谈谈安全圈里的“猥琐”

小编和朋友聊天的时候，曾经说过安全其实是门艺术而不仅仅是技术。就拿一把锁打比方：

多数人只知道拿钥匙开锁，这是一般用户；

认真从外部观察过锁的人会想到通过拨锁舌也能开锁，这是比较好的程序员；

在相应位置设计一个挡片阻止直接拨锁舌，这是漏洞防护；

学过开锁的人，知道怎么通过拨弹子这种通用的方法把锁打开，这是一般的信息安全技术人员；

把锁拆开，观察内部原理，这是逆向工程；

用逆向工程技术全面透彻地分析某种锁的内外结构、运作细节，设计出甚至无人谈及过的开锁方法，这就是安全研究。

人们都说搞安全的猥琐最重要，今天小编要说的“猥琐”，可不是你们想象中的猥琐哦~

就如同开锁的故事一样，所谓安全圈里的“猥琐”，实际上就是基于对某个领域信息的全面掌握，提出达成某个目的的巧妙方法。

比如春节的时候人家都是用手摇红包，但是有人却把手机放在振动器上。

比如和象棋冠军下围棋，和围棋冠军下象棋。

比如自称是备胎，却在100个美女那边排了队。

比如你个人信息严防，但是我却通过你爹妈社工你。

比如群主为了增加群的打开率，就把自己的昵称改为：你已经被群主移出群聊。

比如写个锁屏程序，输入密码1234进入的是访客模式，输入密码5678才是真正的桌面。

周星驰老电影《九品芝麻官》里有句话：当贪官要奸，当清官更要奸，否则你怎么斗得过他们？

要像坏人一样去思考。攻击者都是非正常思路去使用产品/服务，不换个角度去思考，那跟普通用户有啥区别？怎么发现漏洞？若想成功对抗整个团队，那么你的思路必须猥琐、奇葩，是正常人想不到的点。

记住：猥琐发育，别浪~