想成为能至少不漏报低水平黑客对网站的入侵的人的话，需要看什么书？至少需要多少时间？

真正的黑客是不会留痕迹的

出差时我喜欢办图书馆阅读证，我有全国很多城市的阅读证，国外也有好几个，这些城市图书馆中关于黑客和安全的书我都看完了，另外相关的网络/编程/系统/硬件/加解密相关也看了很多，你猜我水平怎么样？
这个领域方向很多，足有几千个，每个方向都很难很难达到顶级，电影里的那种可当武侠小说看

可能是我的偏见。我觉得如果不是为了建立理论体系，都不要从书本入手。书本上面的信息都是落后至少一个时代的。特别是你预期到自己可能没有那么多的精力分配的时候。

直接找按照你需求的方向按照关键词去找到对应分享，然后分析不同的路线找到一条已经有前人淌过的并且能让你满意的路更实际一些。
而且你也可以通过评论或者邮件去和前人交流沟通，去快速拉平你的信息差。

很多时候考虑的太多了，不如直接开干。一边干一边学，会比你现在瞻前顾后好得多。你现在不知道就频繁备份，有问题直接快照恢复就好了。
如果真的如你所说会被各种攻击，你很快就会在各种攻击中成长成安全领域的专家。

@dfkjgklfdjg #3 我会备份的。但是如果我备份的是被黑客修改过的东西怎么办？我就是因为怕备份的是错误的东西才这么在意入侵检测的。

先理解概念， [入侵检测] ：“入侵”是一个需要被定义的的事情，一般来说 “主人” 不愿意你做的事情，都可以称为“入侵”/“攻击”。比入侵检测，更大的概念是 “异常检测”。而异常检测在：大型活动、机械/工业 等都存在。一般都是，先意识到发生了攻击、才知道要检测。

入侵检测，学啥入侵分析分析？都没啥用。常见的入侵，发生在 中间件漏洞（ apache, wordpress 等）、业务漏洞。前者有多款商业/免费 ids 检测、认字就行；后者你要结合业务、所以学 “入侵检测” 还不如学习业务研发（更能定义和发现攻击/入侵）。

### 入侵检测关键

异常检测，在 人 不在术。对 入侵/攻击/异常 的定义，比分析要重要。而往往 ids 检测不出的攻击，需要人的直觉去感受...

这里我觉得可以切换问题、找到更直观的答案：需要看什么书/技术、才能给 总统 做好 保镖 ？

### 入侵检测现状

入侵检测上工具就行了，认字就行了。这样就能把 防御 拉到一个中上的水准。再往下，也下不了了、工具已经拉高了防御下限。再往上，要看人的直觉和运气了。

@shendaowu #4 ，就再往前恢复啊…这有啥的，数据的备份、业务的备份和系统的备份又不是一起备份的。

学习 1 个月，复现漏洞半个月，实战 3 个月。可以达到中等水平，剩下的就是持续的学习、实战、学习代码审计。

@dsareopsar 不留痕咋那么多被抓的. 只能说黑客尽量会擦除或掩盖痕迹, 但是不可能不留痕.

多学学缝纫机吧, 至少进去了有优势

@dfkjgklfdjg #6

我很可能是在钻牛角尖，甚至可能是在杠。如果黑客做的修改我发现不了怎么办？并且还对用户造成了麻烦的话。我感觉还是从源头上尽量检测出尽可能多的入侵比较好，如果我确实能检测出来一些的话。

我突然想到个方法，就是对比多个备份中的内容，虽然不完美但是感觉也许是个不错的补充。我的网站会实现历史版本的功能，如果历史版本变了很可能说明出问题了。但是我感觉好麻烦，想不到简单的实现方法。我想省钱，我只想备份数据库。代码也会备份。系统盘备份还是免了，不想花那个钱。你说的业务备份是什么？我没在网上搜到。

装一个 Suricata

几万亿的项目啊，至于吗

@shendaowu 系统备份还是需要的，比如说 /t/626230 帖子中出现的常用命令被污染的情况。按你的现状估计就只能快照恢复了。

说的是业务代码的备份，但是你自己开发自己运营不备份也没问题，出现问题直接重新上传就可以了。
很多时候做项目交付出去的代码不会持续迭代会锁定在交付的版本上，所以需要备份业务代码。

这不就是安全运营干的活吗

这个行业的知识迭代速度是惊人的，但同时知识流动又存在壁垒，你如果只是想自己的网站不被入侵，可以让 AI 给你列个最佳实践的单子，做完就可以搞定大部分的风险了，没有必要去啃过于专业的知识，如果你的内容真的特别重要，花钱找专业的人验证就好了

去医院看一下心理问题

抓紧修漏洞，设置补丁一放出来就能响应立马升级，跟黑客写批量入侵脚本赛跑
另外就是注意配置相关的问题，web 安全里配置错误导致安全风险的案例也不少

作为安全行业的，不推荐看书，确实迭代较快，看视频都更好一些。

不过你的需求我可以解决，安装 WAF 和 HIDS 即可，WAF 推荐 SafeLine ，HIDS 推荐 HIDS ，而且都可以自动化部署。

PS：感觉上面的人都挺不重视安全的，不过这样也好，对网安行业是利好，越不重视越利好，也是没谁了。

@Zhancha 打错了，HIDS 推荐 wazuh 。

@Zhancha #19 被卷坏了啊。qaxnb123!!!

从业的都知道乙方一年比一年卷，安全从重视开始过得还是挺好的，后面就哈哈哈了，还不如安全不被重视前为了吃饭去干脱裤子呢

本末倒置，不关系业务，关心这些有的没的，业务好这些都不是问题，可以雇专人解决

用成熟的 web 框架如 rails ，再看一遍 https://guides.rubyonrails.org/security.html ，端口只 80 和 443 ，基本就不有漏洞了

楼里怎么这么多冷嘲热讽的？生活肯定过得很苦吧

你先做出来你的东西，放到公网上，看有没有价值被 attack 先，这个领域的知识都是 cs 基础+各种实践，书上能给出来的都是过时的东西。

@Iakihsoug

友情提醒一下你，以及后面回帖的朋友，先看看 op 的历史发言记录，再想想有没有必要花费铜币回复这个帖子。

t/1154647
t/1154112
t/1153581

我不想评价太多，我只是觉得 op 已经陷入自己的空想艺术中了。

个人认为，op 填补了计算机领域没有民科的空白。

实际的安全运营也是靠各种设备, EDR/态势感知/WAF, 再过滤,剩下的分析

@studyingss #26 ，早些时候已经在隔壁 sf 发过好几个类似的问答了。
有激情和钻研的动力是好的，就是奇思妙想太多然后一头扎进自己的预设的幻想里面出不来。
能感觉出来一直想要做的 ”尽善尽美” 导致表现得瞻前顾后，比较典的就是这个帖子 /t/1140798

其实网络对抗，是成本的对抗。最经典的就是 ddos ，防御成本远远大于攻击成本，所以至今为止，ddos 都没有好的防御方法（成本低且又有效的防御方法）。

在防御的角色中，不想漏报任何入侵，也不太现实。任何入侵，严格意义上来说，是包含 0day 的。而安全设备只能防御已知的漏洞。

传统的防御方法是纵深防御，即每个入侵的杀伤链中，都有对应的防御措施，就像是战争中阵地战挖战壕一样，有一道防线，二道防线，三道防线，攻击者要实现入侵的墓地，要突破所有防线。

现在比较主流的防御方案的是零信任。零信任的核心思想是，把每个访问系统的人，都视为不可信任的人(潜在的攻击者)。要访问系统，必须要经过身份验证(账户和密码+手机验证码，甚至是+人脸)。

上了零信任后，网络安全问题就大大降低复杂度了，企业只需要关心员工的终端安全和社会工程学方面的防御即可。关注终端安全是为了防止用户的登录凭证被窃取，关注社会工程学是为了防御攻击者向员工发送钓鱼邮件。但零信任，只适合公司的内部资产和系统。

如果是公共服务，开放给互联网访问的公司业务，可以采用纵深防御的方案。

还有，学习安全，研究安全，要始终相信：没有绝对安全的系统。

如果要百分百防御，这是不可能的，别魔怔了。安全是动态的，即使是当下很安全，但随着时间的流逝，随着安全研究人员和黑产挖掘出更多漏洞，系统也会变得不安全。所以，没有百分百安全的系统。

作为安全行业，我觉得要想防想学会攻，我个人是从 DVWA 开始的，github 可以搜到该靶场，其次联系百度能搜多很多比较详细的。

其次防守这个都是动态的，没有绝对安全的系统。

“没有攻不破的系统，只有不努力的黑客。”

加一个开源 waf 在前面就行了