牛排或者海鲜鱼排，然后其他的都是自助。

我点的这个不是牛排，海鲜做的，忘了名字，很好吃。

继续逛垦丁夜市，边走边吃，光顾着吃了木有拍照…

感觉它这里的派出所和警车，都有种美国队长的的感觉，fashion

竟然还有路边的推拿。

路上我们也讨论了一个话题，为什么“台湾妹纸看起来比较乖”？

我通过观察，分析了一下，其实是这样：首先台湾妹纸皮肤普遍比较白，然后脸上的表情有点“呆滞”，这种呆出现在年轻妹纸脸上就显得有点呆萌，再加上台湾女生说话有点嗲，所以整体会让人感觉台湾的妹纸比较乖~真的耶，原来系酱紫哦

D4：垦丁-高雄-台北烟雨

高铁去台北：台北故宫、士林官邸

早上先是从肯定坐车到高雄，然后准备做高铁去台北，2个小时左右。

来到台北后，一天都是阵雨，我们今天要去的一个重点就是台北故宫。

早年老蒋撤离大陆的时候，据说提前将国宝运了几十万件到台湾，很多宝物都保存的比较完好。

从商州到战国，从盛唐到晚清，台北故宫，就像一部五千年的文化缩影，搜集了绘画、书法、玉器、珍玩。每一件文物都有它的故事，值得每一个中国人去欣赏和品位。

可能最有名的就是很逼真的“翠玉白菜”以及“东坡肉”了。

一下午看了很多宝物，贴出来一些。

这篇“快雪时晴帖”，曾被乾隆皇帝誉为“天下无双”，虽然只有短短28个字。

流连于一件件珍品，华夏历史的厚重与辉煌扑面而来。

参观了故宫后天色渐晚，接着去了不远处的“士林官邸”。

台北士林官邸位于台北市士林区福林路，早期属日本占领时代总督府园艺所用地，后来成为蒋介石在台湾的住处，也是台北市第一座生态公园。

进去就可以看到这辆很拉风的车。

不巧的是，刚进公园没多久，就下起了大雨，我带了一把伞，但是同行的两个哥们都没带…你能想象3个大老爷们打一把折叠伞的场景吗…用大枫哥的话说就是“那些年错过的大雨，今天一下子都还回来了”…

D5：台北

台北自由行：淡江中学、西门町、101大楼、饶河夜市、美丽华摩天轮

还记得电影《不能说的秘密》吗？它的拍摄地就是台北的淡江中学，也是周杰伦的母校。

最美不是下雨天，是曾与你躲过雨的屋檐.

沿着小路而上，走进淡江中学，周日，还有学生自习或者考试。

不得不说，淡江中学夏天的校服的确好看。

这首歌送给心心念念要来淡水中学朝圣的故事男孩大枫哥。

随后我们就准备去西门町，算是台北的一个商圈。游客可以在地铁（这里叫捷运）站买一日票，有效期内可以不限次达成台北捷运，很方便。而且同时它还会给你几张台北景点的打折券。

到达西门町附近，商圈很是热闹。

在街边吃了一碗真正的台北卤肉饭，很好吃，就是碗太小，我这是大碗，直径也就10厘米左右…没吃饱

值得一去的就是诚品书局，很有名的连锁书店。逛了没多久我们就准备前往台北最高的建筑-101大楼。

路边的小红花。

远看101。

近处。

台北101目前是世界第八大高楼，2004年完工，508米。

这是一张张照片拼成的台北101。

下边这个东西说是风阻尼器，帮助高楼抵挡大风，稳定楼体。

那天天气不晴朗，在高处看台北烟雨蒙蒙的。到此一游留个纪念。

从台北101下来，又到了晚饭时间，看着地图，台北有好几个夜市，离我们最近的是饶河夜市，不挑，因为都好吃，就去这里了。

从地铁松山站出来，突然觉得有些惊艳，好喜庆，让我想起了在玩仙剑四游戏的时候，里边那一段逛夜市的剧情。

饶河夜市早年是货物转运站，但现在的样子，红灯笼高高挂起，很有过节的气氛。夜市里人气很旺，特色美食也很多，排骨酥、胡椒饼、甜汤、乐敦排骨、烤玉米…原谅我光顾着好吃好喝没有拍照…

前一天刚来台北的时候，在大巴车上就远远看到过台北的摩天轮，后来一打听叫“美丽华摩天轮”，名字很好听。从夜市出来后，准备去美丽华，作为今天的最后一站。

摩天轮坐落在一个商场的楼顶，随着摩天轮渐渐升高，看到台北夜景还是让人略感兴奋，打卡。

D6：台北-杭州

台北：中正纪念堂、国父纪念馆、总统府

今天主要是最后逛一下人文景观，老蒋的纪念馆、孙中山的纪念馆、还有所谓的总统府。

中正纪念堂，坐落在一个大广场，里边还有国家音乐厅和国家戏剧院。

纪念堂有宝蓝色的屋顶，美丽壮观。

伦理、民主、科学。

随后我们去了为纪念孙中山而建的国父纪念馆。

这里每天定时都有换岗仪式，仪仗队换岗仪式感十足。

在旁边的陈列馆看了一张早年的报纸，发现首页竟然都是广告……

最后，途径了所谓的总统府，那天总统府附近有道路管制，说是有团体来游行请愿。

吃过午饭就去了台北机场，在机场可以退币退税。    

原计划下午返程的飞机，因为故障检修，一直到傍晚才出发。

这样，顺便拍了张台北的夜景。

后记

在台湾的几天，主要的感受就是两岸一家亲的人情味、自然风光、以及中华民族的一些文化传承。当然还有让人吃不过来的各种美食。

台湾的几十个电视台基本都有政论节目，蓝绿两党每天谈论两岸局势，感觉大多的节目都跟说相声一样，开局一张嘴，过程全靠编。而现阶段因为空心蔡的台独主张，两岸关系也略有紧张，来台湾旅游的大陆游客也少了。

想想咱们所倡导的中国梦，其实就是富强梦，希望通过几代人的奋斗，让国家富强，早日实现两岸统一！

最后的最后，万万没想到从台湾回来就开启了持续加班模式…心里苦，但还是要保持围笑(￣︶￣)

转载请注明出处 ：sosly 菜鸟笔记

电脑上也可直接访问博客（https://sosly.me）查看，如有内容更新以博客为准。

菜鸟学习通用代码审计思路

长文，需要的话可以收藏保存

过本地搭建 Damn Vulnerable Web Application (DVWA) 学习漏洞的利用和修复思路的时候，就感觉通过阅读 low、medium、high、impossible 的不同等级的存在漏洞缺陷的源代码，可以对漏洞的成因有代码层面的理解，也方便给修复建议的时候和研发进行代码层面的交流。

于是就想系统地学习和练习代码审计这块的知识，目前主要的学习资料就是《代码审计 企业级Web代码安全架构》这本书，PHP语言比较容易上手，环境搭建简单，搞Web的基本都会一点，而且PHP这门语言像腾讯、百度等都广泛运用到了Web上，还是很值得研究的。学习PHP的时候，除了网上的教程，我主要参考了《PHP和MySQL Web开发》这本书。

这里就把我学习的笔记整理成博客，感觉有输出才能更好地巩固学习效果。

PHP代码审计菜鸟笔记系列：

PHP代码审计菜鸟笔记（一）：代码审计前的准备

摘要：学习到这里，就可以开始搭建PHP代码审计的练习环境了，一种比较简单的方式就是在Windows下边安装好phpStudy，然后安装 Notepad++ 编辑器和 Seay源代码审计系统。

PHP代码审计菜鸟笔记（二）：通用代码审计思路-本文

摘要：学到这一节，就是结合例子了解下几种常见的审计思路，还有就是学会了Seay代码审计工具的基本操作。

本文涉及的工具附件，下载地址如下：

https://gitee.com/sosly/blogattachment/tree/master/PHP代码审计菜鸟笔记/

代码审计工具的实现大都是基于代码审计的经验和审计思路，然后把能够自动化的工作尽可能自动化，辅助提高审计效率。

我看了下“Seay源代码审计系统”的默认正则匹配规则，如下：

下边也可以填写测试数据，在工具里验证。

配置文件里也能找到这些规则的文本，感兴趣的可以研究，默认规则文本整理如下：

1    \b(include|require)(_once){0,1}(\s{1,5}|\s{0,5}\().{0,60}\$(?!.*(this->))\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    文件包含函数中存在变量,可能存在文件包含漏洞
2    \bpreg_replace\(\s{0,5}.*/[is]{0,2}e[is]{0,2}["']\s{0,5},(.*\$.*,|.*,.*\$)    preg_replace的/e模式，且有可控变量，可能存在代码执行漏洞
3    \bphpinfo\s{0,5}\(\s{0,5}\)    phpinfo()函数，可能存在敏感信息泄露漏洞
4    \bcall_user_func(_array){0,1}\(\s{0,5}\$\w{1,15}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    call_user_func函数参数包含变量，可能存在代码执行漏洞
5    \b(file_get_contents|fopen|readfile|fgets|fread|parse_ini_file|highlight_file|fgetss|show_source)\s{0,5}\(.{0,40}\$\w{1,15}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    读取文件函数中存在变量，可能存在任意文件读取漏洞
6    \b(system|passthru|pcntl_exec|shell_exec|escapeshellcmd|exec)\s{0,10}\(.{0,40}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    命令执行函数中存在变量，可能存在任意命令执行漏洞
7    \b(mb_){0,1}parse_str\s{0,10}\(.{0,40}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    parse_str函数中存在变量,可能存在变量覆盖漏洞
8    \${{0,1}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}\s{0,4}=\s{0,4}.{0,20}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    双$$符号可能存在变量覆盖漏洞
9    ["'](HTTP_CLIENT_IP|HTTP_X_FORWARDED_FOR|HTTP_REFERER)["']    获取IP地址方式可伪造，HTTP_REFERER可伪造，常见引发SQL注入等漏洞
10    \b(unlink|copy|fwrite|file_put_contents|bzopen)\s{0,10}\(.{0,40}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    文件操作函数中存在变量，可能存在任意文件读取/删除/修改/写入等漏洞
11    \b(extract)\s{0,5}\(.{0,30}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}\s{0,5},{0,1}\s{0,5}(EXTR_OVERWRITE){0,1}\s{0,5}\)    extract函数中存在变量，可能存在变量覆盖漏洞
12    \$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}\s{0,5}\(\s{0,5}\$_(POST|GET|REQUEST|SERVER)\[.{1,20}\]    可能存在代码执行漏洞,或者此处是后门
13    ^(?!.*\baddslashes).{0,40}\b((raw){0,1}urldecode|stripslashes)\s{0,5}\(.{0,60}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    urldecode绕过GPC,stripslashes会取消GPC转义字符
14    `\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}`    ``反引号中包含变量，变量可控会导致命令执行漏洞
15    \barray_map\s{0,4}\(\s{0,4}.{0,20}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}\s{0,4}.{0,20},    array_map参数包含变量，变量可控可能会导致代码执行漏洞
16    select\s{1,4}.{1,60}from.{1,50}\bwhere\s{1,3}.{1,50}=["\s\.]{0,10}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    SQL语句select中条件变量无单引号保护，可能存在SQL注入漏洞
17    delete\s{1,4}from.{1,20}\bwhere\s{1,3}.{1,30}=["\s\.]{0,10}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    SQL语句delete中条件变量无单引号保护，可能存在SQL注入漏洞
18    insert\s{1,5}into\s{1,5}.{1,60}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    SQL语句insert中插入变量无单引号保护，可能存在SQL注入漏洞
19    update\s{1,4}.{1,30}\s{1,3}set\s{1,5}.{1,60}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    SQL语句delete中条件变量无单引号保护，可能存在SQL注入漏洞
20    \b(eval|assert)\s{0,10}\(.{0,60}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    eval或者assertc函数中存在变量，可能存在代码执行漏洞
21    \b(echo|print|print_r)\s{0,5}\({0,1}.{0,60}\$_(POST|GET|REQUEST|SERVER)    echo等输出中存在可控变量，可能存在XSS漏洞
22    (\bheader\s{0,5}\(.{0,30}|window.location.href\s{0,5}=\s{0,5})\$_(POST|GET|REQUEST|SERVER)    header函数或者js location有可控参数，存在任意跳转或http头污染漏洞
23    \bmove_uploaded_file\s{0,5}\(    存在文件上传，注意上传类型是否可控

1）根据敏感关键字回溯参数传递过程；
2）查找可控变量，正向追踪变量传递过程；
3）寻找敏感功能点，通读功能点代码；
4）直接通读全文代码

下边会结合具体的实例来练习。

例如：

1）通过select、insert 结合from和where 等关键字，判定是一条SQL语句，然后通过对字符串的识别，判断这个SQL语句里边的参数有没有拼接或者 单引号过滤。

2）HTTP头里边的HTTP_CLIENT、HTTP_X_FORWARDFOR 等获取到的IP地址 经常没有过滤就直接拼接到了SQL语句中，并且因为是在$_SERVER 变量中，不受GPC的影响，因此可以查找HTTP_CLIENT、HTTP_X_FORWARDFOR 关键字来快速寻找漏洞。

然后来了一个espcms 的审计实例，这里我安装了一个2014年的旧版本的espcms 跟着操作，也复现了这个例子：

易思ESPCMSV5.9.14.08.28安装包 下载：
官网链接：http://www.ecisp.cn/html/cn/download/espcmstool/541.html
备用链接

其实这个例子，也讲解了Seay源代码审计系统的常用方法。

1）cms安装与环境准备

我的测试环境是Win10 操作系统中，安装了phpStudy 服务器环境，然后安装了“易思ESPCMSV5.9.14.08.28”，安装过程中自己设置管理员密码。安装后可以访问后台：

http://127.0.0.1/espcms/adminsoft/index.php

登录后是这个样子

这样基本的审计环境就搭好了，顺便我也安装了 Seay源代码审计系统。

2）利用Seay源代码审计系统 审计一个功能点

可以看着一起操作，我步骤写的很细致。这个例子也是“Seay源代码审计系统”的入门教学。

先“新建项目”载入程序，然后自动审计，注意文件夹选择 安装后的Web目录下的那个espcms的文件夹

我这里是第28行，这个文件，说的是里边的变量$parentid 无单引号保护，可能存在注入

/adminsoft/control/citylist.php

双击，跳转到代码：

然后左边可以跟踪变量，选中$parentid就看到这个变量的在当前文件的传递过程：

1）$parentid = $this->fun->accept('parentid', 'R');   
2）$sql = "select * from $db_table where parentid=$parentid";

接下来定位函数：

双击点进去

function accept($k, $var = 'R', $htmlcode = true, $rehtml = false) {
        switch ($var) {
            case 'G':
                $var = &$_GET;
                break;
            case 'P':
                $var = &$_POST;
                break;
            case 'C':
                $var = &$_COOKIE;
                break;
            case 'R':
                $var = &$_GET;
                if (empty($var[$k])) {
                    $var = &$_POST;
                }
                break;
        }
        $putvalue = isset($var[$k]) ? $this->daddslashes($var[$k], 0) : NULL;
        return $htmlcode ? ($rehtml ? $this->preg_htmldecode($putvalue) : $this->htmldecode($putvalue)) : $putvalue;
    }

这个函数大致意思就是，从Web请求包中获取 Get提交或者Post提交的对应参数。然后经过daddslashes() 函数过滤，这个函数就是包装了addslashes()函数，

需要说明的是，书里特别指出了一点：

addslashes() 过滤了单引号、双引号、NULL字符、斜杠。
只要参数在拼接到 SQL语句前，除非有宽字节注入或其他特殊情况，只要使用了 addslashes() 这个函数进行过滤，就不能注入了。

说到这，难道参数 $parentid 分析到这里就凉凉了？不是的，因为这里有个

$sql = "select * from $db_table where parentid=$parentid";

这个参数并不需要单引号来闭合 ，所以直接构造可以注入的语句，

如果这个语句写成下边这种情况：

$sql = "select * from $db_table where parentid='$parentid'";

因为量变有了单引号，这就属于“只要参数在拼接到 SQL语句前，除非有宽字节注入或其他特殊情况，只要使用了 addslashes() 这个函数进行过滤，就不能注入了”所描述的情况了。

好，既然这里可以利用，继续分析调用过程。

我们再回到

/adminsoft/control/citylist.php

既然oncitylist() 这个函数有问题，然后这个函数在类 important 里，就看哪里实例化了这个例，目的是找到调用这个函数的地方。

看到 /adminsoft/index.php 这里有：

这里读一下代码，涉及到2个参数 分别是 archive、action，初学的时候可能有些懵逼，我们不妨在未登录状态下，先访问

http://127.0.0.1/espcms/adminsoft/index.php

看看情况，发现默认情况下，URL会自动跳转到：

http://127.0.0.1/espcms/adminsoft/index.php?archive=adminuser&action=login

这和代码里的

$archive = indexget('archive', 'R');
$archive = empty($archive) ? 'adminuser' : $archive;
$action = indexget('action', 'R');
$action = empty($action) ? 'login' : $action;

对应，就是访问 /espcms/adminsoft/index.php ，没有参数的话，默认$archive 就是 adminuser，对应调用的文件就是/adminsoft/control/adminuser.php

$action 如果没有收到传入的参数，默认就是login，意味着就会调用adminuser.php 文件中的important实例化后的onlogin() 函数.

那么问题来了，我们的目的是触发 /adminsoft/control/citylist.php 文件中的 oncitylist 函数，那这个URL里的参数该如何构造？

依葫芦画瓢 ?archive=citylist&action=citylist

注意，刚才分析了 oncitylist() 函数调用了 accept(‘parentid’, ‘R’) 函数，去接收一个Get或者Post过来的参数 parentid

所以利用的Payload 应该构造为：

?archive=citylist&action=citylist&parentid=1

注意parentid 这个参数就是注入点，parentid的值可以随意尝试，这里就先写1 。

可以写我们的利用语句,完整就是：

http://127.0.0.1/espcms/adminsoft/index.php?archive=citylist&action=citylist&parentid=1

由于这个注入点，在/espcms/adminsoft/ 目录下，是需要管理员登录后才可访问的，所以我们先登录，再来测试这个注入点。

3）审计结果的验证

http://127.0.0.1/espcms/adminsoft/index.php?archive=citylist&action=citylist&parentid=1

加一个单引号：

直接报错了。

如果有黑盒测试经验的话,这个时候用salmap跑就比较方便。

但是咱们这次是白盒审计，SQL语句、代码、数据库啥都能看到，我们就练习下白盒审计的思路。这部分要是有些迷惑，就还要复习一下sql注入的基础。

那现在，我们知道了如下信息：

1）sql语句

$sql = "select * from $db_table where parentid=$parentid";

可以考虑用union语句拼接。

2）数据库表的字段数目

找到city表 ，有5列，

结合前边的，显示位就是cityname ，也就是第三列， 那么语句可以构造为：

parentid=-1 union select 1,2,version(),4,5

http://127.0.0.1/espcms/adminsoft/index.php?archive=citylist&action=citylist&parentid=-1 union select 1,2,version(),4,5

换一个函数 user()

http://127.0.0.1/espcms/adminsoft/index.php?archive=citylist&action=citylist&parentid=-1 union select 1,2,user(),4,5

到这里，就跟着书里的思路，复现了这样一个漏洞。

敏感函数回溯参数方法小结：

优点：这种逆向追踪回溯参数的思路，在需要快速寻找漏洞的情况下比较有效。
缺点：不适合运营在企业中的安全运营场景，企业中做自身产品的代码审计时，需要了解整个应用的业务场景，才能发掘到更多有价值的漏洞。

看到这一点，字面意思是不是“随便找代码目录下的文件，然后逐个读完”，感觉这方法是不是有些笨。

其实通读全文代码也有一些技巧，如果只是找文件逐个读完，很难理解整套代码业务逻辑。

以discuz X2.5 为例，下载了一个老版本：

http://download.comsenz.com/DiscuzX/2.5/Discuz_X2.5_SC_UTF8.zip

应该首先看程序的大致代码结构，比如主目录有哪些文件，模块目录有哪些文件，文件命名特点等等。

看代码目录的时候，要注意以下几种文件：

1）函数集文件

关键字：functions、common等，这些文件里边有公共的函数。

一个技巧就是去打开index.php或者一些功能性文件，看它们在文件头部包含了哪些文件。

2）配置文件

关键字：config等

3）安全过滤文件

关键字：filter、safe、check等

4）index文件

入口文件，通常阅读一遍核心目录的index文件，就能大致了解整套程序的架构、流程、包含的文件、核心文件等。

对于各种框架的代码，作者的建议是，学代码审计前期 不建议读开源框架的代码或应用，先找一些小应用来读，等总结了一定经验，对PHP比较熟悉后，再去读像Thinkphp、Yii、Zend Framework 等开源框架。

通读全文代码方法小结：

优点：更好地了解程序的架构和业务逻辑。
缺点：花费时间较多，程序越大约累。

有一些代码审计经验后，就知道哪些功能点对应哪些常见的漏洞，这样快速挖掘漏洞的时候，就可以安装好测试环境，然后配合黑盒测试，来审计常见的功能点。

例如：

1）文件上传功能2）文件管理功能3）登录认证功能
4）找回密码功能

然后书中说了一个BugFree老版本重装的问题，问题出现在install\index.php 文件中。

问题代码逻辑：

if(is_file("install.lock") && $action != UPGRADED && $action != INSTALLED)
{
header("location: ../index.php");
}

说这段代码存在一个逻辑漏洞，因为这里仅仅使用了 header(“location: ../index.php”); 后边没有接 die() 或者exit() 等函数退出流程，这个跳转只是HTTP头的跳转，当前PHP文件中，下边的代码依然会继续执行，用浏览器请求 install\index.php 会跳转，用burpsuite 可以看到 接下来的代码执行导致程序再次重装的效果。

我没找到这BugFree的代码，但是这种header的写法 ，很多cms都有，我就改了 另一个CMS代码中的类似点，测了下 header 跳转语句后， 后边如果不接exit 的执行效果，发现确实和书中说的一样，如果header跳转后，不写exit，下边的代码还是会执行，用burpsuite这种 默认不跳转，能看到页面余下代码执行的结果。

恢复 exit

其实这样写的话，即使你用浏览器访问看起来跳转了，那个PHP文件后续的代码也是执行了。

一个简单的例子：

<?php
header('Location: https://sosly.me');
//exit;
echo '5';
sleep(5);
?>

你把这个保存成一个php文件，放到web目录下，然后访问。

发现卡了5秒后跳转到 https://sosly.me ，burpsuite抓包可以看到 返回的数据5：

讲了代码审计的几种常见思路，以及不同方法的适用场景，并练习了几个可操作的实例。

1）根据敏感关键字回溯参数传递过程；2）查找可控变量，正向追踪变量传递过程；3）寻找敏感功能点，通读功能点代码；
4）直接通读全文代码。

学到这一节，就是结合例子了解下几种常见的审计思路，还有就是学会了Seay代码审计工具的基本操作。

系列文章，未完待续…

转载请注明出处 ：sosly 菜鸟笔记

电脑上也可直接访问博客（https://sosly.me）查看，如有内容更新以博客为准。点击原文链接即可跳转。

阅读原文

代码审计的小白学习笔记

长文，可收藏后阅读

通过本地搭建 Damn Vulnerable Web Application (DVWA) 学习漏洞的利用和修复思路的时候，就感觉通过阅读 low、medium、high、impossible 的不同等级的存在漏洞缺陷的源代码，可以对漏洞的成因有代码层面的理解，也方便给修复建议的时候和研发进行代码层面的交流。

于是就想系统地学习和练习代码审计这块的知识，目前主要的学习资料就是《代码审计 企业级Web代码安全架构》这本书，PHP语言比较容易上手，环境搭建简单，搞Web的基本都会一点，而且PHP这门语言像腾讯、百度等都广泛运用到了Web上，还是很值得研究的。学习PHP的时候，除了网上的教程，我主要参考了《PHP和MySQL Web开发》这本书。

这里就把我学习的笔记整理成博客，感觉有输出才能更好地巩固学习效果。

PHP代码审计菜鸟笔记系列：

PHP代码审计菜鸟笔记（一）：代码审计前的准备-本文

在开始学习《代码审计 企业级Web代码安全架构》这本书前，也在 SecWiki 上搜索了PHP代码审计相关的文章，确实发现有一些很好的学习资源，包括一些练习案例和大伙分享的文章。

这里把一些PHP代码审计相关的通用资料整理如下，供参考：

1、一份《代码审计》的理解和总结
https://github.com/jiangsir404/Audit-Learning

附带推荐的练习题：
https://github.com/bowu678/php_bugs
https://github.com/CHYbeta/Code-Audit-Challenges

2、《高级PHP应用程序漏洞审核技术》-2010 黑哥出品
https://code.google.com/archive/p/pasc2at/wikis/SimplifiedChinese.wiki
如果要看目录的话，这里有份备份：
http://blog.sina.com.cn/s/blog_3dbab2840100lz4e.html

3、《PHP代码审计》-171218
https://mp.weixin.qq.com/s/ZaCSOB1R3nRCwMQd_xSbrQ

4、《PHP trick（代码审计关注点）》-180323
https://hacksec.xyz/2018/03/23/php-trick/

5、《PHP Trick 总结与探讨（一）》-161118
http://www.freebuf.com/articles/rookie/119969.html

6、《PHP代码安全杂谈》-180204
http://www.freebuf.com/articles/rookie/161474.html

7、一份《PHP代码审计》文档-130706
https://wenku.baidu.com/view/11c0625f69eae009581bece0.html

8、《攻击PHP框架》-160901
http://www.mottoin.com/88624.html

9、《PHP安全编码规范之安全配置篇》-160804
http://blog.topsec.com.cn/ad_lab/audit-defanse/

参考的资料太多，适当选取即可，还是回到我的学习主线《代码审计 企业级Web代码安全架构》 ，笔记也是跟着进度写的，也会有一些扩展。

1、代码审计定义

代码审计 是指对源代码进行检查，寻找代码中的bug，这里主要寻到可导致安全问题的bug。
这是一项需要多方面技能的技术，包括对编程的掌握（能看懂代码的逻辑）、漏洞形成原理的理解、系统和中间件等的熟悉。

2、代码审计思路

1）逆向追踪检查敏感函数的参数，然后回溯变量，判断变量是否可控并且没有经过严格过滤。2）正向追踪先找出哪些文件在接受外部传输的函数，然后跟踪变量传递的过程，观察是否有变量传入到高危函数里边，或者传递过程中是否有代码逻辑漏洞。这种正向追踪的方式，比逆向追踪挖掘得更全。3）经验判断直接挖掘功能点漏洞
根据自身的经验判断该类应用通常在哪些功能中会出现漏洞，直接全篇阅读该功能代码。

3、PHP代码审计需要掌握好以下（其他语言类似）

1）PHP编程语言的特性和基础2）Web前端编程基础3）漏洞形成原理4）代码审计思路
5）不同系统、中间件之间的特性差异。

这里主要讲了用 phpStudy 快速搭建集成服务器环境（包括php解释器和MySQL数据库），Windows下的比较方便，Linux下的麻烦一些。

然后需要注意的就是PHP的一些配置参数的设置，会导致代码的执行效果不同。

觉个例子，比如GPC配置：

; Magic quotes for incoming GET/POST/Cookie data.magic_quotes_gpc = On或者
magic_quotes_gpc = Off

这个参数，如果是On的话，服务器会对GET/POST/Cookie 提交过来的数据中的一些特殊字符做一些转义处理，防止因特殊字符处理不当导致的安全问题，比如SQL注入。

但是一些PHP原有的安全配置项，在高版本废弃了（如php5.4） get_magic_quotes_gpc ，网上搜索了下，说目的是把安全编码 交给用户自己来处理，从而避免了因gpc未设置，用户代码却依赖这个设置而带来的安全隐患。

这一部分可以参考PHP配置的官方文档，书里讲了一些和安全相关度比较高的配置。

1、php.ini 配置选项列表
http://php.net/manual/zh/ini.list.php

2、配置可被设定范围
http://php.net/manual/zh/configuration.changes.modes.php

这一节主要讲了代码审计用到的工具，其实最常用的，就是Windows下边安装好phpStudy，然后安装Notepad++ 编辑器和 Seay源代码审计系统。

因为作者的博客 www.cnseay.com 目前打不开了，书里提到的很多小工具由于没有官网或者很久不更新已经比较难搜索到，而且下载也容易遇到坑，比如我在找“灵者正则调试”这个小工具时，就从一个大的下载站直接下载了一个下载器流氓软件，一运行就开始在我的电脑上安装各种全家桶，安全软件也没拦截住，我当时就立即手工断网，折腾了一下午…

为了让大家少踩坑，我就把没找到官网然后下载的这些工具整理出来，方便大家下载，不过有官网的工具建议还是从官网下载，其他的来源我也不确定是不是完全安全。顺便也补充了我用过的书里没提到的一些工具，比如“文件搜索者SFileSearcher”、“正则测试RegexTester”。

下载链接：

https://gitee.com/sosly/blogattachment/tree/master/PHP代码审计菜鸟笔记/PHP代码审计菜鸟笔记1_附件

其他提到的工具，按照书里的介绍，笔记如下：

1、代码编辑器

1）常用轻量级代码编辑器
Notepad++、Editplus、UltraEdit、PSPad、Vim、Gedit等，这些都是通用文本编辑器。

2）常用的完备性PHP开发软件
Zend Studio（和PHP一个公司）、PhpStorm、PhpDesigner、NetBeans

简要介绍：

1）Notepad++
开源（GPL）、Windows、支持多种语言代码高亮。双窗口、显示字节数、文本操作、正则、插件等。

2）UltraEditWin、Linux、Mac都支持。支持十六进制查看及编辑，可直接修改exe等文件。支持打开大文件（超过4GB）。配置脚本路径（如php.exe），可以直接执行代码。
文件对比：分析补丁修改位置。

3）ZendStudio和PHP出自一个公司。内置一个强大的PHP代码调试工具。代码提示功能强大。
支持6种以上语言。

2、代码审计工具

辅助我们做白盒测试，可以分为 安全性审计、代码规范性审计 等类型。
Seay源代码审计系统、Fortify SCA、RIPS、FingBugs、Codescan等。

简要介绍：

1）Seay源代码审计系统C#语言开发的的，针对PHP的代码审计，Windows下运行。
一键自动化白盒审计、代码调试、正则编码、自定义插件

2）Fortify SCA很强大，支持很多语言，很贵。
五大主要分析引擎：数据流、控制流、语义、结构、配置

3）RIPS
http://rips-scanner.sourceforge.net/
一款基于PHP语言开发的针对PHP代码安全审计的软件。450KB，最新版0.55，2017年6月已经更新。
使用简单，还能自动生成漏洞利用payload。

4）phpvulhunter发现的一个3年前的开源项目，可是试试
https://github.com/OneSourceCat/phpvulhunter

3、漏洞验证辅助工具

数据包请求工具类、暴力枚举类、编码转换、加解密类、正则调试、SQL执行监控等。

1）Burpsuite
代理抓包、漏扫、暴力破解

2）浏览器扩展（有些插件已经不兼容新版浏览器了）
Firefox：Hackbar、Firebug、Live HTTP Headers（只能抓http包）、Modify（改请求的http header）等

Chrome：Http Headers、EditThisCookie、ModHeader等
IE：测试软件IEtester，可以切换IE浏览器内核版本而不同安装所有版本IE浏览器。

3）编码转换及加解密Seay代码审计系统自带编码、Burpsuite的Decoder功能、
超级加解密转换工具（国产）：https://www.52pojie.cn/thread-98795-1-1.html

4）正则调试功能Seay代码审计系统自带正则调试（支持实时解码调试）、
灵者正则调试

5）SQL执行监控工具MySQL：通过配置，然后用Seay自带的。
SQL Server：自带的的性能监控 SQL Server Profiler 。

第一篇笔记就是整理了PHP代码审计学习的一些学习资源、环境与工具等。

学到这就可以开始搭建PHP代码审计的练习环境了，一种比较简单的方式就是在Windows下边安装好phpStudy，然后安装 Notepad++ 编辑器和 Seay源代码审计系统。

系列文章，未完待续…

转载请注明出处 ：sosly 菜鸟笔记

电脑上也可直接访问博客（https://sosly.me）查看，如有内容更新以博客为准。点击原文链接即可跳转。

阅读原文

磨磨蹭蹭，精精简简，终于写到了最后一篇

将蜜罐技术应用到内网攻击感知中，一篇硕士论文的研究过程与demo实现，抛砖引玉。计划的系列文章内容分为以下几个部分，按照论文撰写的脉络来讲：

1. 蜜罐与内网安全选题思考

2. 蜜罐技术科普与发展简述（2016年）

3. 常见内网攻击类型及检测思路

4. 多款开源蜜罐数据样例与应用分析

5. 攻击序列、攻击模式与攻击者标签

6. demo系统设计与系统测试

7. 我的论文小结（附脱敏的答辩PPT与参考文献列表）-本文

磨磨蹭蹭，精精简简，终于写到了最后一篇。本篇分享下脱敏后的PPT、论文小结以及参考文献。

因为论文解密期的原因，就不放出论文文档了，其实大部分内容都写到这个系列里了，再过个一年半载，就可以在硕士学位论文库里搜索到了，标题是《基于蜜罐技术的内网安全检测系统的研究与应用》，2016上半年完稿。

从一个想法到实现demo，需要迈过一个个坑，从demo到一个真正能够在生产环境发挥作用的安全产品，更是需要激情与汗水的打磨与实战的洗礼。

扫码跳转到PDF链接，或者可以点击原文链接在sosly.me查看下载。

论文工作总结

本文分析了内网安全问题的发展趋势以及蜜罐技术的国内外应用现状，介绍了常见内网攻击类型和蜜罐相关的技术。论文在对蜜罐数据分析的基础上，阐述了基于特征匹配的攻击行为判断方法，并提出了一种攻击数据数值化的方法，以及衍生出的攻击序列、攻击模式和攻击者标签的概念。本文设计了一种攻击模式相似度算法，并结合层次聚类算法提出了一种大数据条件下攻击模式的聚类方法。本文设计和实现了基于蜜罐技术的内网安全检测系统的整体架构和各个功能模块，并在实验室环境下对系统进行了部署和测试。

本文的主要工作如下：

（1）分析了国内近几年内网安全问题的发展趋势，对常见内网攻击类型进行了分析并研究了相应的检测思路。（2）对蜜罐技术应用的国内外现状进行了梳理，并对蜜罐相关的技术进行了研究、测试和阐述。（3）对蜜罐捕获的数据内容进行了分析和解释，研究了基于特征匹配的攻击检测方法，进一步提出了蜜罐数据数值化的方法，阐述了“攻击序列”、“攻击模式”以及“攻击者标签”的相关定义和应用。在攻击模式匹配算法研究过程中，本文设计了一种攻击模式相似度算法，并结合层次聚类算法提出了一种大数据条件下攻击模式的聚类方法。（4）提出了基于蜜罐技术的内网安全检测系统的整体框架和各个功能模块的设计方案，并对关键设计和实现方法进行了阐述。（5）在实验室环境下部署系统并搭建测试环境，在内网进行攻击测试，并对测试结果进行分析，验证了基于蜜罐技术的内网安全检测系统的有效性和可靠性。
（6）对论文的研究工作进行总结，并对本课题的未来研究方向进行展望。

课题工作展望

按照目前的网络安全发展趋势，重要信息资产的安全问题将会愈发重要，基于数据挖掘和数据可视化的威胁情报和态势感知将成为研究热点。本文提出的基于蜜罐技术的内网安全检测系统虽然可以检测常见的内网攻击并进行预警，但在蜜罐技术的应用和攻击数据的处理上还有很多不足之处。本课题今后可以持续研究和完善的方面主要有：

（1）继续完善系统功能，包括内网信息资产识别、批量蜜罐终端管理等。（2）系统底层引入更多种类的蜜罐技术，从而实现更丰富攻击数据的捕获。（3）对蜜罐数据进行深度的挖掘、分析和关联，并不断积累数据，通过机器学习实现攻击行为的智能研判和攻击模式的有效聚类。
（4）将蜜罐技术在内网安全检测方面的应用移植到外网攻击检测中，使得本系统支持更广泛的应用场景。

• [1] 李欣, 侯松霞. 内网安全防御系统的研究[J]. 计算机应用, 2007, 27(B06):245-246.

• [2] 魏为民, 袁仲雄. 网络攻击与防御技术的研究与实践[J]. 信息网络安全, 2012(12):53-56.

• [3] 唐勇, 卢锡城, 胡华平,等. Honeypot技术及其应用研究综述[J]. Journal of Chinese Computer Systems, 2007, 28(8):1345-1351.

• [4] Wang C, Ding Z. Research on the interaction of honeynet and IDS[J]. The China Quarterly, 2011, 156(156):809-835.

• [5] Jain P, Sardana A. A hybrid honeyfarm based technique for defense against worm attacks[C] Information and Communication Technologies (WICT), 2011 World Congress on. IEEE, 2011:1084-1089.

• [6] 刘智宏. 基于蜜罐技术的企业网络安全防御系统研究与设计[D]. 上海交通大学, 2009.

• [7] 蜜罐网络[EB/OL]. http://drops.wooyun.org/papers/5968, 2015.5.7.

• [8] 诸葛建伟, 唐勇, 韩心慧, 等. 蜜罐技术研究与应用进展[J]. Journal of Software, 2013, 24(4).

• [9] 古开元. 基于蜜罐技术的蠕虫检测和防御系统的研究与设计[D]. 四川大学, 2006.

• [10] 李文瑾. 基于蜜罐技术的蠕虫特征自动提取技术的研究[D]. 华中科技大学, 2007.

• [11] 宋富强. 基于蜜罐技术的端口扫描检测系统的设计与实现[D]. 中南大学, 2008.

• [12] 李磊. 基于蜜罐技术的分布式入侵防御模型研究[D]. 西安理工大学, 2008.

• [13] 王建军. 基于蜜罐技术的网络攻击预警系统的研究与应用[D]. 上海交通大学, 2010.

• [14] 李曙强. 基于蜜罐技术的校园网络安全方法研究 [D]. 浙江工业大学, 2009.

• [15] 陈朕. 无线局域网蜜罐系统的设计[D]. 山东大学, 2008.

• [16] 徐明明. 蜜罐技术在网络安全中应用研究[D]. 南京信息工程大学, 2011.

• [17] 狩猎女神的前世今生[EB/OL]. http://netsec.ccert.edu.cn/zhugejw/2011/11/28/%E7%8B%A9%E7%8C%8E%E5%A5%B3%E7%A5%9E%E7%9A%84%E5%89%8D%E4%B8%96%E4%BB%8A%E7%94%9F/, 2011.11.28.

• [18]诸葛建伟, 魏克. 在 CERNET 实际部署 Kippo 蜜罐[J]. 中国教育网络, 2011 (9): 71-73.

• [19] 吴灏. 网络攻防技术[M]. 机械工业出版社, 2009.

• [20] 常用服务和开放端口对照[EB/OL]. http://jingyan.baidu.com/article/03b2f78c498da25ea237aeb8.html, 2014.2.13.

• [21] 上野宣. 图解HTTP[M]. 人民邮电出版社, 2014.

• [22] 竹下隆史, 乌尼日其其格. 图解TCP/IP(第5版)[J]. 电脑编程技巧与维护, 2014(6).

• [23] 马琳. 基于端口扫描检测技术的实现[J]. 信息系统工程, 2013(3):107-108.

• [24] 谢希仁. 计算机网络(第5版)(附光盘)[M]. 电子工业, 2012.

• [25] 董延华, 李爽, 宋珊. 基于网络协议仿真系统的ARP攻击原理分析[J]. 吉林师范大学学报:自然科学版, 2011, 32(1):65-66.

• [26] 阮清强. ARP攻击检测与定位方法研究[J]. 信息网络安全, 2010(4):66-66.

• [27] Daisuke M, Katsunari Y, Tsutomu M. Observing DNS Amplification Attacks with DNS Honeypot[J]. Ipsj Journal, 2014, 55:2021-2033.

• [28] 胡小梅, 刘嘉勇. 基于DNS劫持的流量监测系统设计与实现[J]. 网络安全技术与应用, 2016(1).

• [29] 刘京义. 针锋相对抗击DNS劫持[J]. 网络运维与管理, 2015(1):103-106.

• [30] 黄孝楠, 韩宇. 用于局域网的网络嗅探器的设计[J]. 网络安全技术与应用, 2014(8):95-96.

• [31]安全科普：流氓DHCP服务器内网攻击测试.http://www.freebuf.com/articles/network/74995.html, 2015.8.15.

• [32] 严芬, 王佳佳, 赵金凤,等. DDoS攻击检测综述[J]. 计算机应用研究, 2008, 25(4):966-969.

• [33] Nmap脚本使用总结.http://drops.wooyun.org/tips/2188, 2014.6.8.

• [34] 黎陈炫. 基于蜜罐技术的安全高校网络架构研究与设计[D]. 湖南大学, 2013.

• [35] Provos B. honeyd - A Virtual Honeypot Framework[C]// 13th USENIX Security Symosium. 2010.

• [36] 程杰仁, 殷建平, 刘运,等. 蜜罐及蜜网技术研究进展[J]. 计算机研究与发展, 2008, 45(z1):375-378.

• [37] 史伟奇, 程杰仁, 唐湘滟,等. 蜜罐技术及其应用综述[J]. 计算机工程与设计, 2008, 29(22):5725-5728.

• [38] Almotairi S, Clark A, Mohay G, et al. A Technique for Detecting New Attacks in Low-Interaction Honeypot Traffic[C]// International Conference on Internet Monitoring & Protection. IEEE Computer Society, 2009:7-13.

• [39] 刘风路. 蜜罐技术研究与分析[D]. 国防科学技术大学, 2006.

• [40] Alata E, Nicomette V, Kaa?Niche M, et al. Lessons learned from the deployment of a high-interaction honeypot[C]// Dependable Computing Conference, 2006. EDCC ‘06. Sixth European. IEEE, 2006:39-46.

• [41] Nicomette V, Kaaniche M, Alata E, et al. Set-up and deployment of a high-interaction honeypot: experiment and lessons learned[J]. Journal in Computer Virology, 2011, 7(2):143-157.

• [42] 邹文. 虚拟蜜罐在网络安全中的应用研究[D]. 湖南大学, 2008.

• [43] Voznak M. Automatic analysis of attack data from distributed honeypot network[C]//SPIE Defense, Security, and Sensing. International Society for Optics and Photonics, 2013:875512-875512-7.

• [44] Wei-Ping Z, Ming-Xin L, Huan C. Using MongoDB to implement textbook management system instead of MySQL[C]// Communication Software and Networks (ICCSN), 2011 IEEE 3rd International Conference on. IEEE, 2011:303-305.

• [45] 蜜罐网络. http://drops.wooyun.org/papers/5968, 2015.5.7.

• [46] 代恒, 诸葛建伟. 诱捕恶意攻击“简易装”——Dionaea低交互式蜜罐介绍[J]. 中国教育网络, 2011(11):76-79.

• [47] 杜星. Glastopf蜜罐在Web安全中的应用研究[D]. 西安电子科技大学, 2014.

• [48] 孙松柏, 诸葛建伟, 段海新. Glastopf:Web应用攻击诱捕软件及案例分析[J]. 中国教育网络, 2012(1):75-78.

• [49] Duan K Y, Shen H E, Cheng Y X. Analysis of SSH Brute-Force Cracking Behavior based on Kippo Honeypot[J]. Information Security & Communications Privacy, 2014.

• [50] Jason Barnes, Patrick Crowley. k-p0f: A high-throughput kernel passive OS fingerprinter[C]// Architectures for Networking and Communications Systems (ANCS), 2013 ACM/IEEE Symposium on. 2013:113-114.

• [51] 段明秀. 层次聚类算法的研究及应用[D]. 中南大学, 2009.

• [52] 刘兴波. 凝聚型层次聚类算法的研究[J]. 科技信息:科学·教研, 2008(11):202-202.

• [53] 杨冰. Web信息聚类分析与算法研究[J]. 硅谷, 2014(6):53-53.

终于写完这个系列，可以继续分享点工作后的事情了…本以为毕业踏入工作岗位从事企业安全建设工作，会是我安全技术提升新的起点，工作快两年才发现毕业那个时候可能是我安全技术的巅峰…

转载请注明出处 ：sosly 菜鸟笔记

电脑上也可直接访问博客（https://sosly.me）查看，如有内容更新以博客为准。点击原文链接即可跳转。

阅读原文

系统跑起来~多图预警

系统跑起来

蜜罐技术应用到内网攻击感知中，一篇硕士论文的研究过程与demo实现，抛砖引玉。计划的系列文章内容分为以下几个部分，按照论文撰写的脉络来讲：

1. 蜜罐与内网安全选题思考

2. 蜜罐技术科普与发展简述（2016年）

3. 常见内网攻击类型及检测思路

4. 多款开源蜜罐数据样例与应用分析

5. 攻击序列、攻击模式与攻击者标签

6. demo系统设计与系统测试-本文

7. 我的论文小结（附脱敏的答辩PPT与参考文献列表）

在研究了常见内网攻击类型、蜜罐相关技术、攻击行为检测思路和方法后，本文主要阐述基于蜜罐技术的内网安全检测系统的概要设计，给出了系统的简要结构。然后为了验证本文所设计实现的基于蜜罐技术的内网安全检测系统的有效性、可靠性。也在实验室环境下对其进行了部署、测试与分析。

0x01 系统设计：小目标

本课题的预期目标是实现一个综合客户端(Client）、服务器(Server)和浏览器(Browser)的C/S/B复合架构的基于蜜罐技术的内网安全检测系统，该系统具体的设计目标如下：

（1） 蜜罐终端便于部署，而且能稳定运行。
（2） 蜜罐终端能够检测常见内网端口扫描和暴力破解，包括但不限于21端口、22端口、80端口、1433端口、3306端口。
（3） 蜜罐终端能检测内网ARP攻击和DNS劫持攻击。
（4） 蜜罐终端能对不同功能模块的检测数据进行整合，并将格式化的数据发送到中心服务器。
（5） 中心服务器能对蜜罐终端的检测数据进行汇总和分析判断，并提供预警功能。
（6） 中心服务器能够提供统一的Web操作界面，能对蜜罐捕获的攻击数据进行可视化展示。

根据设计目标，基于蜜罐技术的内网安全检测系统在考虑了一定的可扩展性和可移植性的技术上，将系统的所有组成部分划分为中心服务器、蜜罐终端两部分，系统总体结构如下图所示。

系统总体结构示意图可知，本系统通过分层组件化的方式，方便功能的扩展和删减，也便于将来本系统从内网环境移植到外网环境。

1）蜜罐终端

本课题的蜜罐终端硬件上采用的是树莓派，树莓派(Raspberry Pi)以一种只有名片大小的卡片式电脑，主要构造是一块微型计算机主板。选择树莓派的原因是，树莓派低成本低功耗且方便部署，配合定制的Linux系统，具备低性能计算机的所有功能，能够部署所需的各种软件同时支持多种语言开发的程序，满足多种蜜罐程序的部署条件。本课题需要在树莓派上部署非关系型数据库MongoDB、Dionaea蜜罐程序、Glastopf蜜罐程序、Kippo蜜罐程序以及P0f攻击指纹识别程序等。

通过对不同类型蜜罐的功能和数据进行调用、整合和定制化研发，蜜罐终端主要实现以下功能：

（1）蜜罐状态检测模块主要负责检测蜜罐终端的运行情况，包括蜜罐终端所处内外网环境，以及其他功能模块的运行状态。（2）端口扫描检测模块主要负责检测内网常用端口的连接请求。（3）暴力破解检测模块主要负责对常用服务登录认证的暴力破解行为进行检测。（4）攻击指纹匹配模块主要负责攻击者所用工具进行识别。（5）ARP攻击检测模块主要负责对内网的ARP攻击行为进行检测。（6）DNS异常检测模块主要负责对DNS状态进行监测。（7）数据整合与入库模块主要负责对各个功能模块的检测数据进行格式化处理并集中存储。
（8）数据传输模块负责将检测到的攻击行为数据和蜜罐状态数据发送到中心服务器。

2）中心服务器

由于本课题设计方案中中心服务器和蜜罐终端是一对多的对应关系，因此中心服务器对性能要求较高，部署64位的Ubuntu系统。同时服务器需要部署MongoDB非关系型数据库、Apache Web服务、PHP运行环境和MySQL数据库等。

中心服务器主要负责对接受的攻击行为数据进行存储、分析、展示和预警，因此主要功能模块如下：

（1）数据接收和入库模块主要负责接受蜜罐终端发送的数据，并集中存储。（2）数据分析和攻击行为研判模块主要负责分析攻击数据，判断攻击行为。（3）攻击预警模块主要负责发送攻击告警信息通知用户。（4）攻击数据展示模块主要展示有效的攻击行为记录。（5）内网拓扑绘制模块主要负责对蜜罐终端所在内网的网络拓扑和攻击情况进行绘制和展示。
（6）攻击地图展示模块主要在世界地图或者地区地图上实时展示中心服务器收到的攻击数据。

本系统典型的部署架构如下图所示。

系统中中心服务器和蜜罐终端是一对多的关系，中心服务器需要具备独立IP，方便蜜罐终端连接和用户访问，蜜罐终端所处的内网需要具备Internet环境。

需要说明的是，同一个内网中可以部署多台蜜罐终端，和单台蜜罐终端相比，多台蜜罐终端可以提高攻击检测的准确度和覆盖率。举例说明，如果内网中只部署一台蜜罐终端，如果发现蜜罐终端某一端口被扫描，难以判断整个内网网段1到255均被扫描。如果采用两台蜜罐终端，分别部署在高网段和低网段，若两台蜜罐终端短时间内接连检测到某一端口被扫描，那么1到255整个局域网被扫描就存在极大的可能性。且攻击者进入内网后，进行信息探测时为了减少暴露几率，可能不会进行全网扫描，而会选择对低网段或高网段进行局部扫描，因为按照惯例数据库服务器、文件服务器等重要信息系统往往部署在低网段或高网段。因此，在同一个内网中，通过部署多台蜜罐终端，可以提高攻击检测的准确率和覆盖率，而且一旦对攻击者诱骗成功，多蜜罐终端能发挥更多的延缓攻击进程的作用。

关于系统的具体实现，主要部分可以博客（sosly.me）上的参考这篇《基于MHN开源项目的树莓派蜜罐节点部署实战》，这里略过。

部署和测试一个可用的基础版本，蜜罐终端能够对所在内网的攻击行为进行检测，并将数据同步到中心服务器，服务器能够对攻击数据进行分析判断并通过Web界面对结果数据进行展示并及时预警。

部署和测试环境如下图所示。

首先，中心服务器搭建在远程VPS服务器上，且已经部署好本系统，工作正常。然后，树莓派蜜罐终端部署在实验室的内网中，正常运行，如下图所示。

值得说明的是，该树莓派蜜罐终端配置好后可放置备用，需要使用时只需接上电源并接入网络，树莓派蜜罐终端即可自动启动、自动获取当前内网配置信息并开始工作。实验室环境下测试，在网络畅通的情况下，从插电自启动，到服务器收到该蜜罐终端的上线提示前后不超过1分钟。通过对蜜罐终端的操作系统进行配置，可实现蜜罐终端状态异常时自动重启各项功能，在出现所在内网故障、网络阻塞等异常条件时，也能尽快恢复服务。在与中心服务器断开的情况下，蜜罐终端依旧可以捕获内网攻击行为，并暂存在本地数据库，网络恢复后可重新同步到中心服务器。通过几次的优化设计和实践验证，一定程度上实现了树莓派蜜罐终端的即插即用、稳定长久运行。

最后，使用和蜜罐终端处在同一内网的一台计算机进行攻击测试，攻击计算机主机部署Windows 10操作系统，安装了VMware虚拟机系统，并且能够访问和配置出口路由器。

使用攻击计算机对内部网络进行攻击，分别进行端口扫描、ARP欺骗和路由器DNS篡改。具体步骤如下：

（1）通过本地命令获取内部网络的配置信息；（2）真机上使用“RouterScan”扫描器对内网网段进行端口扫描；（3）虚拟机中使用“科来数据包生成器”构造ARP响应包对蜜罐终端进行ARP欺骗；
（4）篡改路由器中DNS配置，并重启路由器使配置立即生效。

攻击前，首先通过系统命令获取当前内网的网络配置信息，从而获取攻击目标的网络地址，如下图所示。

使用“RouterScan”扫描器对内网网段的21、22、80、1433、3306端口进行端口扫描，该步骤模拟的是攻击者进入内网后进行进一步内网渗透所做的信息探测工作，如下图所示。

在虚拟机中，使用“科来数据包生成器”构造ARP响应包对蜜罐终端进行ARP欺骗，该步骤模拟的是攻击者为获取敏感数据利用ARP欺骗技术进行的中间人攻击，如下图所示。需要说明的是真实攻击场景中，攻击者可能会对整个网段进行ARP欺骗。

最后，登录路由器管理界面，修改DNS指向一个编造的IP，并重启路由器使其立即生效，该步骤模拟DNS劫持攻击，如下图所示。需要说明的是这个步骤可能导致内网主机无法上网，因此测试后要及时修改正常。

攻击测试阶段可通过Web界面远程登录系统中心服务器，对捕获的攻击行为进行查看。

通过Web界面，发现系统捕获到了相应的端口扫描、ARP欺骗和DNS异常信息，能够通过表格和攻击地图的形式对攻击行为进行展示和提醒。

攻击结果具体信息如下图所示。

由上图可知，系统捕获到了攻击者对局域网的攻击行为并给出了攻击结果判断，数据中可以看到相应的数据细节，包括攻击时间、蜜罐终端名称、蜜罐IP、攻击者源IP、被攻击端口、伪造的IP、攻击者的MAC地址、以及异常的DNS。值得说明的是，上述显示的数据是本系统综合树莓派蜜罐终端多个底层蜜罐程序的日志数据分析处理后的结果，力图以最简要的信息清晰地反映内网攻击情况。

内网攻击实时展示如下图所示。

由上图可知，内网拓扑绘制模块可以实时绘制出内网攻击示意图，并标识出攻击源。图中标识的是当前内网中，IP为192.168.x.169的蜜罐终端检测到了IP为192.168.x.90的计算机正在进行内网攻击。

攻击地图展示如下图所示。

上图可知，攻击地图绘制模块可以在地图上标识出被攻击的蜜罐终端所在地，并显示攻击细节数据。系统根据蜜罐终端所在内网的当前外网IP 171.x.x.x定位到该蜜罐终端部署的地理位置（成都）并在地图上以绿点标识出，光圈闪动表示该蜜罐终端所在内网正在遭受攻击，页面下方的列表滚动显示的是攻击数据细节，和前图内容一致。

预警邮件信息如下图所示。

由上图可知，预警模块可快速发送预警信息。

通过实验和测试，对本文设计的基于蜜罐技术的内网安全检测系统分析如下：

（1）该系统能够在实际内网环境中部署并稳定运行；（2）树莓派蜜罐终端能够正常捕获内网扫描、ARP欺骗和DNS异常等攻击行为；（3）中心服务器能够对蜜罐终端发送的数据进行快速地分析、展示与预警；
（4）本课题提出的基于蜜罐技术的内网安全检测系统能够实时检测内网攻击行为并进行展示和预警。

测试过程有适当美化….汗

系列文章，快结束了…

转载请注明出处 ：sosly 菜鸟笔记

电脑上也可直接访问博客（https://sosly.me）查看，如有内容更新以博客为准。点击原文链接即可跳转。

阅读原文

蜜罐系列倒数第三篇，快结束了..

涉及一些读了就能明白的数学计算..

将蜜罐技术应用到内网攻击感知中，一篇硕士论文的研究过程与demo实现，抛砖引玉。计划的系列文章内容分为以下几个部分，按照论文撰写的脉络来讲：

1. 蜜罐与内网安全选题思考

2. 蜜罐技术科普与发展简述（2016年）

3. 常见内网攻击类型及检测思路

4. 多款开源蜜罐数据样例与应用分析

5. 攻击序列、攻击模式与攻击者标签-本文

6. demo系统设计与系统测试

7. 我的论文小结（附脱敏的答辩PPT与参考文献列表）

现在毕业论文的要求越来越高，工科硕士毕业论文要是没有一些理论依据，比如数学公式、算法、机器学习之类的，估计是难以通过审核和答辩的。当然咱们也不能为了理论而理论，要是能结合实际技术稍微抽象升华一下，岂不美滋滋~这篇文章就班门弄斧，讲一点根据论文抽象的几个概念：攻击序列、攻击模式、攻击者标签、攻击模式匹配。

0x01 攻击序列、攻击模式、攻击者标签

基于上一篇文章展示的基础数据，可以初步判断攻击者的攻击行为，能发现攻击者正在探测某个端口和服务，能记录下攻击者暴力破解SSH服务的字典数据，也能够简单识别出攻击者使用的操作系统和工具版本，能对攻击者来源定位等。基于基础数据的简单匹配，可以实现攻击行为的快速初判和预警。

但是攻击行为的深度分析需要更细粒度的数据挖掘，通过对底层蜜罐软件的调用，能够获取到攻击者发送的具体的数据内容，进而为更细粒度的分析提供了数据基础。

通过字符串的特征匹配可以方便地对少量数据进行快速处理和分析以及对攻击行为和攻击来源进行简单地判断，但是当数据量越来越大后，纯字符串的存储和分析就会出现存储空间占用高以及分析角度局限的缺点。因此，本节提出了一种攻击序列提取算法，通过将每条字符串攻击数据提取成二进制数值序列，达到降低存储空间和提高分析效率的效果。

本文将每条攻击数据数值化后的二进制数值序列定义为“攻击序列”，将一个攻击者某段时间内的二进制攻击序列进行“按位或运算”的结果定义为该攻击者的“攻击模式”。并从攻击者所有的攻击序列中提取高频标签作为对该攻击者的特征描述，即“攻击者标签”。

具体的算法设计思路如下：

（1）从蜜罐系统能捕获到的数据中列举攻击源、攻击目标和攻击手法相关的关键词作为标签，标签设计要尽可能精简且覆盖面广，建立一个列表，每个标签相当于列表的一个字段，对未能考虑到的关键词预留若干字段，方便将来扩展。

（2）对于每条攻击数据，对照列表中的每个字段，进行0/1的二值化处理，符合就填1，不符合就填0。这样，每条攻击数据就变成了一串0/1二进制数值串，即“攻击序列”。

（3）对某个攻击者一段时间或者全部时段的多条攻击序列进行按位或运算得到的一串0/1数值化数据，就代表该攻击者的“攻击模式”。

（4）对攻击者所有攻击序列中，值为1的标签数目进行统计，从统计结果中选出排名靠前的若干个标签作为对攻击者的描述标签，即“攻击者标签”。

假设A表示攻击者，D表示一条数据抽象后的0/1数值化攻击序列，B表示攻击序列的某一位（B的值只能是0或者1），M表示攻击模式，n表示标签的总数目。

那么攻击者A的某条攻击序列D可以表示如式3-1：

若攻击者A总共有j条攻击序列，|表示按位或运算，那么攻击者A的攻击模式MA可以表示如式3-2：

为便于理解，结合实例进行说明。由于篇幅有限，为便于叙述，选取少量标签对算法进行说明，如下图所示。

上表中共选取了12个标签，其中前4个标签代表识别出的攻击者的操作系统，中间3个标签代表识别出的攻击者使用的工具名称，后5个标签代表攻击者的攻击行为，如针对80端口的攻击、内网ARP欺骗等。

由上表数据可知，攻击者A1总共有3条攻击序列，第1条攻击序列DA11可抽象为100010010000，第2条攻击序列DA12可抽象为100001001000，第3条攻击序列DA13可抽象为100010000001，进而可知攻击者A1的攻击模式MA1为100010010000 | 100001001000 | 100010000001 = 100011011001，计算过程如下表所示。

根据上表，可以统计攻击者A1的标签频率，如Windows（3次）、Nmap（2次）、BBScan（1次）、80（1次）、22（1次）、其他（1次），然后就可以把Windows和Nmap作为该攻击者的标签。如果数据量足够多，那么选取前几个高频标签作为对攻击者A1的描述就比较有意义。

攻击序列是攻击数据的数值化表示，数值化后能大幅减少存储空间，然后方便进行统计运算，当数据量足够大后，也方便将机器学习算法应用到蜜罐数据分析中，来对数据进行更智能的分析研判。

攻击模式是攻击者每一次攻击行为的聚合，一定程度上反映了该攻击者特有的手法和习惯，需要说明的是，攻击者攻击模式计算的过程中，损失了相同攻击标签次数和频率的信息，因此可以结合攻击序列中标签频率来更全面地刻画攻击者。

0x02 攻击模式匹配

在实际的攻防对抗中，攻击者往往会通过变换攻击来源来伪装和保护自己，因此通过攻击来源IP难以关联同一攻击者。攻击模式在一定程度上反映了攻击者的攻击手法和习惯，而同一个攻击者的攻击手法和习惯在一段时间内是稳定的，因此可以通过对攻击模式进行匹配来关联出同一个或同一类的攻击者。

攻击模式相似度算法

通常，攻击模式越相似，那么越可能是同一个或者同一类攻击者。关于如何将相似度量化，本文基于攻击模式，提出了一种简单清晰的攻击模式相似度算法。参照第一个表的示例数据，算法具体说明如下。

假设Sim(MA1, MA2)表示攻击者A1和攻击者A2攻击模式的相似度，n表示标签总的类别数目，k表示攻击模式MA1和MA2中相同标签值(同为1或者同为0)的个数，那么Sim(MA1, MA2)可以为式3-3：

结合第一个表的示例数据，MA1 = 100011011001，MA2 = 010010111100，MA1和MA2中相同标签值(同为1或者同为0)的个数k为6，因此Sim(A1,A2) = 6/12∙100%=50%，即攻击者A1和攻击者A2攻击模式的相似度为50%。

需要说明的是，攻击模式相似度匹配算法，在实际的应用还需要考虑一些问题，首先对于某一攻击者A来说，攻击模式的计算是考虑A的所有攻击序列，还是对每一个时段的攻击序列分别计算对应时段的攻击模式，这些要在具体的应用场景下进行取舍。举例说明，假设攻击者A1总共有5条攻击数据记录，对应5条攻击序列，而攻击者A2有10条攻击序列，那么直接计算攻击者A1和攻击者A2攻击模式的整体相似度是否合理有效，或者从A2的10条攻击序列中，依次取5条和的攻击模式进行相似度计算，则总共需计算6轮，得到6个A1和A2的攻击模式相似度数值，这又可能会衍生出最高、最低或平均相似度的概念。因此，本文的相似度算法在解决具体的数据分析问题时，需要根据应用场景和实际效果进行选取和调整。

聚类算法的应用

通过攻击者的攻击模式相似度匹配，可以关联出同一个或者同一类攻击者的所有攻击数据，便于分析和溯源。在实际的攻防对抗中，随着蜜罐终端部署的愈发广泛，和捕获的攻击行为数据量持续增长，自然会衍生出对于同一类攻击者进行聚类的问题，目的是检测有组织的网络攻击行为或网络黑客团体。

在大数据条件下对同类攻击者和攻击模式进行归类时，普通的特征匹配已经难以取得好的效果，因此本文引入机器学习中的聚类算法进行讨论。二进制数值序列的攻击模式，为机器学习算法的运用提供了良好的输入特征。

根据上一小节的定义，又引申出一个“攻击模式距离”的定义来表示不同攻击者的量化差异。

对于攻击模式MA1和MA2之间攻击模式距离D(M_A1,M_A2 )的定义如式3-8所示，其中Sim(MA1, MA2)表示攻击者A1和攻击者A2攻击模式的相似度。

由上式可知，攻击模式距离D的取值范围为[0,100]，且攻击模式距离与攻击模式相似度成反比。

在聚类算法的选择和应用这部分，写论文里的时候我是一知半解的，这里我就不扯了….汗

系列文章，未完待续，看这断更的时间…

转载请注明出处 ：sosly 菜鸟笔记

电脑上也可直接访问博客（https://sosly.me）查看，如有内容更新以博客为准。点击原文链接即可跳转。

阅读原文

好久不见，一个月没更新了...都是因为懒。今天介绍几种不同开源蜜罐的特点和能采集到的数据样例。

概览只需3分钟，仔细研究可就久了...

将蜜罐技术应用到内网攻击感知中，一篇硕士论文的研究过程与demo实现，抛砖引玉。计划的系列文章内容分为以下几个部分，按照论文撰写的脉络来讲：

1. 蜜罐与内网安全选题思考

2. 蜜罐技术科普与发展简述（2016年）

3. 常见内网攻击类型及检测思路

4. 多款开源蜜罐数据样例与应用分析-本文

5. 攻击序列、攻击模式与攻击者标签

6. 攻击模式匹配算法提出

7. demo系统设计

8. demo实现过程中的一些技术点

9. 实验室环境下的测试过程

10. 我的论文小结（附参考文献列表）

好久不见，一个月没更新了…都是因为懒。今天介绍几种不同开源蜜罐的特点和能采集到的数据样例。本课题的蜜罐终端实现的过程集成了现代密网(MHN)技术、Dionaea蜜罐技术、Glastopf蜜罐技术、Kippo蜜罐技术以及P0f指纹识别技术。

通过了解不同蜜罐能采集的原始数据字段与内容，可以更直观地看到蜜罐的采集能力，便于我们结合应用场景解决实际问题的时候去选择和组合不同的开源蜜罐技术。

为方便大家扩展阅读，文末会给出相关的项目链接、文章链接以及参考文献，供参考。

0x01 现代密网(MHN)简介

蜜罐网络是随着蜜罐发展衍生出的一种蜜罐技术体系[43]。现代密网（MHN，Modern Honey Network，以下简称MHN）是一个开源项目，它简化了蜜罐的部署并支持多种蜜罐软件作为数据终端。该项目用ThreatStream开源软件程序来部署，MHN支持将收集的数据汇总处理后保存在MongoDB数据库中[44]，数据库的内容支持通过定制Web接口展示和存取[45]。MHN系统功能示意如下图所示。

MHN能够支持连接多种类型的蜜罐软件，添加和部署蜜罐过程相对自动化，部署完成后，蜜罐和MHN中心数据库支持通过开源的发布订阅协议hpfeeds来同步数据。

MHN依赖多个蜜罐终端作为探测器Sensors去探测和收集攻击数据，并通过一种基于订阅者与发布者关系的传输协议hpfeeds将蜜罐终端的数据传输到MHN中心服务器，并存储到MongoDB数据库中，再通过honeymap和Webapp模块进行展示，示例页面如下图所示。

针对不同种类的底层蜜罐软件，本课题采用统一格式化的处理方案，从不同蜜罐的日志数据中提取所需字段，统一处理成JSON格式数据后传输到中心服务器。

0x02 Dionaea蜜罐简介及数据样例

Dionaea(捕蝇草)是起始于Google Summer of Code 2009的一款低交互式蜜罐，属于Honeynet Project开源项目。Dionaea蜜罐的设计目的是诱导和记录攻击行为，能捕获攻击载荷和恶意代码样本。它基于监听端口来模拟各种服务，能够捕获攻击者的连接请求和攻击载荷，同时记录攻击来源IP、来源端口、目的端口、所用协议等，能为后续分析提供需要的数据支持。Dionaea是一种低交互式蜜罐，它只提供相应服务的基础模拟，能够和攻击者进行初始阶段的数据模拟交互，因此Dionaea蜜罐风险较低。相应的Dionaea蜜罐可以便捷地安装、配置和使用，基础模拟安全风险低带来的不足之处是捕获的数据类型和范围有限，且容易被有经验的攻击者察觉[46]。

Dionaea目前需要基于Linux操作系统进行安装配置，需要网络环境，它可以监听1433端口、3306端口、21端口、445端口、42端口、135端口等，对于外部连接请求，模拟正常服务进行交互，同时能够记录网络数据包，并且Dionaea能够对数据包中的shellcode进行模拟执行。对于未模拟的端口Dionaea可以记录请求的连接数据包并保存成pcap格式。

本课题主要利用Dionaea蜜罐模拟1433端口的MSSQL服务、3306的MySQL服务、21端口的FTP服务，监听连接并捕获攻击者发送的数据包，为攻击行为分析提供数据支持。

0x03 Glastopf蜜罐简介及数据样例

Glastopf是一款低交互的Web应用蜜罐软件，该蜜罐采用Python语言开发，能够跨平台运行，在Windows、Linux、OSX操作系统环境下均能方便部署，启动后，Glastopf默认监听80端口，同时也可自定义监听端口。Glastopf可处理GET、POST、HEAD三种HTTP数据包，同时能够对数据包的Base64编码进行处理[47]。对于Web多种攻击的仿真，Glastopf维护了一个Dorklist列表，可以自定义实现根据不同请求数据包进行针对性的响应。在数据收集和展示上，Glastopf可以通过WebUI模块配合Apache服务器进提供数据可视化功能[48]。

本课题主要利用Glastopf模拟Web服务，捕获攻击者对80端口发送的数据包。

0x04 Kippo蜜罐简介及数据样例

Kippo蜜罐是一款专门针对22端口的SSH服务进行仿真的蜜罐软件，由于互联网上始终暴露很多存在极大脆弱性的SSH服务，导致这种针对SSH的扫描和爆破的攻击方式至今依旧有效[49]。Kippo是2009年发布的一款接近中等交互等级的SSH蜜罐软件，它能够提供接近真实的交互shell环境，能够伪装文件目录、记录攻击者的访问和暴力破解日志，并且提供扩展程序能够对攻击者的攻击过程进行还原[18]。本课题主要利用Kippo蜜罐模拟SSH服务，捕获攻击者对22端口的扫描和暴力破解数据包。

0x05 P0f指纹识别工具及数据样例

P0f(passive OS fingerprinting)是一款开源的指纹识别软件,它通过分析源主机发出的数据包来识别攻击者的操作系统和应用软件类型，而且，P0f集成了大量的设备和工具的指纹库[50]。本课题主要利用P0f工具的指纹库对攻击者使用的攻击工具类型进行识别，为分析攻击者的攻击手法提供数据基础。

0x06 ARP和DNS检测数据样例

ARP和DNS检测功能这块自主实现，记录的日志比较简单。

扩展阅读

本来还想再整理一遍，恰好看到这篇2017.10.27的知乎回答正好梳理了典型的开源蜜罐项目链接：

• 如何搭建一个蜜罐来捕获病毒：
  https://www.zhihu.com/question/37235881/answer/250800487

再结合我前边一篇文章的参考阅读文章列表就差不多了：

• 蜜罐技术科普与发展简述（2016年）：
  https://sosly.me/index.php/2017/09/05/jymiguan2/

再补充两篇小伙伴的文章：

• MHN开源蜜罐项目学习笔记（一）HPFEEDS协议：
  http://phantom0301.cc/2016/02/19/Hpfeeds/

• MHN学习笔记（二）Dionaea蜜罐架构：
  http://phantom0301.cc/2016/03/17/DIonaea/

• [43] Voznak M. Automatic analysis of attack data from distributed honeypot network[C]//SPIE Defense, Security, and Sensing. International Society for Optics and Photonics, 2013:875512-875512-7.

• [44] Wei-Ping Z, Ming-Xin L, Huan C. Using MongoDB to implement textbook management system instead of MySQL[C]// Communication Software and Networks (ICCSN), 2011 IEEE 3rd International Conference on. IEEE, 2011:303-305.

• [45] 蜜罐网络. WooyunDrops, 2015.5.7.

• [46] 代恒, 诸葛建伟. 诱捕恶意攻击“简易装”——Dionaea低交互式蜜罐介绍[J]. 中国教育网络, 2011(11):76-79.

• [47] 杜星. Glastopf蜜罐在Web安全中的应用研究[D]. 西安电子科技大学, 2014.

• [48] 孙松柏, 诸葛建伟, 段海新. Glastopf:Web应用攻击诱捕软件及案例分析[J]. 中国教育网络, 2012(1):75-78.

• [49] Duan K Y, Shen H E, Cheng Y X. Analysis of SSH Brute-Force Cracking Behavior based on Kippo Honeypot[J]. Information Security & Communications Privacy, 2014.

• [50] Jason Barnes, Patrick Crowley. k-p0f: A high-throughput kernel passive OS fingerprinter[C]// Architectures for Networking and Communications Systems (ANCS), 2013 ACM/IEEE Symposium on. 2013:113-114.

系列文章，未完待续，看这更新的频率，“不打扰是我的温柔”这种借口我就不说了…

转载请注明出处 ：sosly 菜鸟笔记

电脑上也可直接访问博客（https://sosly.me）查看，如有内容更新以博客为准。点击原文链接即可跳转。

阅读原文

常见内网攻击类型及检测思路。"不打扰是我的温柔"这种拖更借口已经没脸说了...

常见内网攻击及检测思路，阅读约5分钟。

将蜜罐技术应用到内网攻击感知中，一篇硕士论文的研究过程与demo实现，抛砖引玉。计划的系列文章内容分为以下几个部分，按照论文撰写的脉络来讲：

1. 蜜罐与内网安全选题思考

2. 蜜罐技术科普与发展简述（2016年）

3. 常见内网攻击类型及检测思路-本文

4. 多款开源蜜罐数据样例与应用分析

5. 攻击序列、攻击模式与攻击者标签

6. 攻击模式匹配算法提出

7. demo系统设计

8. demo实现过程中的一些技术点

9. 实验室环境下的测试过程

10. 我的论文小结（附参考文献列表）

这里说的内网通常指的是局域网或企业内网（通常会通过访问控制技术和互联网相对隔离），随着网络技术和设备的不断发展，内网常见的攻击手段也在不断丰富和变迁，如网络嗅探、拒绝服务（Denial Of Service）、端口扫描、暴力破解、ARP攻击、DNS劫持等，随着网络服务种类的增多，内网的攻击面也在不断扩大[1]。本章节主要介绍当前常见的内网攻击类型，并分析检测的思路。

0x01 端口扫描及暴力破解

1）端口扫描

端口扫描是一种攻击初期的信息收集技术，主要用来判断目标主机是否开放相应的端口和服务，通过向目标主机发送端口连接请求，然后根据目标主机的回应信息判断目标对应端口是否开放[19]。
攻击者在进入内网后，为了扩大战果通常会进一步探测内网结构和重要信息资产，因此往往会对内网网段进行端口扫描来判断内网中的网络拓扑以及每台内网主机开放的端口及服务[20]。端口扫描是攻击者进行前期信息收集的有效手段，能快速暴露内网信息资产类型及分布。

常见端口及服务如FTP（21端口）、MySQL（3306端口）、HTTP（80端口）等等，其实企业中有更丰富的应用，比如Rsync、redis、mongodb等，这些服务百度一下就可以搜到相应的介绍，至于常见的企业应用端口和服务可以参考这篇文章 白帽子黑客端口大集合。

通常在扫描到目标系统对应端口开放后，攻击者可能会对需要登陆的服务进行弱口令尝试、未授权访问、暴力破解等，比如对21端口的FTP服务进行反复登录尝试。

2）端口扫描检测思路

端口扫描检测思路相对明确，通常可采用监听本地端口的方式，被动等待连接，可对常用端口和服务进行监听，也可对全端口进行监听。监听对应端口后便可对该端口的连接请求进行检测并对来源和频率进行记录[23]。

说到这里，其实看了几篇论文后，会出现“水平扫描” 与 “垂直扫描” 这两个名词。其实也很容易理解，比如垂直扫描，就是对一个IP扫描一个端口范围，比如1-65535整个端口范围；而水平扫描，指的就是针对某一个端口，比如21端口，扫描一个IP网段，比如从192.168.1.1-192.168.1.255 。

那么问题来了，看下图，在一个局域网内部署两台以上蜜罐终端，比起单台蜜罐终端有哪些实际意义呢？

首先，我这里蜜罐的设计思路，都是被动地等待攻击者来探测和攻击，不会主动发包什么的，我把这叫做“不打扰是我的温柔”，简单说就是“被动式蜜罐”。在这个前提下，如果攻击者对内网进行扫描的话，在内网中部署的蜜罐越多，检测到扫描行为的概率越大，怎么理解呢？

比如192.168.1.1-255这个局域网，我们的蜜罐是192.168.1.90，如果攻击者针对某些端口（如21端口）进行整个网段的水平扫描，那我们的90蜜罐当然能捕获到扫描行为，但是我们不能总假设攻击者会这样做吧，比如有经验的攻击者为了隐蔽，可能只会扫描部分网段，比如高网段或低网段，那岂不是我们部署在192.168.1.90岂不是捕获不到这种扫描行为了，所以，在内网重要信息系统分布区的相邻网址部署多个被动式蜜罐可以提高内网攻击的检测覆盖率。

额外说几点，在内网中部署两台以上的被动式蜜罐，还可以避免单点故障，以及检测蜜罐被控的情况，比如A蜜罐发现B蜜罐有主动扫描的行为，就可以判定这个B蜜罐已经沦陷了。

0x02 ARP攻击

1）ARP攻击原理和危害

ARP地址解析协议（Address Resolution Protocol）位于TCP/IP四层协议的网络层，负责解析IP地址和MAC地址的对应关系 [24]。
ARP欺骗通常通过在局域网中发送伪造IP地址和MAC地址的ARP应答包对目标进行攻击，在目前主流的基于路由器的局域网中，ARP欺骗攻击同样适用，ARP欺骗攻击可使受害者无法上网，造成拒绝服务，也可通过伪造网关的ARP应答包进行中间人攻击，嗅探内网敏感数据，甚至能获取到内网用户的用户名口令等信息[19]。

ARP欺骗的攻击过程可简要描述如下：（1）攻击者在局域网段发送构造好的包含虚假IP-MAC对应信息的ARP应答包，使局域网的其他设备认为攻击者的机器是网关，从而充当假网关。（2）被攻击者的将数据包发送给虚假网关。（3）假网关（攻击者）分析接收到的数据包，把有价值的数据包记录下来（如邮箱、电商登录数据包）。
（4）假网关（攻击者）再把数据转发给真正的网关，充当中间人。

不知道有没有小伙伴玩过 dSploit 这个无线内网攻击工具（dSploit停更后又出了个 cSploit），它的很多攻击手段就是利用了ARP欺骗，比如通过ARP欺骗，把自己伪造成网关，利用“中间人攻击”的思路可以劫持同一个局域网内别人的Web会话，如看到别人正在浏览的淘宝、唯品会、微博等并能直接操作，我原来也玩过一阵子，是下载的apk安装包装到安卓平板上测试的，给几张截图：

2） ARP攻击检测思路

ARP欺骗能够成功的关键点在于由于协议本身的特点，当攻击者发送伪造的ARP应答包冒充网关时，被攻击者没有对声称者的MAC地址和IP地址的真实性进行确认[25]。因此，假设局域网内的检测设备，每次启动时，记录当前网关的IP和MAC地址，先假设当前网关可信，并通过一段时间内网关IP和MAC地址对应关系的变化来再次确认。当突然发现ARP协议中声称的网关IP和MAC地址发生变化时，可对新的IP和MAC对应关系的真实性进行判断和确认，从而检测是否遭受了ARP攻击，并记录攻击源的MAC地址。可通过定期读取本地IP-MAC对应表的方式，对局域网内的设备地址和对应关系进行记录，从而及时发现ARP攻击[26]。IP-MAC对应表如下图所示。

需要说明的是，通过”arp -a”命令获取到的IP-MAC对应表并非包括局域网内的全部设备，通常只包括和本机发生过数据通信的主机，但是列表中一定会包含网关，和试图攻击本机的局域网内主机，因此通过此种方法可以获取到需要的IP-MAC对应信息。

0x03 DNS劫持

1）DNS劫持原理和危害

DNS（Domain Name System）域名服务主要是提供域名到IP地址的映射和转换[27]。在Internet的普及过程中，因为域名比IP更容易记忆，所以Internet的用户通常只会通过域名来访问一个站点，因此DNS服务的作用非常关键 [24]。通常局域网网关会在网络配置中设置可信的DNS服务器地址，但基于现有的路由器网络，由于种种路由器漏洞、弱口令等安全问题，路由器一旦被攻击者控制，攻击者便可通过篡改DNS指向自己控制的可定制的DNS服务器，就能实现区域的网络流量劫持和篡改，窃取敏感信息，甚至通过替换返回流量植入远控木马，从而控制内网计算机，极大危害整个内部网络的安全[28]。DNS劫持示意图下图所示。

DNS劫持的危害属于“人有多大胆，地有多大产”，简单的比如在网页返回包中植入广告，严重的监控你的下载行为进行病毒木马程序的替换，隐蔽点的监控你某款软件的升级行为，然后对升级包进行替换，从而神不知鬼不觉地植入远程控制的木马等等。

2）DNS劫持检测思路

检测DNS的思路主要有两种，首先通过命令”ipconfig -all”或者”ifconfig”可以读取到本地的DNS设置，如下图所示。

需要说明的是，该DNS默认情况下是通过DHCP的方式由网关自动配置，也可以通过本地配置。因此，可以定期读取本地的DNS配置，然后通过建立可信DNS白名单的方式对本地DNS的安全性进行判断。

根据DNS劫持的原理，由于DNS劫持后会对全部或者部分流量进行代理，这种技术一个简单的实现思路，就是不管你请求什么域名，返回的IP地址会统一指向攻击者控制的流量监控和转发服务器的IP地址，然后那个服务器会对经过的流量进行监控和替换，因此通过ping命令，ping若干知名站点，如百度(www.baidu.com)、京东(www.jd.com)，若返回IP为当前DNS的IP或某一个相同的IP，则可判断已受到上述这种DNS劫持攻击[29]。

0x04 其他内网攻击

除了上述端口扫描以及暴力破解、ARP攻击、DNS劫持外，内网还可能出现网络嗅探[30]、伪装DHCP服务器[31]、拒绝服务DoS(Denial Of Service) [32]、漏洞扫描[33]等攻击手段，但在以太网网络架构下，随着网关设备、终端操作系统及防护软件的升级，一些内网攻击手段的代价在不断提升，有效性在不断降低，因此本节只重点介绍了当前内网比较常见以及危害较大的端口扫描及暴力破解、ARP攻击、DNS劫持三种内网攻击手段，并对相应的检测思路进行了阐述。另一方面也是因为精力问题没有再进一步扩展。

0x05 部分参考文献

这些文献大多是论文，通常高校的校园网访问图书馆系统或者一些第三方论文库都可以免费搜索访问。

• [1] 李欣, 侯松霞. 内网安全防御系统的研究[J]. 计算机应用, 2007, 27(B06):245-246.

• [19] 吴灏. 网络攻防技术[M]. 机械工业出版社, 2009.

• [20] 常用服务和开放端口对照[EB/OL]. http://jingyan.baidu.com/article/03b2f78c498da25ea237aeb8.html, 2014.2.13.

• [21] 上野宣. 图解HTTP[M]. 人民邮电出版社, 2014.

• [22] 竹下隆史, 乌尼日其其格. 图解TCP/IP(第5版)[J]. 电脑编程技巧与维护, 2014(6).

• [23] 马琳. 基于端口扫描检测技术的实现[J]. 信息系统工程, 2013(3):107-108.

• [24] 谢希仁. 计算机网络(第5版)(附光盘)[M]. 电子工业, 2012.

• [25] 董延华, 李爽, 宋珊. 基于网络协议仿真系统的ARP攻击原理分析[J]. 吉林师范大学学报:自然科学版, 2011, 32(1):65-66.

• [26] 阮清强. ARP攻击检测与定位方法研究[J]. 信息网络安全, 2010(4):66-66.

• [27] Daisuke M, Katsunari Y, Tsutomu M. Observing DNS Amplification Attacks with DNS Honeypot[J]. Ipsj Journal, 2014, 55:2021-2033.

• [28] 胡小梅, 刘嘉勇. 基于DNS劫持的流量监测系统设计与实现[J]. 网络安全技术与应用, 2016(1).

• [29] 刘京义. 针锋相对抗击DNS劫持[J]. 网络运维与管理, 2015(1):103-106.

• [30] 黄孝楠, 韩宇. 用于局域网的网络嗅探器的设计[J]. 网络安全技术与应用, 2014(8):95-96.

• [31]安全科普：流氓DHCP服务器内网攻击测试.http://www.freebuf.com/articles/network/74995.html, 2015.8.15.

• [32] 严芬, 王佳佳, 赵金凤,等. DDoS攻击检测综述[J]. 计算机应用研究, 2008, 25(4):966-969.

• [33] Nmap脚本使用总结.http://drops.wooyun.org/tips/2188, 2014.6.8.

系列文章，未完待续，看这更新的频率，“不打扰是我的温柔”这种借口我都不好意思说了…

转载请注明出处 ：sosly 菜鸟笔记

本文也可通过“原文链接”访问博客（https://sosly.me）查看，方便查看引用链接。

阅读原文

这一篇有点像综述，花5分钟了解下蜜罐技术发展和应用的点滴。

5分钟了解下蜜罐技术发展和应用的点滴

计划的系列文章内容分为以下几个部分，按照论文撰写的脉络来讲：
1. 蜜罐与内网安全选题思考
2. 蜜罐技术科普与发展简述（2016年）-本文3. 常见内网攻击类型及检测思路4. 多款开源蜜罐数据样例与应用分析5. 攻击序列、攻击模式与攻击者标签6. 攻击模式匹配算法提出7. demo系统设计8. demo实现过程中的一些技术点9. 实验室环境下的测试过程
10. 我的论文小结（附参考文献列表）

我最近也在反思我过去习惯的一种学习方法，俗称“学习5分钟，笔记半小时”，然后由于没有配合实践，学的东西也忘了，笔记也没想有再复习，这种方法其实是很打消人学习积极性的，比如我每天想花5分钟读个英文小故事，结果光查生词每次就要花半小时，那坚持两天，一忙就放弃了。其实如果读英文小故事的目的是为了培养阅读兴趣的话，生词不查也罢，看懂故事大意，保持一个兴趣，很多单词的意思借助上下文慢慢就理解了。

这一篇讲点历史，读者就当读个小故事，如果你目前只是对蜜罐有点兴趣，花5分钟阅读就行，参考资料可以暂不理会，等以后到了真正需要拓展的时候你记得有这篇文章可以参考就ok了。

本文有点像综述，发出来我都有点不好意思。再下一篇我会写内网攻击类型相关的，有实际操作的部分。更新频率上，我也努力保持每周一篇，不能太坑。

一篇学位论文中，“国内外现状”是必不可少的一部分，在了解研究现状的基础上，扩展视野的同时也好修正自己的研究方向。结合当时搜索阅读的几十篇文章，本文可以算是一篇蜜罐技术的发展简述，后边会给出一些蜜罐的参考阅读文章，方便想了解蜜罐技术的朋友阅读，最后也会给出我在这部分引用的参考文献，如果是在校大学生也想研究这块课题的可以通过搜索相关论文阅读。

通常将蜜罐(honeypot)定义为一种安全资源，它不需要提供实际的应用，蜜罐的存在价值就是诱导和记录攻击行为，从而了解攻击者的入侵方法和手段，并能够延缓其攻击进程，进而根据捕获的攻击行为数据，分析攻击者使用的攻击方法和工具，从而让防御方针对性地增强系统的安全防护能力[8]。

蜜罐通常具备数据捕获、数据分析和数据控制方面的功能[34]。数据捕获主要收集主机数据或者网络数据，主机上可以捕获攻击者的TCP连接情况、执行的命令、各种日志信息等，网络数据包括防护系统日志、网络流量数据等。但蜜罐的价值通常需要对捕获的数据进行分析后才能体现，主要包括网络协议类型分析、攻击行为分析和攻击数据包内容分析等[35]。数据控制主要是指通过对蜜罐的对外数据发送和网络进行限制，使得当蜜罐系统被攻击者攻破时，也不会造成更多的危害。数据控制主要用来保障蜜罐本身的安全[36]。

本文通过在对文献资料研究的基础上主要从交互程度和具体实现角度对蜜罐进行分类[37, 8]。分类方式换个视角就可以重新分类，这里简单列举两种。

按交互程度分类

蜜罐的交互程度通常取决于蜜罐对相应服务的模拟程度。（1）低交互蜜罐该类蜜罐通常只提供少量的交互功能，蜜罐在特定端口监听连接并记录数据包，可以用来实现端口扫描和暴力破解的检测 [38]。低交互蜜罐结构简单，易于安装部署，由于模拟程度低功能较少，收集信息有限但风险也较低[39]。（2）高交互蜜罐
高交互蜜罐通常基于真实的应用环境来构建，能提供真实的服务。高交互蜜罐可用来获取大量的信息，能够捕获攻击者多种操作行为，从而具备发现新的攻击方式和漏洞利用方法的能力[40]。由于高交互蜜罐给攻击者提供了一个相对真实的应用环境，因此风险较大，通常会注重数据控制方面的功能[41]。

按具体实现分类

蜜罐按照实现的方式可以分为物理蜜罐和虚拟蜜罐。（1）物理蜜罐物理蜜罐通常指真实的物理计算机，安装了相应的操作系统并具备网络环境，它能提供部分或完全真实的应用服务。物理蜜罐通常成本较高。（2）虚拟蜜罐
虚拟蜜罐通常是利用虚拟机技术模拟而成的蜜罐，成本相对物理蜜罐较低。但由于虚拟机本身的特点，虚拟蜜罐容易被有经验的攻击者识别[42]。还有这两年流行的基于Docker的蜜罐。

互联网发展的过程中一直承受着各类网络安全问题的威胁[2]。随着技术的发展，攻击手段与防护措施也在不断博弈。但是由于攻守双方的角度不同，防守方往往处于被动局面，攻击方只需要找到一个突破点就能攻击成功，而防守方不仅要考虑全局还要具备快速的检测和应急机制才能尽可能确保信息系统安全。蜜罐技术(honeypot)就是为了改变这种被动的防护状况而出现的一种更加主动的防护技术[3]。蜜罐相当于一种安全资源，它不需要提供实际的应用，蜜罐的存在价值就是诱导和记录攻击行为，从而了解攻击者的入侵方法和手段，并能够延缓其攻击进程。国内外越来越多的安全从业者已经开始关注和研究蜜罐这种新型的网络安全技术。

国外

1989年蜜罐技术首次被提出，发展过程中在The Honeynet Project等开源技术团队的推动下，出现了应对不同类型网络安全问题的蜜罐软件工具。蜜罐技术也从蜜罐发展到蜜网(honeynet)[4]、再到分布式蜜网(distributed honeynet)和蜜场(honeyfarm)[5]。蜜罐技术也不断应用到恶意样本捕获、入侵检测、攻击手法分析、网络取证、僵尸网络调查等安全方向。

蜜罐网络项目组（HoneynetProject）是研究和推动蜜罐技术的知名机构，它是一个由许多国内外志愿者组成的开源技术研究组织。2000年左右，蜜网项目组主要进行理论验证和模型蜜罐系统的测试，根据研究和试验结果提出了第一代密网的理论并进行了可行性和有效性相关的验证。2002至2004年，蜜网项目组主要研究了数据控制、数据捕获和数据分析相关的理论技术，随后发布了第二代蜜网模型框架，并重点研究了如何简化密网的部署。2005年至今，密网的便捷化、数据捕获和数据分析成为了蜜网项目组的研究重点，第三代蜜网结构框架也是在此期间发布[6]。

目前，蜜罐技术的研究者们已经研发出了多种类型和功能的蜜罐。值得一提的是现代密网(MHN，Modern Honey Network)项目，MHN很大程度上简化了蜜罐的部署，让研究者可以快速部署蜜罐系统用来捕获攻击数据，近几年MHN开源项目社区持续活跃，不断升级更新，有很好的应用前景[7]。MHN支持多种开源的蜜罐软件，支持开源的通信协议hpfeeds [7]。

国内

从近几年国内公开的学术论文、技术社区和其他文献资料来看，国内研究者对蜜罐技术的研究和应用还不够广泛[8]。2006年开始，蜜罐技术首先被用来进行蠕虫的检测[9，10]，2008年开始，出现将蜜罐应用到端口检测[11]方面、入侵检测方面[12]以及攻击预警方面[13]。此后，也有研究者将蜜罐技术应用到安全的校园网[14]、企业网络[6]的建设中，除了有线网络的应用，也出现了无线蜜罐技术的应用[15]。但将蜜罐技术应用到内网安全上的文献资料极少，仅有的文献也是在用通用的蜜罐架构，通过将高交互蜜罐部署到内部网络试图捕获未知攻击、发现系统未知漏洞以及了解攻击者的攻击手法和所用工具[16]。

蜜罐技术在网络安全威胁的应用上，北京大学狩猎女神研究团队项目研究成果较为突出[17]。2004年北大计算所组建狩猎女神蜜网项目组，并且2005年该项目组作为中国大陆唯一加盟团队成功加入世界知名的的蜜网技术研究组织蜜网项目组(Honeynet Project)。狩猎女神蜜网项目组对蜜网技术、网络攻击检测进行了多年的研究，从开始利用蜜罐收集攻击特征，建立攻击知识库和漏洞知识库，然后利用蜜罐技术来对互联网真实的网络攻防知识进行捕获和学习，并将研究成果应用到僵尸网络监测追踪上，后期基于蜜场框架构建网络主动安全防护技术。其中作为主要研究成员之一的诸葛建伟调职到清华大学安全团队后也一直在进行蜜罐技术的研究和实际的应用[18]，如在CNCERT部署Kippo蜜罐来进行SSH相关的攻击检测和数据分析。

综上这些国内外对于蜜罐技术及其应用的研究现状可知，蜜罐技术已经越来越广泛地被国内外研究者运用，但是截止目前将蜜罐技术应用到解决内网安全问题的研究还较少，而且现有的蜜罐技术方案往往结构和部署比较复杂，技术门槛较高，难以被更普遍地推广应用。因此本文就试图研究并设计一种部署简单使用方便的蜜罐技术方案，并将蜜罐技术应用到解决内网安全问题中。

我重新搜索了曾经读过的以及一些新增的蜜罐科普文章，整理的文章链接如下（我稍微注意把易读的文章列在前边），方便想了解蜜罐技术的朋友阅读参考：

蜜罐技术科普

1. Kippo: 一款优秀的SSH蜜罐开源软件（2011.9.8）http://netsec.ccert.edu.cn/zhugejw/files/2011/09/Kippo-介绍.pdf
   http://netsec.ccert.edu.cn/zhugejw/files/2011/09/Kippo介绍PPT.pdf

2. 在CERNET实际部署Kippo 蜜罐（2011.9）
   http://www.edu.cn/sqt_9968/20120112/t20120112_731434.shtml

3. Dionaea捕蝇草蜜罐介绍（2011.9.23）
   http://netsec.ccert.edu.cn/zhugejw/files/2011/09/Dionaea低交互式蜜罐介绍.pdf

4. Dionaea低交互式蜜罐部署实践（2011.9.23）
   http://netsec.ccert.edu.cn/zhugejw/files/2011/09/Dionaea低交互式蜜罐部署实践.pdf

5. 狩猎女神的前世今生（2011.11.28）
   http://netsec.ccert.edu.cn/zhugejw/2011/11/28/狩猎女神的前世今生/

6. 从蜜罐数据到SSH蜜罐的典型攻击分析（2017.6.1）
   http://bobao.360.cn/learning/detail/3929.html

部署实战

1. Dionaea低交互式蜜罐部署详解（2013.9.25）
   http://static.hx99.net/static/drops/tips-640.html

2. Dionaea蜜罐指南（2015.1.13）
   http://static.hx99.net/static/drops/papers-4584.html

3. Kippo蜜罐指南（2015.1.12）
   http://static.hx99.net/static/drops/papers-4578.html

4. 蜜罐网络（2015.5.7）
   http://static.hx99.net/static/drops/papers-5968.html

5. 基于MHN开源项目的树莓派蜜罐节点部署实战（2015.11.9）
   https://sosly.me/index.php/2017/07/11/mhndionaea/

更多

1. Freebuf上有很多优秀的文章
   http://www.freebuf.com/?s=蜜罐

2. The Honeynet Project
   http://www.honeynet.org/

3. MHN现代密网项目
   http://threatstream.github.io/mhn/

安全公司与产品

几家我一直关注的研发出蜜罐产品的企业，都是大牛团队，可以参考了解。

1. 默安科技幻盾
   https://www.moresec.cn/magic-shield.html

   
   

2. 锦行科技幻云
   http://www.jeeseen.com/huanyun

3. 长亭科技谛听
   https://chaitin.cn/cn/dsensor.html

这些文献大多是论文，通常高校的校园网访问图书馆系统或者一些第三方论文库都可以免费搜索访问。

• [2] 魏为民, 袁仲雄. 网络攻击与防御技术的研究与实践[J]. 信息网络安全, 2012(12):53-56.

• [3] 唐勇, 卢锡城, 胡华平,等. Honeypot技术及其应用研究综述[J]. Journal of Chinese Computer Systems, 2007, 28(8):1345-1351.

• [4] Wang C, Ding Z. Research on the interaction of honeynet and IDS[J]. The China Quarterly, 2011, 156(156):809-835.

• [5] Jain P, Sardana A. A hybrid honeyfarm based technique for defense against worm attacks[C] Information and Communication Technologies (WICT), 2011 World Congress on. IEEE, 2011:1084-1089.

• [6] 刘智宏. 基于蜜罐技术的企业网络安全防御系统研究与设计[D]. 上海交通大学, 2009.

• [7] 蜜罐网络[EB/OL]. http://drops.wooyun.org/papers/5968, 2015.5.7.

• [8] 诸葛建伟, 唐勇, 韩心慧, 等. 蜜罐技术研究与应用进展[J]. Journal of Software, 2013, 24(4).

• [9] 古开元. 基于蜜罐技术的蠕虫检测和防御系统的研究与设计[D]. 四川大学, 2006.

• [10] 李文瑾. 基于蜜罐技术的蠕虫特征自动提取技术的研究[D]. 华中科技大学, 2007.

• [11] 宋富强. 基于蜜罐技术的端口扫描检测系统的设计与实现[D]. 中南大学, 2008.

• [12] 李磊. 基于蜜罐技术的分布式入侵防御模型研究[D]. 西安理工大学, 2008.

• [13] 王建军. 基于蜜罐技术的网络攻击预警系统的研究与应用[D]. 上海交通大学, 2010.

• [14] 李曙强. 基于蜜罐技术的校园网络安全方法研究 [D]. 浙江工业大学, 2009.

• [15] 陈朕. 无线局域网蜜罐系统的设计[D]. 山东大学, 2008.

• [16] 徐明明. 蜜罐技术在网络安全中应用研究[D]. 南京信息工程大学, 2011.

• [17] 狩猎女神的前世今生[EB/OL]. http://netsec.ccert.edu.cn/zhugejw/2011/11/28/狩猎女神的前世今生/, 2011.11.28.

• [18]诸葛建伟, 魏克. 在 CERNET 实际部署 Kippo 蜜罐[J]. 中国教育网络, 2011 (9): 71-73.

• [37] 史伟奇, 程杰仁, 唐湘滟,等. 蜜罐技术及其应用综述[J]. 计算机工程与设计, 2008, 29(22):5725-5728.

• [38] Almotairi S, Clark A, Mohay G, et al. A Technique for Detecting New Attacks in Low-Interaction Honeypot Traffic[C]// International Conference on Internet Monitoring & Protection. IEEE Computer Society, 2009:7-13.

• [39] 刘风路. 蜜罐技术研究与分析[D]. 国防科学技术大学, 2006.

• [40] Alata E, Nicomette V, Kaa?Niche M, et al. Lessons learned from the deployment of a high-interaction honeypot[C]// Dependable Computing Conference, 2006. EDCC '06. Sixth European. IEEE, 2006:39-46.

• [41] Nicomette V, Kaaniche M, Alata E, et al. Set-up and deployment of a high-interaction honeypot: experiment and lessons learned[J]. Journal in Computer Virology, 2011, 7(2):143-157.

• [42] 邹文. 虚拟蜜罐在网络安全中的应用研究[D]. 湖南大学, 2008.

系列文章，未完待续…

转载请注明出处 ：sosly 菜鸟笔记

本文也可通过“原文链接”访问博客查看，方便查看引用链接。

阅读原文

将蜜罐技术应用到内网攻击感知中，一篇硕士论文的研究过程与demo实现，抛砖引玉。

阅读约需6分钟。

将蜜罐技术应用到内网攻击感知中，一篇硕士论文的研究过程与demo实现，抛砖引玉。题图为原论文摘要的简单分词统计。计划的系列文章内容分为以下几个部分：

1. 蜜罐与内网安全选题思考

2. “金焱”demo系统设计与简单测试

3. 蜜罐研究现状梳理（2016）

4. 常见内网攻击类型及检测思路

5. 多款开源蜜罐数据样例与应用分析

6. 攻击序列、攻击模式与攻击者标签

7. 攻击模式匹配算法提出

8. demo实现过程中的一些技术点

9. 实验室环境下的测试过程

10. “金焱”与我的论文小结（附参考文献列表）

在技术研究、系统实现和论文撰写的过程中，感谢我的导师F与师兄ourren的指导，还有项目小组的师弟师妹们的支持与合作，尤其是phantom0301和simmin在编码实现上的努力。从研究思路到demo系统实现，能在撰写论文的同时将学到的知识技能，学以致用到解决实际的安全问题上，那段忐忑与激情并存的论文时光是我读书生涯最好的纪念。

李开复读博的时候，他的院长曾问过他：“什么是做博士的目的？” 他脱口而出：“就是在某一个领域做出重要的成果。” 院长说：“不对，读博士，就是挑选一个狭窄并重要的领域作研究，毕业的时候交出一篇世界一流的毕业论文，成为这个领域里世界首屈一指的专家。任何人提到这个领域的时候，都会想起你的名字。”

我没有继续读博士，因为我觉得生活不止眼前的苟且，还有诗和甲方，于是我投身到互联网公司，成为一名互联网安全小兵…扯远了，但是关于当初选择读研究生的初衷，除了觉得本科那几年掌握的专业技能还不够，还想在学校里多待几年之外，也想能通过几年的实验室科研训练，在喜欢的方向有更深入的研究，然后写一篇有意义的毕业论文，作为自己学生生涯的纪念。
我从初中QQ被盗起，梦想就是当一个黑客，本科学习信息安全，研究生主要方向为Web攻防，接触工程实践比较多，学术化较少，在学术上没有取得什么成绩，这是我学术上的遗憾。但能将所学的安全技术应用到解决实际的安全问题中，也是我感兴趣的方向，我的毕业论文也侧重于工程实践，觉得既然要做得有意义在总结理论撰写文章的过程中就要同步实现它，这样才算是一篇有实际成果的论文。

那当初选题的时候为什么确定了蜜罐和内网安全这个方向呢？

0x01 内网就意味着重要信息资产

既然是研究Web攻防，少不了渗透测试，那在渗透测试的过程中，取得外网可访问的单台服务器权限后，下一步往往就是以所控制的服务器为跳板向未直接暴露在公网的内网服务器进行进一步渗透，俗称“内网渗透”。而且内网往往意味着重要信息资产，数据库服务器、文件服务器等往往都部署在内网。我们觉得既然重要，那肯定会严防死守，但是从当时调研的情况看，现实情况往往是，当边界防护被突破后，很多企业或机构在内网被攻击者当做后花园畅游乃至被拖库后还不自知！
当时，我通过采集wooyun平台从2010年7月13号到2016年3月14号的漏洞标题数据共计91579条，简单关键词统计发现，内网的漏洞占比在逐年增长。

因此，我觉得当时去研究内网安全保障中的内网攻击感知和攻击预警问题有实际的意义，要让网络管理员能及时察觉内部网络正在被攻击并且能够定位攻击源进而采取措施，而不至于当重要信息资产被侵害后还不自知。

0x02 蜜罐与内网的结合

在确定论文题目之前，我就实际测试和搭建过基于MHN现代密网和树莓派的蜜罐，也写过一篇文章《基于MHN开源项目的树莓派蜜罐节点部署实战》，主要是当时在国外留学的师兄觉得蜜罐这个方向不错，值得研究，就让我试试。
蜜罐简单说来，是一种存在漏洞的、 暴露在网络中的一个虚假的服务（器），其价值在于被扫描、 攻击和攻陷。

if 系统没有对外开放任何真实的服务
then 任何一个对它的连接尝试都是可疑的

相比传统的防火墙技术和入侵检测技术，蜜罐技术更加主动和隐蔽，蜜罐的主要优势在于能诱导和记录网络攻击行为，阻止或延缓其对真正目标的攻击，而且能记录攻击日志，便于审计和回溯。
但是就像博文《基于MHN开源项目的树莓派蜜罐节点部署实战》中的那个小实验，如果将蜜罐部署到外网，每天都能收到记录大量的攻击日志，很多只是批量的扫描，并不是针对性的攻击，这些行为说明不了什么问题。但是在内网不一样，因为默认情况下我们认为内网正常用户不会去扫描或者攻击，那么一旦内网的蜜罐捕获到可疑连接尝试，那就可以认为出现了攻击行为。
因此，我觉得将蜜罐技术应用到内网的攻击感知，天生就不用太考虑误报的问题，问题更聚焦。
所以当时我觉得蜜罐和内网安全这个方向对我来说，议题有实际的应用价值，难度我也能接受，而且当时蜜罐还没有再次火起来，努努力也能做出一些成果和小的创新。关键是我也挺感兴趣的，兴致来了，过程也比较有激情，光树莓派蜜罐终端我都做了几个不同外壳的款式，觉得好玩~

而到我论文完稿后不久，也发现，蜜罐的应用也开始在一些安全会议中再次被讨论，比如：

说明蜜罐这个选题当时还是挺与时俱进的，高兴~当然我这里只是小打小闹。
业界将蜜罐技术应用到入侵欺骗中并作出优秀产品的大牛团队，比如默安和锦行，还是很令人向往的。争取有机会能够感受他们的产品。

0x03 它的名字叫“金焱”

在论文方向确定后，我就觉得既然既然要做，就要尽量将demo系统实现出来，才算是学以致用嘛~
关于系统的代号，我想了很久，最后决定叫“金焱”(GoldenSpark),寓意经烈火锻造才能炼就火眼金睛。西游记中孙悟空经过太上老君炼丹炉七七四十九天的烈火锤炼，因祸得福炼出火眼金睛，能识破妖魔鬼怪的真面目，但火眼金睛的不足在于难以追溯妖怪的来源，所以孙悟空每次都要到各处询问妖怪的出处。而代号“金焱”是希望本课题所有的研究、尝试和努力就像是金色的火焰，千锤万凿，烈火焚烧，最终打造出能够感知风险的“火眼金睛”，也希望未来该课题能在本文的基础上继续延续下去，使得“金焱”(GoldenSpark)不断进化，在感知攻击的基础上实现定位和溯源。

于是，它的名字叫金焱(GoldenSpark)。

系列文章，未完待续…

转载请注明出处 ：sosly 菜鸟笔记

本文也可通过“原文链接”访问博客查看，方便查看引用链接。

阅读原文

在个人信息安全意识方面，企业员工普遍有一种蜜汁自信，就像90%的司机都认为自己的驾驶水平高于平均水平一样。

点击“原文链接”访问博客查看可以方便点击文中链接。

本文会结合在企业做员工“信息安全意识教育”的经历，讲一下我对“安全意识”的理解、“安全意识教育”的价值和意义以及企业“安全意识教育”的一些实践策略。本文讨论的安全意识教育主要指“安全管理与员工行为”方面。

说“信息安全意识”之前，我们首先要了解信息安全的目标是什么？正如孙维的《雪夜围炉话安全》中说的那样，信息安全的目标是“风险控制”，就是用有限的资源投入将我们面临的各种信息安全风险降低到可以接受的范围内。

那在安全体系建设的建设中，“安全意识教育”是应该贯穿始终的，而且是性价比极高的一种安全投入。开展门槛极低，低到有一位靠谱的安全工程师就可以了，效果好的话可以大大减少员工在信息安全这块的无意识犯错，具体的案例我们稍后再提。
那么什么是“安全意识”，当我们谈论“安全意识”时，我们在谈论什么？这里可以先看一个16秒的生活实例（小视频链接）：

小视频里大致讲的是“一位车主在高速上突然遇到前方大规模减速，然后在注意到后方有大载重量货车时，及时旁移规避，从而保护了自己的人车安全”，这就是一位老司机基于自身的安全意识救了自己的故事。日常生活中很多地方会涉及安全意识，比如滴滴打车上车前确认一下车牌号与APP上显示的是否一致。 百度百科上说“所谓安全意识，就是人们头脑中建立起来的生产必须安全的观念。人们在生产活动中，对各种各样可能对自己或他人造成伤害的外在环境条件的一种戒备和警觉的心理状态。” 而按照我的理解：

安全意识就是“对风险的感知和主动规避”。

这里的“规避”是指遵守规则的避开，设法躲避。

在生活中，由于涉及到人身财产安全，人们通常会比较注意和警惕。而在个人信息安全意识这块，企业员工普遍有一种蜜汁自信，就像90%的司机都认为自己的驾驶水平高于平均水平一样，大多数企业员工也会认为自己安全意识挺好的，这往往是由于他们对“各类信息安全威胁和风险”没有清晰的认识和了解。事实是在工作中，由于信息安全意识的淡薄，发生的各类信息安全事故中大部分反而是由内部员工的疏忽或有意泄露造成的，比如 “XX企业XX单位员工利用职务之便帮人付费查询公民行车信息、社保信息等”、“员工用主管帐号批量导出客户数据售卖”、“员工将公司人事资料、设计稿、代码等上传网络”、“员工被钓鱼中招后邮箱内大量业务资料泄露”、“员工离职后为报复登录原团队公众号发表《主管XX不为人知的一面》负面文章”以及最近报道的的“XX公司内鬼向公司服务器植入DDoS木马接单犀利” 等。归根到底来说，信息安全问题的根源是因为“人是复杂的”。

而在企业进行“信息安全意识教育”的最大的作用就是让员工明白在工作中“哪些可为哪些不可为哪些操作是有风险的需要合理规避”，从而降低员工的“无意识犯错”。

注意这里首先说的是降低“无意识犯错”，比如提高员工防范钓鱼的意识、工作帐号不允许共享、工作计算机加域等，而对于蓄意的“有意识犯错”，仅靠安全意识教育作用相对比较有限。
在整套安全意识体系建设上，可以参考唯品会安全团队分享的干货《唯品会信息安全培训体系》。在员工信息安全问题的解决上能将安全与便捷平衡好真的很难得，阿里的这篇《阿里上班不打卡，任性进内网，全靠一个“男人”》可以参考。

“信息安全意识教育”在形式上通常有：定期的安全意识培训、安全意识考核、日常的邮件或企业公众号推送、海报以及墙贴等。

那么问题来了，如果是面向员工做线下培训，只讲1小时，最应该讲什么？（尤其是针对新员工的首次信息安全意识培训）

我的答案是讲“案例”，讲一些行业或者企业内真实发生的由于员工的疏忽或有意泄露造成的各种信息安全案例，理由很简单，如果你考过驾照的话，你就会知道备考期间，车管所放的教育视频全都是严重的交通事故案例，因为只有真实的事故才能给人最直观的感受和提醒。需要注意一点，在案例的选择上，内部培训为了避嫌可以讲其他单位的例子，如果是讲自己公司的真实案例，通常不要指名道姓，重点放在案例的认识和解读上即可，避免不必要的麻烦。而一些规章制度方面的比如“不准干这个、不准干那个” ，放在线下的安全意识培训上，效果不好，听众也提不起兴趣。这部分内容可以放在类似《员工守则》或者《员工信息安全守则》上，结合考核题目，督促员工去学习和复习。
需要明确的一点，针对实际的案例，不光是案例本身，在引申和解读上要讲清楚概念，不要含糊，然后通过强调后果以及惩罚措施引起员工重视。比如一个案例是“某员工泄露了某项目设计稿导致公司受到多少损失然后个人也被开除”，在案例解读上，你首先要讲清楚什么是“商业秘密”，如果不说的话，结合案例可能观众只能联想到源代码、设计稿，其实商业秘密可以分为“技术信息”与“经营信息”。

技术信息：源代码、生产配方、工艺流程、设计图纸等；
经营信息：管理方法、产销策略、客户名单、货源情报等。

概念上要清晰易懂让员工清楚明白，因为对于不明白的事情，人们通常都会当它不存在。后果也要强调，比如“员工犯错时根据事故情况，降薪10%、调岗甚至开除，如果情节严重触犯法律将受到法律制裁等等”。让听众意识到这些和个人利益切身相关从而主动去了解和关注，否则真的就当故事听了。
通过“真实案例解读”引起员工重视后，各种安全风险的具体防范办法，可以放在课下去解决，比如通过不同岗位线上课程、企业公众号文章推送、日常海报和墙贴等，并通过相应的考核去督促掌握。如果信息安全比较受重视，安全部门比较强势，时机成熟后也可以将信息安全考核纳入员工KPI。因为我觉得教育不只是知识的传递，更重要的是让听讲的人能够内化并学以致用，要看疗效。

个人认为 “企业信息安全意识培训”应该是员工的职场必修课，好的安全意识也是员工优秀职场素养的体现。“安全意识教育”是应该贯穿始终的，而且是性价比极高的一种安全投入。而在安全投入上，企业应该“算总账”而不是“算细账”，企业内部安全体系建设属于“成本中心”，而这部分的投入会在其他方面获得收益，在总账上是物超所值的。
在个人的信息安全意识培养上，有没有适合全体员工看的有趣的配合真实案例解读的关于企业员工信息安全的能快速上手的的科普读物呢 ？我找了很久，这本谈剑峰的 《办公安全演义》 除了以小故事与漫画的形式给我们解读职场中的各种信息安全场景案例，对于目前安全管理还不太规范的企业，这本书也能告诉我们，如何以最小的管理代价，提升信息资产防护能力。推荐给大家。

1. 《办公安全演义》

2. 安全摘记：关于安全与黑客

3. 雪夜围炉话安全（一）

4. 唯品会信息安全培训体系

5. 阿里上班不打卡，任性进内网，全靠一个“男人”？！

6. 遇见钓鱼欺诈站点，我选择“举报”

7. [翻译]安全意识培训如何保护小企业

8. 我眼中的信息安全意识教育体系

9. 猪八戒-安全意识宣传手册

转载请注明出处 ：sosly 菜鸟笔记

本文引用链接可以通过“原文链接”访问博客查看。

阅读原文

祝表弟早日成为表哥，然后带带我~

因本文链接较多，建议点击“原文链接”访问博客查看。

表弟大一刚结束，学的是计算机相关的专业，上学期开始学安全相关的技术，我就给他买了一套云课堂的《Web安全工程师微专业》 课程，结果这货学到第一课的时候，因为错过章节考试时间直接没及格……好在后边几课都按部就班的学习了，然后应该是6月份开始试着在 教育行业SRC 挖掘漏洞，到现在也只是发现了几个XSS、敏感文件泄露之类的小漏洞。之前表弟要准备课程的期末考试之类的，现在放暑假了，我就建议说可以再好好学习那套课程，趁着暑假，多实践。然后就讨论到 有没有适合入门阶段学习的Web安全书籍 这个问题。

说到Web安全书籍，这几年其实是一种百家齐放的状态，不断有优秀的书籍出版，那这里就尽可能少地整理几本我阅读过的Web安全入门书籍作为推荐。

如果没学过相关课程的小伙伴，真的从0基础开始的话，还是需要先掌握一些基本的技能：

1. 学习 网站构建初级教程_W3C 以及 HTTP协议基础-runoob 上了解Web前后端以及HTTP协议的一些基础介绍，花半天时间对相关技术有个概念性的了解就够了。

2. Windows下下载 phpStudy 或者 WAMP ，在本地搭建Web服务器环境，然后自己搜索两篇文章学习下基本的操作方法。这个本地Web服务器也就相当于学习过程中的一个实验环境了。

3. 学习浏览器的开发者工具（通常快捷键F12调出），搜索一些教学文章，掌握Chrome或者Firefox浏览器开发者工具中的Network、Elements功能的常见用法，可以查看HTTP数据包以及定位页面元素。

适合初学者的Web安全书籍

1. 《白帽子讲Web安全》
   道哥出品，很多人的Web安全启蒙书。

2. 《Web前端黑客技术揭秘》
   前端黑客技术，余弦的作品。

对于读书，我觉得读书的目的是：学以致用。应该把注意力放在如何应用读到的知识，提高自己的技术，而不是学了多少内容。
一年哪怕只学习了一本书，也要让这本书的内容结结实实地提升自己的技能，而不是只为了多一点谈资或者阅读清单上多一个数目。这也是我这里只推荐了两本书的原因，因为我觉得这两本书，能够认真学习完，并且实践书中的案例和技能，已经很难得了，同时相比于简单翻一遍，要多花费很多的时间和精力。

工具与实战

那学习Web安全呢，同时还要掌握一些工具：浏览器开发者工具与浏览器插件（如HackBar、ProxySwitcher）、抓包工具如Burpsuite、漏洞扫描和验证工具如御剑、sqlmap、AWVS，工具可以在Freebuf上自行搜索下载，教程可以参考Web安全-i春秋系列教程中对应这几款工具的章节学习。

好的工具可以帮助我们提高测试效率，扩展测试思路。除了工具的使用，通过搭建本地实战环境练习手工技巧，也是很好的进阶之路，这里建议可以搭建 DVWA漏洞测试环境，然后参考 DVWA系列教程_Freebuf进行学习。

学习的同时也可以在教育行业SRC等漏洞平台上挖掘漏洞，赢得认可，也是一种动力，但挖掘漏洞的时候一定要注意规范和界限，可以参考自律方能自由，《网络安全法》实施后的白帽子行为参考，挖掘漏洞的同时也要注意保护自己。

适合初学者的社区和资讯站点

1. 网站安全_i春秋社区
   i春秋社区聚集了很多的人气，有好多学生，也很活跃，入门和进阶的文章都有，可以多多交流。

2. Freebuf
   很多科普和梳理性的文章，也经常会有时下的热点讨论。

大学在校生可以关注的一些比赛

1. 全国大学生信息安全竞赛
   这个和全国大学生电子设计竞赛信息安全技术专题邀请赛一样，都是做一个安全软硬件系统来解决一些安全问题，通常有项目文档提交、源代码提交、现场演示答辩等几个步骤，分为初赛复赛，全国大学生信息安全竞赛为每年一次，全国大学生电子设计竞赛信息安全技术专题邀请赛通常两年一次，这两个比赛获奖对于大学生都有竞赛加分，在锻炼自己的同时，对评奖学金和保研也有帮助。

2. 全国大学生信息安全竞赛创新实践能力线上赛（CTF形式）
   这个是和i春秋合作的线上赛，和线下赛目前看来还没什么关联，CTF性质的。每年的CTF比赛很多，大家可以关注i春秋等一些站点的资讯就行了，大学生组队参加CTF比赛的挺多，也是很好的锻炼方式。

挖洞和博客建议

既然是入门了，建议就可以随着学习的深入，在一些SRC平台上挖掘漏洞，如果你不太喜欢走这个路线，也可以整理自己的学习过程，写一些技术博客进行分享，俗话说来“你挖洞来我拍砖”，都可以，而且一些平台如Freebuf、先知社区都有付费文章奖励计划，这两种都可以在学习技术的同时获取到一些物质上的奖励，如果你慢慢有了一些编程能力，除了让自己的安全技术自动化之外，还可以在Github等平台分享一些开源项目。相关的SRC站点我随后再说。
关于写博客，如果自己搭建站点的话，可以考虑使用hexo+github搭建免费个人博客，或者租用一台VPS部署Wordpress博客程序。其实我觉得，初学的话，可以不在站点搭建上浪费时间，在一些比较优质的博客平台上注册一个帐号即可，也可以有自己的个性域名。如oschina、博客园、简书。写博客本身就是对自己知识技能的巩固和梳理，不要怕写不好，博客就当是给自己看的。
有一个点要提示一下，既然想走安全这条路，那么给自己想一个个性的ID（昵称），提交漏洞或者注册博客时都用这个，好好维护，当做自己的个人品牌认真经营，随着你的贡献和分享越来越多，你的ID会被越来越多的人了解和认可。

一些进阶的书籍和资源推荐

这部分内容按需选择即可，等你入门了之后，有了一定的技术和经验，你已经足够去规划自己的发展了。

1. 《HTTP权威指南》
   平时可以当做词典来翻阅。

2. 《黑客攻防技术宝典 Web实战篇》
   深入剖析Web安全技术。

3. 《黑客秘笈 渗透测试实用指南》
   可以在虚拟机VMware中，下载运行kali Linux的VM版本进行学习和实践。

编程技术相关的书籍就不推荐了，自由学习。

站点可以浏览下 安全圈info（www.anquanquan.info） 与 SecWiki ，前者是一个持续更新的安全圈站点导航，总能找到你想要的网站，之前说的SRC站点这里都有，后者是一个安全资讯的收录分享平台，有什么安全问题可以搜索一些历史文章看看。

入门与进阶

对于初学者来说，找一个靠谱的教程或者老师，帮助自己快速入门是非常有必要的。入门之后，虽然高手的点拨也很重要，但更多的功课其实是需要你自己来做的。这也是为什么优秀的入门教程很多，但是优质的进阶版本教程却不多。
有一句话叫“付费就是占便宜”，对于新手来说，入门阶段花一点钱买一套优质的课程，让有经验的内行带着自己学习，往往是最优的选择。还有一句话叫“免费的就是最贵的”，免费的教学资源，质量参差不齐难以保证，不用花钱，但耗费的是你筛选的精力和时间。自己根据条件取舍，现在已经逐渐进入了一种知识付费的时代，这就是我给表弟买了一套云课堂的《Web安全工程师微专业》课程作为入门学习的原因，一套优质的网课程，相比于昂贵的线下班性价比很不错。

等准备好了再“实践”？

李笑来老师有一个观点，学习任何一个学科的时候，都有一个概念很重要：

最少必要知识
MAKE : Minimal Actionable Knowledge and Experience

就是说，当我们在学习某项技能的时候，就要用最快的时间摸索清楚最少必要知识 （MAKE） 都有哪些？ 然后迅速地掌握它们，这样就实现了“快速入门”，然后就可以开始动手实践，然后在实践中印证理论、加深理解，同时继续扩展学习。
同样的时间，一个用来等待，另一个用来践行，两者的差距可能是天壤之别。你要知道没有任何考试是在你准备充分了才开始的。有些人喜欢等待，等到合适的时机出现的时候，再采取行动。另一些人则喜欢边做边想，有不足的地方就改进，有新的问题就解决。一段时间过去之后，后者可能已经前进了很长一段路程，而前者多半还在等待一个“恰当的时机”。
我原来就有这个问题，老想着先体系化学完某门技术…结果就是坚持不实践，过了很久还是啥都不会，反而之前看的那些知识因为没实践过也都忘了。
用和学，用比学重要。用时比学时重要。“用时”是一个很好的概念。很多人说自己“学”了那么多年英语，但现在依然说不出，听不懂。其实他们就是在用“学时”代替“用时”来计算自己的付出的。
我们总说有效学习，其实衡量有效学习最好的方式就是：计算使用的时间。在安全技术学习上，就是：实践的时间。

从“想到”、“学到” 到 “做到”

“用”比“学”重要；“做”比“想”重要；边做边想，比单纯想想不知道好多少倍。只有做到了才是掌握了。
“人至‘践’则无敌”。

很多人梦想找到一个牛逼的师父，几天速成然后笑傲江湖。可是每一个真正练就一身武艺的人都是靠冬练三九夏练三伏这么过来的，他们靠着一种忘我的热情持续投入进去磨练，数年如一日，最终自己也不知道怎么就发现具备了无坚不摧的实力。 同样，就算是要开好挖掘机，或着当一个好厨师，也要在自己的技能树上，一步一步地积累技能点，把过路点都点满了，才能点出大招。
我们从小到大往往会听到长辈们的建议：“戒骄戒躁”。虽然“戒骄”放在前面，但“戒骄”其实是有了一定成绩之后的事情。对大多数人来说，首先要“戒躁”，才有机会“戒骄”。

一个人能获得的最可贵的能力，都和掌握一门语言一样，你所付出的努力不是能够获得即时回馈的，甚至在很长的一段时间内没有任何收获，直到积累到了一定的阶段后，忽然爆发出惊人的力量，连你自己都不清楚这一切是如何发生的。比如锻炼身体，读书写作。当你经历了足够的量变终于引起质变时拥有的技能，大部分人是终身难以企及的，不是因为他们太笨，恰恰相反，因为他们都太聪明了。选择一个正确的方向，对那些无法立即获得回报的事情，依然能付出十年如一日的专注和热情，最终的结果也许不足以让你独孤求败，但足以出类拔萃。

祝表弟早日成为表哥，然后带带我~

本文相关链接资源整理：

1. [网站构建初级教程_W3C](http://www.w3school.com.cn/web/index.asp)；

2. [HTTP协议基础-runoob](http://www.runoob.com/http/http-tutorial.html)；

3. [phpStudy](http://www.phpstudy.net/) ；

4. [WAMP](http://www.wampserver.com/)；

5. [Freebuf](http://www.freebuf.com/)；

6. [Web安全-i春秋](https://www.ichunqiu.com/newRelease/darrPath/105)；

7. [DVWA](http://www.dvwa.co.uk/)；

8. [DVWA系列教程_Freebuf](http://www.freebuf.com/?s=DVWA)；

9. [教育行业SRC](https://src.edu-info.edu.cn/)；

10. [自律方能自由，《网络安全法》实施后的白帽子行为参考](https://sosly.me/index.php/2017/06/02/wangluoanquanfa/)；

11. [网站安全_i春秋社区](https://bbs.ichunqiu.com/forum-59-1.html)；

12. [全国大学生信息安全竞赛](http://www.ciscn.cn/)；

13. [全国大学生信息安全竞赛创新实践能力线上赛（CTF形式）](https://2017ncstisc.ichunqiu.com/)；

14. [oschina](https://www.oschina.net/blog)；

15. [博客园](https://www.cnblogs.com/)；

16. [简书](http://www.jianshu.com/)；

17. [安全圈info](http://www.anquanquan.info/)；

18. [SecWiki](https://www.sec-wiki.com)；

19. [《Web安全工程师微专业》](http://mooc.study.163.com/smartSpec/detail/1001227001.htm?utm_source=9305777&utm_medium=cps&utm_campaign=affiliate)

转载请注明出处 ：sosly 菜鸟笔记

因本文链接较多，建议点击“原文链接”访问博客查看。

阅读原文