怎样为计算机相关专业的学生办一场关于网络安全的科普讲座?

2016-08-30 23:22:14 +08:00
 RTNelo

据 LZ 的观察,很多同学(软件工程专业、大三)并没有基础的网络安全知识,构建的系统漏洞百出(通过字符串拼接构造 SQL 语句、用户密码简单 Hash 不加盐等等)。然而很多系统(.com.cn,或许还有.gov.cn)是层层外包给大学生的。这样的系统难保不是下一个徐玉玉事件的源头。而且学校的课程通常没有涉及相关内容(不太清楚隔壁网络安全专业的情况,但软件工程的《计算机网络》是完全略过网络安全部分不讲的,其他如数据库、 HTML 、 JSP 、 Java 等的课程类似)。那么,如果通过社团向相关专业的同学们举办关于网络安全的科普讲座,需要注意哪些问题?诸位前辈又有哪些看法、意见和建议呢?

目前 LZ 发现的问题有以下几个:

  1. 讲座以 OWASP TOP 10 为主要内容是否可行?

    是否需要增加(如我国关于信息安全的法律法规,不要未受邀请地测试他人的系统等)或者删改某些内容?

  2. 讲座面向群体是否应限定为高年级同学(通常计算机网络和数据库系统原理大二才开课)?
  3. 讲座举行的时长和次数应该怎样设定?
  4. 是否已有相关的讲义、示例等可以帮助同学们理解?
  5. 怎样激发同学们对于网络安全的兴趣?
4713 次点击
所在节点    程序员
60 条回复
ivmm
2016-08-30 23:31:48 +08:00
同样有这样的需求。

2. 我大一就学了 SQL Sever 。。。。 然后自学 Mysql

5.我想说,很难激起他们的兴趣。或许刚开学还有三分钟热度,开学一个月后就难说了
RTNelo
2016-08-30 23:35:29 +08:00
@ivmm 其实主要目的还是让同学们知道“这样做是不安全的”,至少要比做着字符串拼接而不知安全隐患要强得多。
ivmm
2016-08-30 23:39:35 +08:00
@RTNelo 最好讲述的方式生动点,来听的人也不要强制来,自愿的效率会搞很多
ivmm
2016-08-30 23:39:42 +08:00
@ivmm 高很多
wevsty
2016-08-30 23:40:17 +08:00
现场演示是最有效最深刻的
字符串拼接的,找个项目演示 SQL 注入
不带盐 HASH 的,现场解密查询密码
了解了这样做的危害,有责任心的人心里就会树立起这种意识了
GentleSadness
2016-08-30 23:40:53 +08:00
web 白帽子 其实也就这几个要注意的,然后怕的是嫌麻烦,编码其实注意的应该不多
ferock
2016-08-30 23:47:18 +08:00
座谈的方式,要用互动开场…


比如:大家平时怎么考虑自己项目的安全?
RTNelo
2016-08-30 23:48:19 +08:00
@wevsty 操作多的话占用时间就多了,所以其实把所有内容讲完的话其实应该需要开很多次?
RTNelo
2016-08-30 23:50:35 +08:00
@GentleSadness 嫌麻烦真是没办法啊...明明多几句代码就不会出现漏洞的...所以到最后不是兴趣的问题而是责任心的问题吗...
RTNelo
2016-08-30 23:51:39 +08:00
@ferock 估计大多数同学都不怎么考虑吧...毕竟会给密码加 HASH 的同学都算技术好的了。
RTNelo
2016-08-30 23:52:46 +08:00
@ivmm 就一学生社团哪有权力强制同学来啊...
ferock
2016-08-30 23:53:56 +08:00
那,继续下一阶段问题:那如果现在需要给你的项目考虑安全性,应该怎么系统的考虑呢?


你的座谈就会有节奏的往下走了
ivmm
2016-08-30 23:53:56 +08:00
@RTNelo 看来社长和学校领导和专业老师的关系不够深刻啊。
wevsty
2016-08-30 23:55:00 +08:00
@RTNelo 不需要一步一步的教操作过程啊,演示一下过程,不需要做任何说明,或者事前演练好直接放视频都行,花不了多少时间。
另外 web 安全这方面有多少东西需要讲?基本上过滤一下用户输入,密码用加盐 hash 基本上也就差不多了吧。不过这方面我不是很懂。如果说一次讲不完也没关系,先勾起兴趣或者安全意识其实目的也就达到了,该学的,想学的自然会学不管是通过讲座还是自己学,不想考虑安全问题的,天天敲打也没用不是么?
RTNelo
2016-08-30 23:56:59 +08:00
@ferock 大概也可以埋伏几个同学需要的时候带节奏。
RTNelo
2016-08-30 23:58:02 +08:00
@ivmm 只是关系大概不够吧,估计得是交易了。
RTNelo
2016-08-31 00:00:57 +08:00
@wevsty 第一个示例准备好材料(在线猜测密码之类的网站)让同学们自己尝试以加深印象?之后的示例通过 ppt 演示节省时间?
ivmm
2016-08-31 00:01:19 +08:00
@RTNelo 多和党团的老师交流交流,多跑跑。 专业课老师多问问,多聊聊。 哪里用交易。。。
Yinz
2016-08-31 00:01:55 +08:00
提供一个 Idea :D ,讲座前邀请同学们注册一个目标网站,使用不加盐 hash 储存,然后在讲座上现场跑彩虹表,输出大屏幕的密码打个码就好 XD

还可以现场社工?

当然注册的时候写好注册的密码将会被用于现场展示,请不要使用真实密码注册这样 XD

总之挺喜欢这种现场演示的 XD
RTNelo
2016-08-31 00:06:35 +08:00
@ivmm 感觉强制同学来实在是有点出格了……
@Yinz 对对,现场社工。之前把那个 QQ 群关系可视化查询的网站演示给室友后效果拔群。不过那个网站好像挂掉了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/302792

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX