Forwarded from MY 互联网冲浪日记 (MY)
刚才和朋友聊天聊到了这里,我顺便吐槽一下。
我一向认为,做安全的人可以不精通开发,但做开发的人一定要懂安全。
一个开发团队不仅仅只会开发,一个安全团队也不仅仅只做安全。
真正的开发,不只是实现业务功能,还要具备安全意识、性能意识、稳定性意识。从需求设计、代码实现到部署上线,都应该把安全作为产品的一部分,而不是出了问题再去补漏洞。
同样,真正的安全,也不仅仅是漏洞扫描、渗透测试、代码审计。安全团队同样需要理解业务、理解架构、理解开发流程,能够参与安全设计、代码审计、风险评估,也能够在事故发生时快速定位问题、分析攻击路径、完成应急响应,并推动问题彻底修复,而不是停留在「发现漏洞」这一环。
开发、安全、运维、应急响应,本质上都是工程能力的一部分。很多时候,一次高质量的应急响应,考验的不只是安全技术,更是对系统架构、业务逻辑、日志分析、数据库、网络以及开发框架的整体理解。
所以我始终认为,开发和安全从来不是两个割裂的岗位,而是相互融合、相互促进的能力体系。开发需要安全思维,安全需要工程思维,只有具备完整的技术视角,才能真正构建出稳定、安全、可靠的产品。
另外现在 AI 百花齐放,写代码的门槛确实降低了,但也出现了一个越来越明显的问题:不少人把「能跑」当成了「能上线」,把「没有报错」当成了「没有风险」。复制 AI 生成的代码,不理解它为什么这么写,不验证输入输出,不考虑权限控制,不检查依赖来源,更不会思考潜在的安全隐患。
AI 的确能提升开发效率,但它不会替你承担责任。AI 可以帮你写代码,可以让一个 Demo 在几分钟内跑起来,却不能保证它能经受真实环境的攻击 (此处 @godk 和 @imkuwei)。
工程的终点,从来不是代码跑起来,而是产品能够稳定、安全、可靠地运行。AI 是放大器,它能放大优秀工程师的能力,也同样会放大坏习惯和安全隐患。真正有价值的,不是会不会用 AI,而是有没有能力判断 AI 给出的东西是否值得相信。
我一向认为,做安全的人可以不精通开发,但做开发的人一定要懂安全。
一个开发团队不仅仅只会开发,一个安全团队也不仅仅只做安全。
真正的开发,不只是实现业务功能,还要具备安全意识、性能意识、稳定性意识。从需求设计、代码实现到部署上线,都应该把安全作为产品的一部分,而不是出了问题再去补漏洞。
同样,真正的安全,也不仅仅是漏洞扫描、渗透测试、代码审计。安全团队同样需要理解业务、理解架构、理解开发流程,能够参与安全设计、代码审计、风险评估,也能够在事故发生时快速定位问题、分析攻击路径、完成应急响应,并推动问题彻底修复,而不是停留在「发现漏洞」这一环。
开发、安全、运维、应急响应,本质上都是工程能力的一部分。很多时候,一次高质量的应急响应,考验的不只是安全技术,更是对系统架构、业务逻辑、日志分析、数据库、网络以及开发框架的整体理解。
所以我始终认为,开发和安全从来不是两个割裂的岗位,而是相互融合、相互促进的能力体系。开发需要安全思维,安全需要工程思维,只有具备完整的技术视角,才能真正构建出稳定、安全、可靠的产品。
另外现在 AI 百花齐放,写代码的门槛确实降低了,但也出现了一个越来越明显的问题:不少人把「能跑」当成了「能上线」,把「没有报错」当成了「没有风险」。复制 AI 生成的代码,不理解它为什么这么写,不验证输入输出,不考虑权限控制,不检查依赖来源,更不会思考潜在的安全隐患。
AI 的确能提升开发效率,但它不会替你承担责任。AI 可以帮你写代码,可以让一个 Demo 在几分钟内跑起来,却不能保证它能经受真实环境的攻击 (此处 @godk 和 @imkuwei)。
工程的终点,从来不是代码跑起来,而是产品能够稳定、安全、可靠地运行。AI 是放大器,它能放大优秀工程师的能力,也同样会放大坏习惯和安全隐患。真正有价值的,不是会不会用 AI,而是有没有能力判断 AI 给出的东西是否值得相信。
👍4❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
进群方式如下:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
https://huggingface.co/Chunjiang-Intelligence/DeepSeek-v4-Fable
基于Deepseek 开源的红队版本模型,通过8W+ CTF数据进行训练。
可以自己再进行二次训练,然后封装卖API,爽翻。
基于Deepseek 开源的红队版本模型,通过8W+ CTF数据进行训练。
可以自己再进行二次训练,然后封装卖API,爽翻。
❤4
这个我感觉有必要说一下
其实有兴趣的可以搞个Fofa/Shodan扫一下这些类似的资产
毕竟扫到一个无鉴权还有TG号的站点也是一份收入不是吗~
几十个TG号卖一碗猪脚饭也没什么问题~
我感觉这个利用点很高,变现也很快,没什么技术含量,我也不收费,你们当听一乐,感兴趣自己去试下。
小国在测绘引擎中扫描了某担保在押10万U+赌博平台、台球、电子的后台,并且台球后台无鉴权! 成功获利5000U
可以扫这类型的,看看后台是不是有未授权访问啊,弱口令等等等等~去里面找一下密钥,Key什么的,都是不需要任何条件就可以完成的。
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍1
兮夜
@aifulijibot 新能量3.0来了 双渠道免费能量. 已倒闭 辣鸡平台 TRX烧空了 貌似又起飞了
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 𝙏𝙂 · 𝙎𝙀𝘾 (小国)
进群方式如下:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1