怎样为计算机相关专业的学生办一场关于网络安全的科普讲座?

2016-08-30 23:22:14 +08:00
 RTNelo

据 LZ 的观察,很多同学(软件工程专业、大三)并没有基础的网络安全知识,构建的系统漏洞百出(通过字符串拼接构造 SQL 语句、用户密码简单 Hash 不加盐等等)。然而很多系统(.com.cn,或许还有.gov.cn)是层层外包给大学生的。这样的系统难保不是下一个徐玉玉事件的源头。而且学校的课程通常没有涉及相关内容(不太清楚隔壁网络安全专业的情况,但软件工程的《计算机网络》是完全略过网络安全部分不讲的,其他如数据库、 HTML 、 JSP 、 Java 等的课程类似)。那么,如果通过社团向相关专业的同学们举办关于网络安全的科普讲座,需要注意哪些问题?诸位前辈又有哪些看法、意见和建议呢?

目前 LZ 发现的问题有以下几个:

  1. 讲座以 OWASP TOP 10 为主要内容是否可行?

    是否需要增加(如我国关于信息安全的法律法规,不要未受邀请地测试他人的系统等)或者删改某些内容?

  2. 讲座面向群体是否应限定为高年级同学(通常计算机网络和数据库系统原理大二才开课)?
  3. 讲座举行的时长和次数应该怎样设定?
  4. 是否已有相关的讲义、示例等可以帮助同学们理解?
  5. 怎样激发同学们对于网络安全的兴趣?
4714 次点击
所在节点    程序员
60 条回复
sheep3
2016-08-31 00:07:27 +08:00
首先很多人可能还不清楚什么是 hash ……
wevsty
2016-08-31 00:09:17 +08:00
@RTNelo 我赞同 @Yinz 的想法
有条件还可以现场抓个包,鼓励大家使用 HTTPS 。 233
如果时间有限不能做到这一步,可以随机邀请几个同学设定一个密码,然后直接 MD5 以后去查现成的表。很多解密网站一次 MD5 是很容易查出来的。
ferock
2016-08-31 00:11:39 +08:00
@RTNelo 当然需要, 一个好汉三个帮
Yinz
2016-08-31 00:14:27 +08:00
@RTNelo 你一说我才发现确实挂掉了,比较可惜 D:
billlee
2016-08-31 00:17:17 +08:00
软件工程专业不开信息安全相关的课程吗?
RTNelo
2016-08-31 00:19:11 +08:00
@sheep3 毕竟是个科普级讲座,简单介绍一下概念的话应该也不会很耗时间。
@wevsty 之前学校 WiFi 没密码,校园网帐号登录是明文传输的,那时候做演示效果是最好的,不过更新后学校用上 https 了。另外我的网卡开不了工程模式,到时候可能要找网络安全的同学们借了。
@ferock 希望讲的时候不会被网络安全的同学打脸...
RTNelo
2016-08-31 00:22:53 +08:00
@Yinz 不过应该还是有其他社工的网站的。
@billlee 培养计划上没有看到相关课程,好像连选修课都没有(也许《软件测试技术》会讲?我们还没有上这门课)。
wevsty
2016-08-31 00:28:07 +08:00
@RTNelo

用带漏洞的老版本 Discuz ,先让同学现场注册,然后第一步公布抓包,抓包不一定需要工程模式,可以直接用 Win Server 的远程路由访问当网关使,Linux 也可以,网关抓包就行了找个无线路由器做无线发射即可,或者直接 arp 一下也可以,这样就能抓包强调 HTTPS 的重要性。接着 SQL 注入现场拉 Discuz 的数据库回来,在解密其中的密码多余的时间还可以用 Disucz 演示 XSS 之类的其他问题。
ETiV
2016-08-31 00:32:05 +08:00
我觉着光讲没用的, 老话讲的吃一堑长一智还是有道理的.

踩过这种坑了才知道为啥要这么做, 而不是那么做.

但首先还是得教他们懂得负责.

说白了, 这是人生的课堂.
q397064399
2016-08-31 06:38:18 +08:00
真没必要教,我 07 年拿个 啊 D 配合 ewebeditor 黑了那么多 ASP 的站点,就是这些不负责的程序员弄出来的,要是这个世界都是负责的程序员,那新手黑客如何练技术?虽然早不玩安全了,但是上大学靠着 内网嗅探 ARP 还有一个 ewebeditor 硬是拿到了学校的成绩数据库,之后天天逃课,现在毕业蛋疼的要死,技术没学好技术,自己学业也没学好
megatron
2016-08-31 07:32:44 +08:00
可以先举办一个渗透比赛,当然要有奖品。特等奖,入侵难度最大,甚至可以是通过选拔赛之后,现场实时入侵。而普通奖,常见的漏洞。
msg7086
2016-08-31 07:34:39 +08:00
我还见过把人家大型公司的域控管理员密码明文到处传的,而且每次点击都会传一次。
firebroo
2016-08-31 07:53:52 +08:00
紧跟步伐学习新的技术栈,一般前沿框架都会尽量把安全工作都给你做了,当然安全做大的弱点还是人。
geek123
2016-08-31 08:45:34 +08:00
@RTNelo ,推荐一本书《黑客攻防从入门到精通 实战篇》给你,希望对你有帮助:

http://book.hubwiz.com/55750a1f6a1625018cfa6b01
davin
2016-08-31 08:48:11 +08:00
推荐大家看相关的电影,比如: Firewall(2006), Cybergeddon (2012), Mr. Robot(第二季出到第九集了)
wemore
2016-08-31 08:56:20 +08:00
多逛 v2 不就行了
enginex
2016-08-31 08:57:47 +08:00
5. 把 5 季的 POI 放一遍 O(∩_∩)O
hffaxy
2016-08-31 09:12:21 +08:00
0.信安专业,就我自身感受的话,实际演示远比 ppt 讲义生动得多。
1.实际演示可自行搭建脆弱系统环境或者直接上 DVWA 让同学们自己实际体验不安全编码的危害性。
2.OWASP TOP 10 要讲这个的话,涉及知识面就比较多了,同学们接受起来就相对比较困难,结合实际演示吧,效果应该会好点。
3.信安方向,就安全编码来说, web 和软件编程同样重要,也可覆盖软件安全编码知识,比如说逆向工程和缓冲区溢出。
4.一切之前,先科普信息安全相关法律法规。
5.兴趣的话,往 hack , geek 方面去吹,电影看过没?各种神,各种玄,同学兴趣就上来了。
6.如果只是科普向讲座,可向低年级开放,有兴趣的自然回去补基础知识,不过就要相应的在你的讲义里 0x0 基础知识里补充相对完善的基础知识或者相关技术,概念就行,不用太全面。
7.这只是一个讲座, Interest first , and take it easy
8.enjoy it~
solonF
2016-08-31 12:48:05 +08:00
咦,非要讲座嘛,效率不高啊,随便把要讲的往 qq 群里一发,该看到的会看到并注意的吧……
loading
2016-08-31 13:59:27 +08:00
当着大家的面,进教务处,改分。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/302792

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX