c*******e
发帖数: 373 | 1 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
面。
现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
不会浪费。
整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
完的。我是做这个方面的所以更了解内情。
可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
戳西捣捣,结果到处都是捅出来的窟窿。
窗户没关,大家一眼就看见。软件中某个地方有个漏洞,除非花大量时间仔细分析代码
逻辑,否则根本看不见。自动化工具效率高,但是只能发现特定类型的问题,而且误报
也往往很严重,仍然需要大量人工分析。
后面5年,10年,20年,信息安全状况只能是越来越严重。而目前信息安全人员已经是
严重紧缺。很多公司几个月、甚至1年都找不到一个合适的人,尤其是既懂安全也懂开
发的。因为前些年,所谓搞安全的大部分都是反病毒、反恶意软件、网络、主机、系统
安全方面的,做安全开发、代码安全方面的人员很少。
现在每个startup,每个中型it公司,每个中大型公司的每个产品线,都需要安全开发
人员。像我过去几个月,除了FLG这样的公司没有收到hr的主动骚扰,其他像uber、
airbnb、salesforce、netsuite、citrix、netflix、intuit等等,不停的有hr联系我
,有些在我拒绝后过了两个月,职位还是空缺,然后又联系我。
希望这些空缺能有国人兄弟们填上。目前这个领域看起来烙印的比例还不高,中国人还
挺多,老美也不少。大家如果在纯写代码方面感觉没有大的发展前途的,强烈建议往这
个方向发展。将来如果自己想做startup,做安全也是个更容易进入的领域。
大家如果有具体的问题,欢迎提问,我会尽量回答 |
B*******k
发帖数: 356 | 2 请问您做什么方面呢,甲方的security engineer还是乙方的threat incident
handling?
还是researcher? |
z****0
发帖数: 4413 | 3 安全会找中国人? 估计天天被fbi盯吧
【在 c*******e 的大作中提到】
: 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
: 立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
: 面。
: 现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
: 进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
: 不会浪费。
: 整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
: 完的。我是做这个方面的所以更了解内情。
: 可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
: 部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
|
t**r
发帖数: 3428 | 4 。。。服了。
这不是误人子弟么。
作安全的,美国 公民都不够 要有clearence. |
B*******k
发帖数: 356 | 5 bullshit
政府相关的企业才要求clearance,比如booz allen hamilton或者lockheed martin
即便是lockheed martin的安全职位也有不要求citizen的h1b工作,这是他家recruiter
亲口说的
【在 t**r 的大作中提到】
: 。。。服了。
: 这不是误人子弟么。
: 作安全的,美国 公民都不够 要有clearence.
|
x******r
发帖数: 3489 | 6 做安全方面的,大都在算法上死磕。
这块,门槛真心不低。
和你看法近似。安全这块大有可为。
【在 c*******e 的大作中提到】
: 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
: 立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
: 面。
: 现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
: 进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
: 不会浪费。
: 整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
: 完的。我是做这个方面的所以更了解内情。
: 可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
: 部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
|
c*******e
发帖数: 373 | 7 没有问题啊,到目前为止我只看到过一个职位,要求是美国公民身份,要求security
clearance,其他的没有类似要求
【在 z****0 的大作中提到】
: 安全会找中国人? 估计天天被fbi盯吧
|
c*******e
发帖数: 373 | 8 我是甲方的
做security researcher也不错,短期内待遇不高,因为安全公司一般都比较穷,但是
技术积累,出点书、搞几个patent,在安全会议上讲讲,然后很容易获得甲方的喜爱
【在 B*******k 的大作中提到】
: 请问您做什么方面呢,甲方的security engineer还是乙方的threat incident
: handling?
: 还是researcher?
|
c*******e
发帖数: 373 | 9 多谢澄清,我就不用啥补充的了
recruiter
【在 B*******k 的大作中提到】
: bullshit
: 政府相关的企业才要求clearance,比如booz allen hamilton或者lockheed martin
: 即便是lockheed martin的安全职位也有不要求citizen的h1b工作,这是他家recruiter
: 亲口说的
|
c*******e
发帖数: 373 | 10 是的,适合对自己能力有自信,不擅长吹牛经营,想靠技术吃饭的人
作为马工,技术的高低很难体现出来。做安全,技术够牛的话,还是容易闪光的。别的
不说,从一个众所周知比较安全的系统里找出个把严重漏洞了,可以比较快速的获得知
名度和认可
【在 x******r 的大作中提到】
: 做安全方面的,大都在算法上死磕。
: 这块,门槛真心不低。
: 和你看法近似。安全这块大有可为。
|
|
|
e*******o
发帖数: 4654 | 11 lz 列个书单吧
谢谢
【在 c*******e 的大作中提到】
: 是的,适合对自己能力有自信,不擅长吹牛经营,想靠技术吃饭的人
: 作为马工,技术的高低很难体现出来。做安全,技术够牛的话,还是容易闪光的。别的
: 不说,从一个众所周知比较安全的系统里找出个把严重漏洞了,可以比较快速的获得知
: 名度和认可
|
H*******g
发帖数: 6997 | 12 谢谢LZ的信息,不过安全这个领域大概要做点啥?是写的代码要符合STIG规范呢还是打
补丁?俺完全外行。 |
v******d
发帖数: 227 | 13 design review, code review 加static code analysis 和fuzzing吧
【在 H*******g 的大作中提到】
: 谢谢LZ的信息,不过安全这个领域大概要做点啥?是写的代码要符合STIG规范呢还是打
: 补丁?俺完全外行。
|
c*******e
发帖数: 373 | 14 我大概列一下吧。
学安全我觉得最好是在工作中学习,比如在自己的组里,主动挑头,研究一下本项目安
全开发上面可以做哪些事情?有目的的,逐渐研究学习。如果为了学而学,可能会比较
茫然,因为分支领域多而杂。
安全开发流程
============
微软是先驱,他们的主页,应该足够学一阵子了
https://www.microsoft.com/en-us/sdl/
先从安全开发流程看起,也避免了过早陷入大量技术细节,导致茫然
web安全开发
===========
www.owasp.org 是一个web安全开发的综合性网站,有用的信息挺多
1. https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf 是安全测试指南
2. 安全开发指南也有,但是目前还是未完稿状态。网站上能找到链接,我就不贴了
3. 著名的OWASP top 10,搞安全的跟人打招呼专用
https://www.owasp.org/index.php/Top_10_2013-Top_10
4. https://www.owasp.org/index.php/Cheat_Sheets 介绍各类常见安全问题的基本解
决思路
书的话,可以看看黑客大曝光: http://www.amazon.com/Hacking-Exposed-Applications-Third-Edition/dp/0071740643
有中文版,电子书应该也能找到
密码学
======
密码学可以先看一遍这个打打底:http://www.amazon.com/Applied-Cryptography-Protocols-Algorithms-Source/dp/1119096723
我记得也有中文版
其他的PKI,SSL/TLS,知识比较杂,建议在网上搜搜资料看
认证、授权
==========
SSO, SAML, OAuth, OpenID,Google都能搜到不错的内容可以自己看
C/C++/native程序的安全,没有太红火,因为攻击一般比较困难,不像web是标准协议
而且太开放了。早些年主要就是buffer overflow,现在已经少多了,可以google了解
一下,先不深入学习应该也可以
【在 e*******o 的大作中提到】
: lz 列个书单吧
: 谢谢
|
H******7
发帖数: 1728 | 15 搞這個可以,兴趣在可以搞
为了赚钱养家 不靠谱。
【在 c*******e 的大作中提到】
: 我大概列一下吧。
: 学安全我觉得最好是在工作中学习,比如在自己的组里,主动挑头,研究一下本项目安
: 全开发上面可以做哪些事情?有目的的,逐渐研究学习。如果为了学而学,可能会比较
: 茫然,因为分支领域多而杂。
: 安全开发流程
: ============
: 微软是先驱,他们的主页,应该足够学一阵子了
: https://www.microsoft.com/en-us/sdl/
: 先从安全开发流程看起,也避免了过早陷入大量技术细节,导致茫然
: web安全开发
|
c*******e
发帖数: 373 | 16 从程序的逻辑角度而言:
1. 用户管理/登陆/验证/授权/会话管理
保证数据不被非法访问,只有合法用户,而且只能访问自己权限内的数据
2. 数据的保护
包括Internet通讯用TLS/SSL
数据存储时,如果是敏感数据,比如信用卡号,需要加密
3. 各种语言级别的问题
比如SQL injection, cross site scripting, buffer overflow等等
STIG是政府搞的规范,算是大而全的,如果能做到完全符合它的要求,那么你的产品安
全水平应该已经很不错了。
就算不打算通过它的认证,把它的规范当做安全开发的学习资料也不错
具体在安全开发流程里,上面那位说的,security design, secure coding,testing
,主要是这几步了
你说的打补丁,我估计是说如果用了第三方开发库、或者服务器组件,需要及时打安全
补丁吧?这个是毫无疑问的,不过就没啥技术含量了
【在 H*******g 的大作中提到】
: 谢谢LZ的信息,不过安全这个领域大概要做点啥?是写的代码要符合STIG规范呢还是打
: 补丁?俺完全外行。
|
c*******e
发帖数: 373 | 17 如果打算一直当马工,有安全方面的知识,在找工作时是个有利的加分因素
如果学得够好,够格并且愿意成为专职的安全工程师,当然会更受雇主们欢迎
不知道你说赚钱养家不靠谱,从何说起啊?
【在 H******7 的大作中提到】
: 搞這個可以,兴趣在可以搞
: 为了赚钱养家 不靠谱。
|
e*******o
发帖数: 4654 | 18 多谢
【在 c*******e 的大作中提到】
: 我大概列一下吧。
: 学安全我觉得最好是在工作中学习,比如在自己的组里,主动挑头,研究一下本项目安
: 全开发上面可以做哪些事情?有目的的,逐渐研究学习。如果为了学而学,可能会比较
: 茫然,因为分支领域多而杂。
: 安全开发流程
: ============
: 微软是先驱,他们的主页,应该足够学一阵子了
: https://www.microsoft.com/en-us/sdl/
: 先从安全开发流程看起,也避免了过早陷入大量技术细节,导致茫然
: web安全开发
|
n******r
发帖数: 21 | 19 Great information. Thanks for sharing. |
g****s
发帖数: 340 | |
|
|
b**********5
发帖数: 7881 | 21 why should i do information security if i have no interest in it?
【在 g****s 的大作中提到】
: 多谢lz。有些老中目光狭窄。
|
x******r
发帖数: 3489 | 22 计算机安全方面,做到当前市场最好,才可能有客户买账,有利润。
就是盈利的门槛高,可盈利点逼格高。
很多做安全方向的,改进几个算法发几篇论文毕业了,一辈子也就是打酱油。
安全这块出成果,挺难。
努力很久,不出实质成果的,痛苦。
一旦出成果,能逐渐投入应用,才有利润空间。
不如把精力用在应用面广,逼格不高的东西,搞熟练了。贴哪哪合适。
如果不是依靠企业,高校,专门的项目做平台,自己搞,几乎是不可能的。
所以就得挤挤,进到相关的组,去用心完成几个水平不低的工程。
普通马工,不是安全方向的,这块内容完全可以不沾,浪费时间。
赚钱养家,找点通用性强,难度适中的,能打工就行。
个人追求不同,支持楼主吧。
【在 c*******e 的大作中提到】
: 如果打算一直当马工,有安全方面的知识,在找工作时是个有利的加分因素
: 如果学得够好,够格并且愿意成为专职的安全工程师,当然会更受雇主们欢迎
: 不知道你说赚钱养家不靠谱,从何说起啊?
|
x******r
发帖数: 3489 | 23 你对什么有兴趣。
【在 b**********5 的大作中提到】
: why should i do information security if i have no interest in it?
|
o**********e
发帖数: 18403 | 24 赞! 说得很对。 我转
UT 也有CYBERSECURITY PROGRAM。
老中真的应该LISTEN TO LZ。 DEMAND确实
巨大。 老中应该正直诚恳,帮老美重建
被蛀得千疮百孔的IT。
请问书/课清单?
多学IT安全至少可以防身,保饭碗。
这很重要啊。 |
j*******e
发帖数: 674 | 25 我们这给Lockheed martin送信的UPS司机都需要clearance
bullshit政府相关的企业才要求clearance,比如booz allen hamilton或者lockheed
martin即便是lockheed martin的安全职........
【在 B*******k 的大作中提到】
: bullshit
: 政府相关的企业才要求clearance,比如booz allen hamilton或者lockheed martin
: 即便是lockheed martin的安全职位也有不要求citizen的h1b工作,这是他家recruiter
: 亲口说的
|
o**********e
发帖数: 18403 | 26 Coursera 也有 CYBERSECURITY SPECIALIZATION。
https://www.coursera.org/specialization/cybersecurity/7
学习防身自卫,诚信友善。
我就不信老中打不过PPT侵略军。 |
o**********e
发帖数: 18403 | 27 顺便给老文做个广告。
http://www.mitbbs.com/article_t/JobHunting/32675607.html
-------- 转 --------------------
发信人: ET (Go on. Be a Tiger.), 信区: Programming
标 题: Re: 建议马工们有机会多搞信息安全、安全开发方面的东西 (转载)
发信站: BBS 未名空间站 (Sun Jun 14 13:16:45 2015, 美东)
我做了2年和安全和加密有关的产品开发,不得不同意这个。
在一般大点的公司,develop for security 我很难相信那些产品经理能懂,或在乎。
用软件比如iexplore去那自己iphone下那些app sandbox里内容,可以看出一堆明文暴
露信息的应用。
当然了,第一个问题应该是为什么你的手机落入别人手里而且手机还没密码。
就和把电脑送出去让别人看一样。
在stanford读了这门课,https://crypto.stanford.edu/cs155/
学了不少攻击的技术,苦无用武之地。
当然了,很多网站,app,更本不需要这些。
一个简单的,box的access token是universisal的,在网站上登录后拿回的token,放
到mobile app上,照样可以make request,拿到内容。去年的。现在不知道改进了没。
但parse在这点改进了。一个device,一个token |
c*******e
发帖数: 373 | 28 真正喜欢技术的人,对于安全应该都会是有兴趣的
人家找我的漏洞,攻击我,我尽量建立一个完整的防御,这个也需要写代码,但是比写
代码更有乐趣
【在 b**********5 的大作中提到】
: why should i do information security if i have no interest in it?
|
B*******k
发帖数: 356 | 29 也许吧,我只是转述他家recruiter给我说的东西
【在 j*******e 的大作中提到】
: 我们这给Lockheed martin送信的UPS司机都需要clearance
:
: bullshit政府相关的企业才要求clearance,比如booz allen hamilton或者lockheed
: martin即便是lockheed martin的安全职........
|
w*s
发帖数: 7227 | 30 学了你就不会总是被拒,然后去咖啡店看不到帅哥而茫然了。
学了你可以去找小鲜鸭,xxx完了聊聊天,哇塞,小鲜鸭也在学信息安全
【在 b**********5 的大作中提到】
: why should i do information security if i have no interest in it?
|
|
|
w*s
发帖数: 7227 | 31 赞!
【在 c*******e 的大作中提到】
: 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
: 立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
: 面。
: 现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
: 进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
: 不会浪费。
: 整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
: 完的。我是做这个方面的所以更了解内情。
: 可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
: 部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
|
H*******g
发帖数: 6997 | 32 STIG很多规矩让人很不爽。
譬如他们强制要求用SQL数据库的时候,不能直接访问TABLE,必须通过VIEW来读取。然
后必须用STORED PROCEDURE写入数据。。。我是做.NET的,所以我上次问DISA我能否直
接用Entity Framework读TABLE,能否直接写入,人直接回答说不知道啥是Entity
Framework...导致我的工作量莫名其妙的增加了几倍。。。呵呵 |
c*******e
发帖数: 373 | 33 规范就是这样的,它制定时,基于某些考虑,认为那样做最好的选择
但是软件产品多种多样,开发环境、运行环境都不同,也许那个强制要求在一个具体的
情况下变成了低效的、错误的选择。但是如果要通过规范认证,不得不照做啦
【在 H*******g 的大作中提到】
: STIG很多规矩让人很不爽。
: 譬如他们强制要求用SQL数据库的时候,不能直接访问TABLE,必须通过VIEW来读取。然
: 后必须用STORED PROCEDURE写入数据。。。我是做.NET的,所以我上次问DISA我能否直
: 接用Entity Framework读TABLE,能否直接写入,人直接回答说不知道啥是Entity
: Framework...导致我的工作量莫名其妙的增加了几倍。。。呵呵
|
H*******g
发帖数: 6997 | 34 哈哈,是啊。非常感谢你详细的信息。
【在 c*******e 的大作中提到】
: 规范就是这样的,它制定时,基于某些考虑,认为那样做最好的选择
: 但是软件产品多种多样,开发环境、运行环境都不同,也许那个强制要求在一个具体的
: 情况下变成了低效的、错误的选择。但是如果要通过规范认证,不得不照做啦
|
w********m
发帖数: 1137 | 35 请问楼主,现在搞安全用的多的语言是C还是python啊 |
s********r
发帖数: 2308 | 36 我做安全的,真心不建议往这方面转。
1.门槛太低。这个行业注重经历超过学历,大量充斥着本科乃至高中毕业后就开始从系
统管理员混起的老鸟,中间再拿公司的钱不停地培训和弄个野鸡大学的Master学位也很
容易。
2.国籍歧视。在cyber领域里中国被妖魔化的很严重. 做insider threat的知识产权保
护方面总会拿中国人说事儿。做得比较高大上的必然要接触所谓的threat
intelligence,这个常常要跟三个字母的政府机构打交道,中国人受限制。
这个行业里的高大上们(CISO)常常要跟执法机构或者情报机构打交道,高管们也很多
都是有执法机关或者情报机关背景的。
【在 c*******e 的大作中提到】
: 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
: 立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
: 面。
: 现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
: 进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
: 不会浪费。
: 整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
: 完的。我是做这个方面的所以更了解内情。
: 可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
: 部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
|
c******3
发帖数: 6509 | 37 这块门槛没你想的那么低,首先做安全的,要学会攻击。
你以为是几十年前,随便就能进入党国科研机构的中心计算机,代码数据啥之类随便下
载。
光这个上面投入的时间就很大了,还需要多年实践磨合,跟踪最新技术,不是想转就能
转的 |
o**********e
发帖数: 18403 | 38 这东西是防身利器。
您这逻辑就好像蒙古元朝
歧视老中,所以老中
就别学武功就崛起屁股给
蒙古人X就行了一个路道。
管他怎么歧视人。
老中正大光明,就是要
学习网络安全。以后即使
不做也应该知道,否则被人
栽赃抓辫子就死菜。
爱尔兰人犹太人19世纪也被歧视。
日本人1970年代也被人歧视,
烙印1980年代也被歧视。
谁没有被歧视?
自由平等,宁有种乎?
老中被妖魔化,难道就连
学习都不学了吗?
被妖魔化,就直接反击。
http://www.mitbbs.com/article_t/SanFrancisco/34359023.html
团结起来,互相帮助/黑客(自己个人/公司的软件),
正直诚实,有这么难吗?
烙印的软件巨头组织 NASSCOM 正在组织HACKATHON,
CYBERSECURITY方向发展。 老中不应该软弱啊。
要团结起来自保。 但是要注意安全。 表做ILLEGAL的
事情。
http://timesofindia.indiatimes.com/tech/tech-news/NASSCOM-launc
【在 s********r 的大作中提到】
: 我做安全的,真心不建议往这方面转。
: 1.门槛太低。这个行业注重经历超过学历,大量充斥着本科乃至高中毕业后就开始从系
: 统管理员混起的老鸟,中间再拿公司的钱不停地培训和弄个野鸡大学的Master学位也很
: 容易。
: 2.国籍歧视。在cyber领域里中国被妖魔化的很严重. 做insider threat的知识产权保
: 护方面总会拿中国人说事儿。做得比较高大上的必然要接触所谓的threat
: intelligence,这个常常要跟三个字母的政府机构打交道,中国人受限制。
: 这个行业里的高大上们(CISO)常常要跟执法机构或者情报机构打交道,高管们也很多
: 都是有执法机关或者情报机关背景的。
|
k********4
发帖数: 858 | 39
同意这个观点,特别是第二点。安全领域政府是大头,老中想接触政府的工程简直难于
登天。
【在 s********r 的大作中提到】
: 我做安全的,真心不建议往这方面转。
: 1.门槛太低。这个行业注重经历超过学历,大量充斥着本科乃至高中毕业后就开始从系
: 统管理员混起的老鸟,中间再拿公司的钱不停地培训和弄个野鸡大学的Master学位也很
: 容易。
: 2.国籍歧视。在cyber领域里中国被妖魔化的很严重. 做insider threat的知识产权保
: 护方面总会拿中国人说事儿。做得比较高大上的必然要接触所谓的threat
: intelligence,这个常常要跟三个字母的政府机构打交道,中国人受限制。
: 这个行业里的高大上们(CISO)常常要跟执法机构或者情报机构打交道,高管们也很多
: 都是有执法机关或者情报机关背景的。
|
o**********e
发帖数: 18403 | 40 LZ说得很清楚。
公司IT的安全实际上已经是巨大需求,
根本不需要接触政府的IT安全。
http://hackforchange.org/ |
|
|
t******i
发帖数: 483 | |
s******7
发帖数: 1758 | 42 要早看到就好了
前段时间一家大公司的web security team找我面试,我觉得背景相差太大就婉拒了
现在看起来,进去还真能成铁饭碗 |
c*******e
发帖数: 373 | 43 如果说的是做应用安全,或者叫安全开发的,当然语言基本上和你本身应用所用的语言
一样,比如java开发的系统,里面的安全api什么的,也是java的
【在 w********m 的大作中提到】
: 请问楼主,现在搞安全用的多的语言是C还是python啊
|
c*******e
发帖数: 373 | 44 大家还是在说在安全公司里面做安全服务、咨询、产品,这些方面吧
我已经在主贴尽量澄清了,我主要建议的是应用安全,或者说安全开发方向,也就是开
发和安全的跨界人才,这样的人才几乎所有自己做开发的it业界的公司都会需要的,一
般也不会有citizenship、国籍的问题
做安全也适合不想刷题的大龄码工
这个领域,说容易,没有门槛,那是小看它了。
但是说难也不难,我们老中码工,大部分都不怕技术挑战,有自己的编程功底做基础,
有机会自学或者在工作中学习,1年就可以入门。
现在很多大公司成立了自己的应用安全团队,很难招到人,所以内部转岗几乎都没有经
验要求。外面有2、3年实战经验的过来应聘,搞一个senior / staff头衔应该不困难。
【在 k********4 的大作中提到】
:
: 同意这个观点,特别是第二点。安全领域政府是大头,老中想接触政府的工程简直难于
: 登天。
|
B*******k
发帖数: 356 | 45 说实话,做安全的大牛还真没几个高学历或者科班出身的
国内的tk或者云舒,都是本科学医的
【在 s********r 的大作中提到】
: 我做安全的,真心不建议往这方面转。
: 1.门槛太低。这个行业注重经历超过学历,大量充斥着本科乃至高中毕业后就开始从系
: 统管理员混起的老鸟,中间再拿公司的钱不停地培训和弄个野鸡大学的Master学位也很
: 容易。
: 2.国籍歧视。在cyber领域里中国被妖魔化的很严重. 做insider threat的知识产权保
: 护方面总会拿中国人说事儿。做得比较高大上的必然要接触所谓的threat
: intelligence,这个常常要跟三个字母的政府机构打交道,中国人受限制。
: 这个行业里的高大上们(CISO)常常要跟执法机构或者情报机构打交道,高管们也很多
: 都是有执法机关或者情报机关背景的。
|
B*******k
发帖数: 356 | 46 2nd this
【在 o**********e 的大作中提到】
: LZ说得很清楚。
: 公司IT的安全实际上已经是巨大需求,
: 根本不需要接触政府的IT安全。
: http://hackforchange.org/
|
B*******k
发帖数: 356 | 47 安全的方向多种多样,找个感兴趣的方向做到底,一样不愁饭碗
公司一个年轻人,15岁开始hacking,多年ctf的经历也把他的技术磨练得很牛了,其实
现在连本科学位都没有。
搞安全,首先要有兴趣。
【在 c*******e 的大作中提到】
: 大家还是在说在安全公司里面做安全服务、咨询、产品,这些方面吧
: 我已经在主贴尽量澄清了,我主要建议的是应用安全,或者说安全开发方向,也就是开
: 发和安全的跨界人才,这样的人才几乎所有自己做开发的it业界的公司都会需要的,一
: 般也不会有citizenship、国籍的问题
: 做安全也适合不想刷题的大龄码工
: 这个领域,说容易,没有门槛,那是小看它了。
: 但是说难也不难,我们老中码工,大部分都不怕技术挑战,有自己的编程功底做基础,
: 有机会自学或者在工作中学习,1年就可以入门。
: 现在很多大公司成立了自己的应用安全团队,很难招到人,所以内部转岗几乎都没有经
: 验要求。外面有2、3年实战经验的过来应聘,搞一个senior / staff头衔应该不困难。
|
a*******y
发帖数: 559 | 48 SECURITY的PHD飘过。。。一会回来再多说说 |
s********r
发帖数: 2308 | 49 你还停留在技术层面,觉得当个architect就不错了。其实做安全技术是十分苦逼的事
情,技术更新速度的要求比普通码工高多了。
做企业安全的真正好处还是因为整天都跟风险控制和compliance打交道,更容易过度到
管理方向。但是当你在大企业里做到比较高的位置,都不用说波音洛马这类国防承包商
,仅仅是大的银行、电信公司、高技术制造公司这类地方,你就会体会到我说的国籍障
碍了。
【在 o**********e 的大作中提到】
: 这东西是防身利器。
: 您这逻辑就好像蒙古元朝
: 歧视老中,所以老中
: 就别学武功就崛起屁股给
: 蒙古人X就行了一个路道。
: 管他怎么歧视人。
: 老中正大光明,就是要
: 学习网络安全。以后即使
: 不做也应该知道,否则被人
: 栽赃抓辫子就死菜。
|
c********t
发帖数: 4527 | 50 This is a very good post.
I worked in the application security space for 15 years, I know there are
great demands for good consultant.
Anyone is interested in this space, feel free to discuss with me.
【在 c*******e 的大作中提到】
: 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
: 立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
: 面。
: 现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
: 进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
: 不会浪费。
: 整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
: 完的。我是做这个方面的所以更了解内情。
: 可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
: 部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
|
|
|
c*******e
发帖数: 373 | 51 你说的不错,我本来也想讨论一下管理方向,就算不做管理,提高交流能力和情商,对
以技术见长的中国码工也是巨大的价值,所谓内外兼修
做安全免不了有许多交流的需要,因为公司的安全不是一个人几个人能搞定的,安全人
员需要和不同部门的人员打交道,沟通、推动。这个是锻炼交流能力的好机会。
做安全苦逼,我倒没觉的。
本帖里,我一直强调的是应用安全或者安全开发。在我的公司里,我提供技术上的指导
和支持,提出安全标准和需求,对产品架构和设计方案做审核,从安全角度批准或者提
出修改意见、解决方案。虽然不是manager头衔,但是干的工作是比较上游的,manager
、director也不能overrule我,因为我是一个独立的方面,有些类似product manager
的角色。开发团队是具体实施者,还有program manager和release manager去推动流程。
主要是会议多,邮件多,文档多。基本没有什么schedule压力啊,加班什么的。做开发
安全,也不会有太多新技术。工作和技术直接相关,很具体,技术上有搞头,又不用陷
入一行行写代码难免的枯燥之中。
也不会像做compliance、IT security方面那么杂,很多时候就不是技术工作了。
也不像做安全产品比如应用防火墙什么的,那是一个十分被动的事情,被新的攻击花样
牵着鼻子走。
说是信息安全,里面可以分出5个、8个差别很大的领域,比如开发反病毒反恶意软件的
产品、开发防火墙、做VPN、做IT安全、做data center安全、做compliance、应用开发
安全、做应用安全代码扫描工具、做渗透测试扫描工具、做安全咨询。这些的每一个其
实距离都很大。
码工们,当然最近、最有价值的是应用开发安全方向了。
中国人被歧视,很少能做到美国企业高管,这也是个无奈的事实,不光是做信息安全会
有。
【在 s********r 的大作中提到】
: 你还停留在技术层面,觉得当个architect就不错了。其实做安全技术是十分苦逼的事
: 情,技术更新速度的要求比普通码工高多了。
: 做企业安全的真正好处还是因为整天都跟风险控制和compliance打交道,更容易过度到
: 管理方向。但是当你在大企业里做到比较高的位置,都不用说波音洛马这类国防承包商
: ,仅仅是大的银行、电信公司、高技术制造公司这类地方,你就会体会到我说的国籍障
: 碍了。
|
W***o
发帖数: 6519 | 52 我听说的是类似一种CATCH-22的窘境。
公司雇佣安全方面的人的时候有很强的顾虑,怕把不合格的人招进来,反而会坏事;所
以好多公司宁可是内部培养。 不知道真假,我是听说来的
【在 c*******e 的大作中提到】
: 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
: 立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
: 面。
: 现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
: 进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
: 不会浪费。
: 整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
: 完的。我是做这个方面的所以更了解内情。
: 可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
: 部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
|
w****r
发帖数: 15252 | 53 不是公民就不要搅这个浑水了,改天FBI请你喝茶 |
s********r
发帖数: 2308 | 54 嗯,做application security, secure SDLC 这方面还是比较适合码工转的。哥们不幸
趟的是enterprise IT security这滩浑水,整天各种新threat,新产品,内部的新
application,忙得不可开交。想往上走,头上的大boss们基本上都是N*A,C*A出来的,
老印CIO空降过几个技术出身的老印,也都干不久就自己闪了。 前两年曾经被猎头拉去
申请另一个公司的职位,面试一路绿灯,结果到CIO那里一句招个中国人的话以后被中
国APT攻击了怎么跟DHS合作被毙掉。
manager
manager
程。
【在 c*******e 的大作中提到】
: 你说的不错,我本来也想讨论一下管理方向,就算不做管理,提高交流能力和情商,对
: 以技术见长的中国码工也是巨大的价值,所谓内外兼修
: 做安全免不了有许多交流的需要,因为公司的安全不是一个人几个人能搞定的,安全人
: 员需要和不同部门的人员打交道,沟通、推动。这个是锻炼交流能力的好机会。
: 做安全苦逼,我倒没觉的。
: 本帖里,我一直强调的是应用安全或者安全开发。在我的公司里,我提供技术上的指导
: 和支持,提出安全标准和需求,对产品架构和设计方案做审核,从安全角度批准或者提
: 出修改意见、解决方案。虽然不是manager头衔,但是干的工作是比较上游的,manager
: 、director也不能overrule我,因为我是一个独立的方面,有些类似product manager
: 的角色。开发团队是具体实施者,还有program manager和release manager去推动流程。
|
o**********e
发帖数: 18403 | 55 您这明显就是被烙印黑了啊。
您那烙印CIO仔细看看他的背景。
是不是跟OBAMA CIO那一个德行。
所以老中一定要平常就在烙印
背后多维护老中名誉,多侧面
指出烙印的阴险。
http://www.mitbbs.com/article_t/Seattle/33139239.html
短期来说,WSN/WSNV纷纷在COMMENTS
转发OBAMA CTO,CIO的黑新闻吧。
他们不是喊“TRANSPARENCY”,把白宫
IT,联邦IT都外包烙印ACCENTURE, INFOSYS了吗。
再转转DISNEY,SONY PICTURE的外包故事。
一般来说网络水军, 维护老中就是见招拆招:
http://www.mitbbs.com/article_t0/JobHunting/32983431.html
否则等INTERVIEW被人黑,还不晚了?
【在 s********r 的大作中提到】
: 嗯,做application security, secure SDLC 这方面还是比较适合码工转的。哥们不幸
: 趟的是enterprise IT security这滩浑水,整天各种新threat,新产品,内部的新
: application,忙得不可开交。想往上走,头上的大boss们基本上都是N*A,C*A出来的,
: 老印CIO空降过几个技术出身的老印,也都干不久就自己闪了。 前两年曾经被猎头拉去
: 申请另一个公司的职位,面试一路绿灯,结果到CIO那里一句招个中国人的话以后被中
: 国APT攻击了怎么跟DHS合作被毙掉。
:
: manager
: manager
: 程。
|
H*******g
发帖数: 6997 | 56 "结果到CIO那里一句招个中国人的话以后被中国APT攻击了怎么跟DHS合作被毙掉"
LOL man, you can sue that stupid company to death you want.
They don't trust Chinese but they can never speak it out. Similar situation
to African American.
【在 s********r 的大作中提到】
: 嗯,做application security, secure SDLC 这方面还是比较适合码工转的。哥们不幸
: 趟的是enterprise IT security这滩浑水,整天各种新threat,新产品,内部的新
: application,忙得不可开交。想往上走,头上的大boss们基本上都是N*A,C*A出来的,
: 老印CIO空降过几个技术出身的老印,也都干不久就自己闪了。 前两年曾经被猎头拉去
: 申请另一个公司的职位,面试一路绿灯,结果到CIO那里一句招个中国人的话以后被中
: 国APT攻击了怎么跟DHS合作被毙掉。
:
: manager
: manager
: 程。
|
s********k
发帖数: 6180 | 57 说实话,老中过来刷题进FLAG的人还真不是很多人很适合做安全,安全最主要要求的那
种hack精神其实在国内国外都是一帮非主流教育 靠自己玩和经验出来的。你看看这边
的hacker或者国内啥黑哥,余弦之类的安全人才,不都是自己有兴趣自己搞的而不是正
儿八经拿文凭,安全本质上就是对抗,偏门左道的攻击很多时候并不是学习就能解决的
,确实需要点兴趣和天赋。当然普通职位肯定也是会码就行,但是普通职位需求也不是
很多,entry level的安全对公司并不重要,关键是要大拿
manager
manager
程。
【在 c*******e 的大作中提到】
: 你说的不错,我本来也想讨论一下管理方向,就算不做管理,提高交流能力和情商,对
: 以技术见长的中国码工也是巨大的价值,所谓内外兼修
: 做安全免不了有许多交流的需要,因为公司的安全不是一个人几个人能搞定的,安全人
: 员需要和不同部门的人员打交道,沟通、推动。这个是锻炼交流能力的好机会。
: 做安全苦逼,我倒没觉的。
: 本帖里,我一直强调的是应用安全或者安全开发。在我的公司里,我提供技术上的指导
: 和支持,提出安全标准和需求,对产品架构和设计方案做审核,从安全角度批准或者提
: 出修改意见、解决方案。虽然不是manager头衔,但是干的工作是比较上游的,manager
: 、director也不能overrule我,因为我是一个独立的方面,有些类似product manager
: 的角色。开发团队是具体实施者,还有program manager和release manager去推动流程。
|
o**********e
发帖数: 18403 | 58 跟老中辩论最无趣。
论点从安全“被歧视”,“苦逼”现在又
变成“ENTRY LEVEL 不重要”。
还是去刷题浪费生命比较适合有的人。
确实高大上的人才肯定要有对抗精神。
但是普通马工学点安全主要是为了
对抗烙印陷害,否则被烙印“安全”三脚猫给
害死了活该。
幸好老中还是很有些明白人。赞LS,LZ。
【在 s********k 的大作中提到】
: 说实话,老中过来刷题进FLAG的人还真不是很多人很适合做安全,安全最主要要求的那
: 种hack精神其实在国内国外都是一帮非主流教育 靠自己玩和经验出来的。你看看这边
: 的hacker或者国内啥黑哥,余弦之类的安全人才,不都是自己有兴趣自己搞的而不是正
: 儿八经拿文凭,安全本质上就是对抗,偏门左道的攻击很多时候并不是学习就能解决的
: ,确实需要点兴趣和天赋。当然普通职位肯定也是会码就行,但是普通职位需求也不是
: 很多,entry level的安全对公司并不重要,关键是要大拿
:
: manager
: manager
: 程。
|
s********r
发帖数: 2308 | 59 nah, he had a point. that particular institution is indeed kind of targeted
by 中国 and did experience multiple insider incidents with Chinese
researchers. And he can easily say it requires clearance to work with the
agencies on intelligence and investigations.
situation
【在 H*******g 的大作中提到】
: "结果到CIO那里一句招个中国人的话以后被中国APT攻击了怎么跟DHS合作被毙掉"
: LOL man, you can sue that stupid company to death you want.
: They don't trust Chinese but they can never speak it out. Similar situation
: to African American.
|
s********k
发帖数: 6180 | 60 不知道你火气这么大为啥,我可没有说过安全被歧视,entry level职位确实少这是事
实,因为你做consumer market产品70分的不如90分好用但是至少能用,但是安全上达
不到一定的标准,70分的防不住80的攻击就是完全没用了。大牛奇缺在安全界确实是事
实,只不过修炼道路比较崎岖而已
【在 o**********e 的大作中提到】
: 跟老中辩论最无趣。
: 论点从安全“被歧视”,“苦逼”现在又
: 变成“ENTRY LEVEL 不重要”。
: 还是去刷题浪费生命比较适合有的人。
: 确实高大上的人才肯定要有对抗精神。
: 但是普通马工学点安全主要是为了
: 对抗烙印陷害,否则被烙印“安全”三脚猫给
: 害死了活该。
: 幸好老中还是很有些明白人。赞LS,LZ。
|
|
|
w********5
发帖数: 81 | |
u**********e
发帖数: 282 | 62 我也是此领域,大公司,大部门,最近面试很多人, 确实招不到人。
- |
a******l
发帖数: 10 | 63 good one! 要不要建个QQ群方便大家交流 |
a******l
发帖数: 10 | 64 welcome security practitioners to join my Security geeks group-- 468348666
Security geeks only |
B*******k
发帖数: 356 | 65 具体职位?
【在 u**********e 的大作中提到】
: 我也是此领域,大公司,大部门,最近面试很多人, 确实招不到人。
: -
|
m****x
发帖数: 9 | 66 招不招收信息安全方向的new graduate啊?
【在 u**********e 的大作中提到】
: 我也是此领域,大公司,大部门,最近面试很多人, 确实招不到人。
: -
|
c*******e
发帖数: 373 | 67 我发现国人容易极端啊
我发这个贴,是告诉大家一个不错的方向,如果职业生涯发展有困惑、有困难的同学,
不妨考虑一下这个方向,说不定就可以改变你的职业发展。
如果你的职业发展很好,方向早就定了,那当然没必要故意凑热闹,改方向。但是就算
这种情况,多了解一些安全知识,对你的职业发展也只有好没有坏。
比如我原来团队里面的一个人,是在中国,本来在我们组里只是中等程度的安全工程师
,做了4年左右,出去了就成了国内一流互联网公司的应用安全团队的经理,又过了不
久,跳到另一个安全公司做总监,现在投资人主动找他开公司。这是在国内,在美国可
能没有这么戏剧性,那也是类似的。
现在的安全界,高手有几个?面试官自己懂多少?有很多公司是初建安全团队,公司内
部就找不到合适的面试官。能懂个3成,就足够搞定绝大部分的职位。就算面试官懂行
,他也很无奈,明明职位是个senior,也只能找个懂一点的了事,总不能职位空闲一年
吧?
因为如此现状,我才觉得现在入行不晚。我相信这是个很好的方向,值得大家思考
不要把它想成我在卖彩票,告诉大家说买了就会中大奖。这样的事情是不会有的。有机
会,当然就有挑战,有风向。
但是总的来说现阶段,对于IT领域,做安全,尤其是应用开发安全,是机会大于风险
就说这么多吧,听到有收益的我算是没白发帖。听了不赞同,甚至极力反对的,我也就
不浪费口舌去劝说了。 |
i*********e
发帖数: 1010 | |
i*********e
发帖数: 1010 | 69 能不能搞成wechat啊?
QQ不好用哦
【在 a******l 的大作中提到】
: welcome security practitioners to join my Security geeks group-- 468348666
: Security geeks only
|
p**********t
发帖数: 75 | 70 是security方向的new grad,感觉不好找啊,可能因为做的不是application security
和network security这类,是information security研究领域偏理论,请教各位大牛有
理论基础的情况下自学点什么能沾边靠谱呢?需要考个认证啊什么的吗?比如CISSP,
CEH这类的吗? |
|
|
e***i
发帖数: 3894 | 71
security
【在 p**********t 的大作中提到】
: 是security方向的new grad,感觉不好找啊,可能因为做的不是application security
: 和network security这类,是information security研究领域偏理论,请教各位大牛有
: 理论基础的情况下自学点什么能沾边靠谱呢?需要考个认证啊什么的吗?比如CISSP,
: CEH这类的吗?
|
e***i
发帖数: 3894 | 72 弯曲一般没有这个问题
而且企业的安全工程部门一般不会在意你的出身的
【在 z****0 的大作中提到】
: 安全会找中国人? 估计天天被fbi盯吧
|
e***i
发帖数: 3894 | 73 相对稳定
但是你要一直学习保持知识方面的领先。
【在 s******7 的大作中提到】
: 要早看到就好了
: 前段时间一家大公司的web security team找我面试,我觉得背景相差太大就婉拒了
: 现在看起来,进去还真能成铁饭碗
|
e***i
发帖数: 3894 | 74 没事的,我们最近刚刚和F*B*I开过会,中国和俄罗斯,白俄罗斯本来就是APT来源,数
据上就这么决定的。
我觉得身份的问题看开了就好了。就当开玩笑了。
而且你中国来的,做安全的,敢说没有什么国内关系么。
【在 s********r 的大作中提到】
: 嗯,做application security, secure SDLC 这方面还是比较适合码工转的。哥们不幸
: 趟的是enterprise IT security这滩浑水,整天各种新threat,新产品,内部的新
: application,忙得不可开交。想往上走,头上的大boss们基本上都是N*A,C*A出来的,
: 老印CIO空降过几个技术出身的老印,也都干不久就自己闪了。 前两年曾经被猎头拉去
: 申请另一个公司的职位,面试一路绿灯,结果到CIO那里一句招个中国人的话以后被中
: 国APT攻击了怎么跟DHS合作被毙掉。
:
: manager
: manager
: 程。
|
e***i
发帖数: 3894 | 75 问语言就外道了
做安全的都是有什么写什么的,看你想干啥了
【在 w********m 的大作中提到】
: 请问楼主,现在搞安全用的多的语言是C还是python啊
|
i****y
发帖数: 374 | |
o**********e
发帖数: 18403 | 77 ding!
Coursera, U Maryland, U Texas 都有。
http://cyber.umd.edu/education/specializations
老中品行要端正,技术要精良,
说话多换位思考,练习PPT。
这样的老中被老美歧视,
那是不太可能的。
这样的老中还被烙印歧视,
那是烙印作死。 |
t******g
发帖数: 1667 | 78 有些老中就是这种心态,对于自己不认同的东西,或者觉得自己比别人多会一种茴字的
写法,先骂个痛快过过嘴瘾,以此来满足自己的优越感。
【在 c*******e 的大作中提到】
: 我发现国人容易极端啊
: 我发这个贴,是告诉大家一个不错的方向,如果职业生涯发展有困惑、有困难的同学,
: 不妨考虑一下这个方向,说不定就可以改变你的职业发展。
: 如果你的职业发展很好,方向早就定了,那当然没必要故意凑热闹,改方向。但是就算
: 这种情况,多了解一些安全知识,对你的职业发展也只有好没有坏。
: 比如我原来团队里面的一个人,是在中国,本来在我们组里只是中等程度的安全工程师
: ,做了4年左右,出去了就成了国内一流互联网公司的应用安全团队的经理,又过了不
: 久,跳到另一个安全公司做总监,现在投资人主动找他开公司。这是在国内,在美国可
: 能没有这么戏剧性,那也是类似的。
: 现在的安全界,高手有几个?面试官自己懂多少?有很多公司是初建安全团队,公司内
|
T******7
发帖数: 1419 | |
W***o
发帖数: 6519 | 80 关注一下
【在 c*******e 的大作中提到】
: 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
: 立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
: 面。
: 现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
: 进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
: 不会浪费。
: 整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
: 完的。我是做这个方面的所以更了解内情。
: 可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
: 部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
|
|
|
f********s
发帖数: 526 | |
