黑客解析程序员(黑客懂编程吗)

hacker|
112

程序员就是所谓的黑客吗

当然不是

程序员是国家规定的软考职称。是初级的、最低级的。

至于黑客,并没有什么明文规定,是自发的一种行为人群体的总称。

程序员与黑客的差别

先用一句话概括:

程序员未必是黑客,黑客一定是优秀的程序员。

程序员:

一般叫软件工程师,他们喜欢自嘲“码农”或者“搬砖的”。等级一般分初级、中级、高级和资深,主要工作是根据公司的业务需求(主要是产经的脑洞)设计软件编写代码。需要熟练掌握至少一门语言,比如Java。

黑客:

不要以为上传木马啊盗号啊破解软件啊翻个外网啊就能叫黑客了,他们最多算脚本小字,或者叫骇客。真正的黑客虽然没有黑客帝国那样酷炫,但至少是个攻防高手。不同于程序员,他们一般能通用多种编程语言,但不会经常敲业务代码。他们更侧重于找出软件的破绽,发现系统的漏洞。其实现在很多互联网公司的首席安全管理都是名副其实的黑客,只不过他们更注重防守,而不是主动攻击。

当然,黑客也有好坏之分。好黑客又称红客,出于检测安全为目的,不以恶意攻击为目的。而坏黑客,以非法入侵、破坏、勒索为目的,这些就是触犯法律的行为。

黑客到底比普通程序员高在哪里?

假设老板今天给了我们一个任务,让我们判断一个IP是否在线。我们可以用Python编写ping IP代码importost=input('请输入要检测的IP:')result=os.popen('ping-C 1-t1%s'%(主机))。Read()如果'ttl'inresult:Print('Ip online')否则:Print('Ip offline')。

现在,作为一个代码审阅者,您不会考虑代码的总体结构,也不会考虑编写此代码的程序员为什么使用Ping或Popen。你觉得有什么问题吗?如果没有,请考虑两个问题:波本的本质是什么?如果您不知道或没有使用过Popen,请不要查找它并猜测此函数的用。在这个程序中,Popen要执行的命令是什么?既然 popen 后面执行的语句中的 host 变量是由用户输入的,那恶意用户是不是可以输入一个localhost whoami 呢?这样 popen 执行的代码就变成了 ping -c 1 -t 1 localhost whoami。注意,就算上述例子中没有将运行结果直接打印出来,但没打印出来并不代表代码没有运行。例如如果我直接输入 host 为 localhost whoami的话,输出结果还是 IP 存在, 但这并不代表 whoami 命令没有运行,我们依旧可以建立一个 Reverse Shell。为了验证结果,我们在代码里面让 result 被打印出来。

这种技术称为命令注入。如果普通程序员没有遇到这种问题,他们就不会碰这种技术。当他们看到上面的漏洞代码时,他们会觉得没有问题。他们至多认为这有点不愉快,但能反映出第一时间安全漏洞的少数人是少数。这听起来像是一种简单的技术,比反向和动力提升简单得多。但这项技术很有创意,有低下限和高上限。例如,我们现在知道上面的问题存在,所以在输入阶段中过滤一些关键字是可以的。在这个问题中,我们希望用户输入一个IP地址,所以我们需要直接过滤掉空间。普通IP地址中没有空格。

我认为它在脆弱性敏感度和创造力方面都很强。在CVE、黑客论坛等场所提高脆弱性敏感度需要花费大量时间,而创造力只有靠天赋和运气才能提高。你可能认为有很多方法可以避免这个例子。首先,我承认这个例子是一个暂时的例子,这是不好的,但请注意,我的例子是非常简单和不成熟的。在现实的红蓝战场上,以SQL注入为例,经过这么多年,我们能完全避免它吗?我记得今年年初黑网曝光的收藏数据库,1000克各种注入数据库,涉及世界各地的各种论坛,甚至包括一些银行、一些人口办公室和一些政府机构。代码思想是有限的,创造力是无限的。

黑客级别的编程人员工资能拿多少?

黑客级别的编程人员工资会有一万以上一个月;

编程人员工资不定

实习生低的可能就800 有多年开发经验的也就是黑客级别的平均8-9K;

主要还是看地区

一般来说有经验的程序员的工资都很高;

4条大神的评论

  • avatar
    访客 2022-10-26 下午 03:35:21

    拿多少?黑客级别的编程人员工资会有一万以上一个月;编程人员工资不定 实习生低的可能就800 有多年开发经验的也就是黑客级别的平均8-9K;主要还是看地区一般来说有经验的程序员的工资都很高;

  • avatar
    访客 2022-10-26 上午 06:59:45

    使用过Popen,请不要查找它并猜测此函数的用。在这个程序中,Popen要执行的命令是什么?既然 popen 后面执行的语句中的 host 变量是由用户输入的,那恶意用户是不是可以输入一个localhost whoami 呢?这样 popen 执行

  • avatar
    访客 2022-10-26 下午 03:38:14

    件工程师,他们喜欢自嘲“码农”或者“搬砖的”。等级一般分初级、中级、高级和资深,主要工作是根据公司的业务需求(主要是产经的脑洞)设计软件编写代码。需要熟练掌握至少一门语言,比如Java。黑客:不要以为上传木马啊盗号啊破解软件啊翻个

  • avatar
    访客 2022-10-26 下午 12:08:15

    般能通用多种编程语言,但不会经常敲业务代码。他们更侧重于找出软件的破绽,发现系统的漏洞。其实现在很多互联网公司的首席安全管理都是名副其实的黑客,只不过他们更注重防守,而不是主动攻击。当然,黑客也有好坏之分。好黑客又称红客,出于检测安全为目的,不以恶意攻击为目的。而坏黑客,以非法入侵、破坏、勒索

发表评论