网络安全的重要性

前言
昨天晚上有朋友将公网上的一台 redis 密码设置为 123456，并且觉得没什么影响，再结合我之前毕业设计时被删库勒索，以及工作中碰到的网络安全相关的事情，就有了本篇感想，网络安全离我们并不远！

毕设 MongoDB 被删库
哪是答辩前的一天，我发现系统无法登录了，查看日志，报 error not found，连接数据库一看，好家伙，新闻报道中的勒索事件就发生在了我身上。

说实话，当时看到这个还有点小激动，甚至发了一条朋友圈（第一次碰到这种事，且由于数据不是很珍贵，跑一遍代码就重新生成了）

后台查看 mongo 的日志，发现不存在暴力破解密码的现象，黑客直接登录，然后一上来就是 drop（换句话说，即使我给了他 BTC，我的数据也不可能恢复）

我思来想去，终于想起来，我把配置文件提交到 Github 上了，里面的密码恰好是我 mongo 的密码，且有段时间仓库还是 public 的，不过奇怪的是，配置文件中用的是 mongodb://127.0.0.1:27017 , 并不是我服务器的 IP，至于黑客是如何搞到服务器 IP 的，就不得而知了。

这儿要强调的是，敏感数据不可提交到 Github 等公共仓库，听搞安全的同事说，这世上不知道有多少台扫描器在 24h 监控着 Github 上的敏感数据。

摄像头直播

哪天是测试部的同事在测试弱口令漏洞，结果就发现了一台公网上的摄像头，用户名 root ，密码 admin123，然后我就登录了上去，看他们在厨房直播做饭。（是一家餐馆的摄像头）

还好是厨房，这要是家里的摄像头，隐私全没了。。。

Harbor 任意管理员注册漏洞
由于业务需求，3月份的时候，我给我们部门部署了一个公网 harbor，当时开发任务又多又急，部署完测试能用后，就一直没有去管过它。(用户注册功能也没关！！！)

直到前几天排查 harbor redis 内存占用过高问题时，瞄了一眼用户管理，发现问题不简单，好几个奇怪的用户，部门群里问了大家，都说不知道。

后来一查，是 harbor 有漏洞，并且这个漏洞利用特别简单，就是在注册 payload 中添加 “has_admin_role”:true 即可。Harbor任意管理员注册漏洞复现||CVE-2019-1609

小结
本篇文章结合三件发生在我身上的网络安全事件，旨在提醒大家，网络安全离我们不远，希望大家能学习一些基本的安全常识，保护自身财产不受损失。

网安&学习资料包2

基于最新的kali讲解，循序渐进地对攻防剖析。适合不同层次的粉丝。我希望能为大家提供切实的帮助，讲解通俗易懂，风趣幽默，风格清新活泼，学起来轻松自如，酣畅淋漓！

移动端逆向学习

学习资料工具包

压箱底的好资料，全面地介绍网络安全的基础理论，包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等，将基础理论和主流工具的应用实践紧密结合，有利于读者理解各种主流工具背后的实现机制。

面试题资料

独家渠道收集京东、360、天融信等公司测试题！进大厂指日可待！

无偿领取上述资料可扫码领取~