怎样为计算机相关专业的学生办一场关于网络安全的科普讲座?

2016-08-30 23:22:14 +08:00
 RTNelo

据 LZ 的观察,很多同学(软件工程专业、大三)并没有基础的网络安全知识,构建的系统漏洞百出(通过字符串拼接构造 SQL 语句、用户密码简单 Hash 不加盐等等)。然而很多系统(.com.cn,或许还有.gov.cn)是层层外包给大学生的。这样的系统难保不是下一个徐玉玉事件的源头。而且学校的课程通常没有涉及相关内容(不太清楚隔壁网络安全专业的情况,但软件工程的《计算机网络》是完全略过网络安全部分不讲的,其他如数据库、 HTML 、 JSP 、 Java 等的课程类似)。那么,如果通过社团向相关专业的同学们举办关于网络安全的科普讲座,需要注意哪些问题?诸位前辈又有哪些看法、意见和建议呢?

目前 LZ 发现的问题有以下几个:

  1. 讲座以 OWASP TOP 10 为主要内容是否可行?

    是否需要增加(如我国关于信息安全的法律法规,不要未受邀请地测试他人的系统等)或者删改某些内容?

  2. 讲座面向群体是否应限定为高年级同学(通常计算机网络和数据库系统原理大二才开课)?
  3. 讲座举行的时长和次数应该怎样设定?
  4. 是否已有相关的讲义、示例等可以帮助同学们理解?
  5. 怎样激发同学们对于网络安全的兴趣?
4683 次点击
所在节点    程序员
60 条回复
RTNelo
2016-08-31 18:37:13 +08:00
@wevsty 非常感谢,我去查查相关资料。
@ETiV 但很多时候吃一堑的人是普通用户(明明程序员多写一句就可以避免的事情),代价还是太大了。
@q397064399 但是就我的观察来看,同学们很多时候不是不负责任,而是根本没有安全意识,根本不知道他们的实现是有问题的。
@megatron 主要还是面向非信息安全专业的同学们的科普讲座,普及一下相关知识。直接的渗透比赛已经有了,而且科普的性质也没有那么强了。
@msg7086 这个公司...一直没出过问题吗...
RTNelo
2016-08-31 18:39:02 +08:00
@firebroo 是的。我最开始意识到这些问题的时候是读过 Tornado 和 web.py 文档的相关章节之后了。应该向同学们强调下,尽量使用已有可靠的框架,而不要自己直接生造。
@geek123 非常感谢!
@davin @enginex 电影剧集等等作为之后启发兴趣的资料更好一些吧。想必多数同学是没有什么时间聚集到一起看电影的(而且我校的放映设备还不是很理想)。
@wemore 多数技术类社区都会有一定的涉及的,但是就安全方面来说 FreeBuf 之类的可能会更好吧?
RTNelo
2016-08-31 18:50:33 +08:00
@hffaxy 非常感谢您的建议!缓冲区溢出也能被大一的同学理解。直接演示同学们自己所写程序中的漏洞被利用的情况,应该可以和各种电影一样引起同学们的兴趣。另外开始之前先把讲义的地址以二维码形式挂出来以供查阅。
@solonF 把基础常识以微博长文的形式转发的效果怎么样呢?
@loading 会被开除的,绝对会被开除的!
loading
2016-08-31 18:56:37 +08:00
@RTNelo 你建一个网站,然后展示一下 SQL 注入就可以了。
hack
2016-08-31 21:45:08 +08:00
讲一遍 webgoat 即可,然后现场演示一下
Yinz
2016-08-31 21:54:38 +08:00
@RTNelo 现场邀请同学注册的话,很容易出现服务器压力太大直接挂掉的情况,而且讲座的场馆可能会遇到信号不好的情况(我们学校几乎 100%),现场网络服务建议慎重考虑,很容易出各种问题。

曾经有公司来做讲座,现场搭了 5 个蜜罐路由器,现场大概 100 来人,直接脱挂了所有路由和网络,现场演示十分尴尬 XD
不过如果有办法控制这个效果的话,蜜罐路由还是非常有趣吸引人的 XD
breeswish
2016-08-31 21:56:35 +08:00
然并卵,只有与到手的分数挂钩了他们才会真正在意。
bjrjk
2016-08-31 22:03:39 +08:00
第二个问题吧,我是高中生,也喜欢研究信息安全。想问你这个会如何参加?你说应该不应该不限制呢?不过如果年龄太小就是来这里凑个热闹也确实不太好。
wevsty
2016-08-31 22:15:11 +08:00
@Yinz 用性能好一点的机器做服务器没有那么脆弱吧? wifi 连接人太多不好用或者挂掉倒是有可能,可以 2 种解决方案,公网 VPS 上架,所有人用运营商网络访问就可以了,或者场馆架设 wifi , DHCP 限制一下最大用户数量然后不允许连接外网,演示都放在内网会好很多。要保证不出问题,可以在第一排提供有线连接。
msg7086
2016-08-31 22:43:29 +08:00
@RTNelo 已经快挂了。
但是并不是因为安全问题,而是因为资金入不敷出。
Yinz
2016-09-01 01:01:07 +08:00
@wevsty 我们学校出的问题是,场馆内信号不好,手机 4g 极慢, WIFI 由于连接人数过多导致爆炸,所以整个场馆内几乎是断网状态。。。这个问题和服务器性能没太大关系。。
shiji
2016-09-01 04:18:06 +08:00
个人感觉对安全感兴趣的都去自学了,剩下的积极性有限。
xFrank
2016-09-01 09:05:12 +08:00
支持现场演示,最能提升兴趣。
还可以讲讲类似这种热门事件: http://mt.sohu.com/20160825/n465965832.shtml
skylancer
2016-09-01 10:28:18 +08:00
@RTNelo 工程模式是什么情况...
changwei
2016-09-01 11:09:54 +08:00
我觉得可以先自己去找找看自己的高校官网是否有类似的漏洞,或者拿他们的漏洞作为演示 demo ,在法律允许的情况下把危害展示给他们看,这样很容易挑起学生们的好奇心和积极性,这种讲座还是有点意义的。
Hodor
2016-09-01 17:28:11 +08:00
这么热的天还得走到教室。。哎。。算了,宿舍打游戏吧
q397064399
2016-09-02 05:52:23 +08:00
@RTNelo 安全编码以后肯定会被带入框架,现在 MVC 的设计模式,在控制器里面框架可以编写代码自动过滤 SQL 注入攻击,而不是让程序员来实现
q397064399
2016-09-02 05:58:14 +08:00
你应该普及一下类似于缓冲区溢出的技术,找个老点的发行版 linux ,写一个 CS 简易客户端,在 Server 端弄个套接字,然后处理字符串的时候,弄个缓冲区溢出,然后写个 shellcode ,关闭 selinux 在电脑面前演示一遍,如何通过 shellcode 提取 user 权限,进而获得 root 权限,讲解一下 ios 越狱也基本上跟这玩意原理差不多,之后那些大一的 CS 新生就会对你顶礼膜拜了。
q397064399
2016-09-02 06:02:31 +08:00
不过 CS 基础好的,估计也会嗤之以鼻,这些年搞 IOS 越狱其实也就是个体力活,新的加密解密算法还轮不到黑客来搞,大多就是些年轻小伙子,逆向分析一下 ios 的沙箱技术,看能不能通过一些错误提权到内核权限来修改 rootfile
ferock
2016-09-12 19:30:50 +08:00
@RTNelo 不要怕被打脸,应该欢迎打脸,然后主动邀请,网络安全的同学,上来互动,为大家添砖加瓦!要有 open 的心态。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/302792

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX