网络安全

在互联网时代，安全不是可选项，而是必选项。

你可能觉得安全离自己很远——「我的网站又没什么机密数据，黑客怎么会盯上我？」

但现实是：绝大多数攻击不是「定向打击」，而是「自动扫描」。黑客的脚本会在全球互联网上漫游，寻找存在漏洞的服务器。你的网站可能只是成千上万个「猎物」中的一个。

更可怕的是，安全事件的代价远超你的想象：数据泄露的赔偿、用户信任的流失、法律诉讼的风险……一次成功的入侵，可能让多年的努力付诸东流。

安全的本质，是在攻击者和防御者之间不断升级的军备竞赛中，找到属于自己的防线。

模块速览

方向	核心目标
密码学基础	对称加密、非对称加密、哈希、数字签名、密钥交换
身份认证与授权	OAuth2、OIDC、SSO、RBAC、零信任架构
应用层安全	XSS、CSRF、SQL 注入、文件上传安全、序列化漏洞
网络层安全	TLS/HTTPS、DNS 安全、VPN、防火墙、IDS/IPS
系统层安全	缓冲区溢出、ROP、权限提升、后门检测、沙箱技术
安全运维	渗透测试、漏洞扫描、代码审计、SIEM、应急响应

学习路径建议

第一阶段：密码学基础
→ 理解对称加密和非对称加密的区别与适用场景
→ 掌握哈希的本质：单向性、碰撞阻力、原像阻力
→ 理解混合加密体系：为什么 TLS 选择混合加密
→ 了解国密算法：SM2/SM3/SM4 的适用场景

第二阶段：身份认证与授权
→ 从 Cookie/Session 到 JWT，理解认证机制演进
→ OAuth2 的四种授权模式：选对场景比选对技术更重要
→ OIDC 在 OAuth2 基础上解决了什么问题
→ RBAC vs ABAC：权限模型的适用场景

第三阶段：应用层安全
→ OWASP Top 10 是基础：每一种漏洞都要能讲清楚原理和防御
→ 理解注入的本质：用户输入被当作代码执行
→  CSRF 和 XSS 的区别与联系：两种「跨」的思路
→  文件上传：不仅仅要检查扩展名

第四阶段：网络层安全
→ TLS 握手过程：为什么需要 CA 证书
→ HTTPS 的完整流程：从 TCP 到 TLS 到 HTTP
→ 防火墙的三种类型：包过滤、状态检测、应用层网关
→ 了解 IDS 和 IPS 的区别：检测与阻断

第五阶段：系统层安全与安全运维
→ 缓冲区溢出的原理：栈帧、返回地址、shellcode
→ 渗透测试方法论：信息收集 → 漏洞探测 → 漏洞利用 → 权限提升
→ SIEM 的核心功能：日志收集、关联分析、告警响应
→ 应急响应流程：隔离 → 排查 → 修复 → 复盘

为什么学安全

很多人学安全是为了面试——「有没有安全面试题？」

但我更想说的是：安全知识不是面试前临时背诵的内容，而是日常开发中需要内化的意识。

写 SQL 查询时，你会想到 SQL 注入；处理用户上传时，你会检查文件类型；设计 API 时，你会考虑权限控制——这才是安全知识真正发挥作用的时候。

当你能够从攻击者的角度思考问题时，你才能真正成为一道合格的防线。

"不懂攻击的防御，就像不懂敌人的战争。"