来源:蜘蛛抓取(WebSpider)
时间:2017-11-04 03:31
标签:
运维人员信息安全管理
您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
本专题为雷锋网的黑产专题,内容全部来自雷锋网精心选择与黑产相关的最近资讯,雷锋网读懂智能与未来,拥有黑产资讯的信息,在这里你能看到未来的世界。
黑产最新资讯
古语讲“以牙还牙,以眼还眼”,在与这些黑产对抗过程中,安全团队所面临的,或者说需要考虑的又有哪些呢?
研究网络黑产,就要了解他们的“黑话”。
这个黑产竟然用上了AI 。
欺骗宅男感情和钱财的都难逃法网。
真实案例,真实手法,有效建议,让你避免新型网络钓鱼事件。
信任缺失的时代,滋养出畸形需求
任何一款登录在苹果 APPLE Store上的 App,都可能成为 36 技术的受害者。
掩盖和拒绝不能杀死人性的渴望
近日公安部安徽、北京、辽宁、河南等14个省、直辖市公安机关开展集中收网行动,彻底摧毁一个通过入侵互联网公司服务器窃取出售公民个人信息的犯罪团伙。
火绒安全此前发布报告,称用户在百度旗下两个网站下载任何软件时,都会被植入恶意代码。百度方面今日就该事件发表了调查说明。
为了您的账户安全,请
您的邮箱还未验证,完成可获20积分哟!
您的账号已经绑定,现在您可以以方便用邮箱登录
请填写申请人资料2537被浏览160695分享邀请回答0添加评论分享收藏感谢收起起底信息黑产_参考网
起底信息黑产
聂欧信息黑产严重阻碍了我国征信行业乃至整个社会信用体系的健康、可持续发展,对信息隐私、资金安全和民生稳定等带来了诸多风险。过去一年来,我国互联网欺诈案件大幅增多,涉案金额屡创新高。近日更有公开数据显示,仅去年下半年的互联网欺诈案件数量就相比上半年激增17%,其中互联网金融诈骗案件的增速明显高于其他领域。其背后的产业和技术支撑,很大程度上来自于日渐猖獗的黑色信息产业链。由于我国以大数据技术来识别和跟踪“坏人”的机制、体制不健全,个人信息保护相关的法律、法规体系空白,滋养出一批涉嫌非法盗取、使用和贩卖居民个人信息的“害群之马”,严重阻碍了我国征信行业乃至整个社会信用体系的健康、可持续发展,对信息隐私、资金安全和民生稳定等带来了诸多风险。目前,我国共有约3000家从事征信业务或类征信业务的机构,主要以买卖居民个人信息尤其金融数据为主,缺乏正规征信产品设计。一部分数据公司直接从黑市购买个人数据,极端者则雇佣黑客在同业机构内部盗取数据。其问题根源,是随着互联网技术高速发展,我国征信行业从以人民银行征信系统为核心的传统模式,快速转变为以互联网金融征信为生力军的全新格局,居民个人信息泄露及滥用、金融信息盗窃引发互联网欺诈风险、部委信息孤岛式割裂、信息产业链黑市牟取暴利等诸多“劣币驱逐良币”的现象,正逐步集聚风险。专家建议,应尽快建立健全征信行业法律体系,有针对性地提升相关部门监管手段和技术水平,实施“穿透式监管”,对持牌征信机构进一步规范和支持,建立行业和机构内部的自律机制,充分利用市场化手段,防止我国征信行业泡沫进一步发酵,全维度遏制风险,并切实保护人民群众个人隐私安全。信息黑产迅猛发展《财经国家周刊》记者在北京、上海、杭州等地调研后发现,我国信息产业尤其互联网征信领域,目前主要存在以下四方面问题:首先,黑客、黑产、黑市盗取和买卖数据猖獗。这些从事征信业务或类征信业务的机构,主要以买卖居民个人信息尤其金融数据为主,缺乏正规征信产品设计。一部分数据公司直接从黑市购买个人数据,极端者则雇佣黑客在同业机构内部盗取数据。例如,居民身份证、学历学位、联系住址、婚姻状况等基础信息在黑市上每人每条价位在1-7元不等,产业链上距离一手数据源越近,售卖价格也越低。《财经国家周刊》记者调研发现,少数机构每年通过数据黑产倒卖信息,资金流水达数亿元,调研中一家2015年成立的数据公司仅拥有高管团队3人和业务员2人,目前已获得境外C轮融资,估值高达30亿美元。第二,居民个人信息存在泄露和滥用风险。目前,由于缺乏统一数据标准,信用数据采集和使用尚无明确法律规定,信息采集可能超出限制范围。《征信业管理条例》规定“禁止征信机构采集个人的宗教信仰、基因、血型和病史等个人信息;在未明确告知不良后果并取得书面同意前,不得采集个人的收入、存款、有价证券、不动产等信息”。但互联网平台上存在大量隐私信息,且与大数据机构存在数据共享,很难避免对禁止或限制类信息的采集。另外,个人信息的商业价值不断凸显,不少机构通过网络平台从房产、金融、保险等渠道获取信息,亦有机构本身从事客户信息出售、转售的行为,未经授权的数据买卖加重了信息泄露和滥用风险。第三,“劣币驱逐良币”现象严重。我国各类数据和征信机构,在监管层备案的仅三类:一是政府背景下的信用信息服务机构共20多家,包括人民银行征信中心、上海资信等;二是社会征信机构约100家,包含企业征信和人民银行拟发牌照的8家个人征信机构;第三类是评级公司70多家。其中,正规持牌和拟持牌机构仅约200家,即整个行业的非持牌或非法机构占比高达90%以上。从美国经验看,其征信体系也经历了野蛮生长与整合阶段:1960年代末美国征信公司曾一度多达2200家,如今已减少到约400家,其中艾可飞、益百利和全联三大巨头占据了90%的市场份额。第四,缺乏全面、专业的法律体系。一方面,发达国家征信法律体系通常由多部法律法规组成,例如美国就多达17部。目前,我国唯一的专业征信法规是由国务院颁发实施的《征信业管理条例》,一定程度上规范了行业发展但法律约束力低于全国人大批准通过的法律,难以全面有效地对征信机构和征信业务实施管理。另一方面,我国尚未出台专门的信息保护法,但征信与互联网、金融、电子商务等日渐融合,对信息、数据的采集范围更为广泛,行业发展缺少高层次法律支撑。在信息主体权益保护方面,除《宪法》和《民法通则》提供了宽泛的基本原则外,征信机构在采集、使用、提供和披露信息时缺乏直接的法律依据,面临较大行为风险。缘何有机可乘《财经国家周刊》记者在调研中发现,前述诸多现象的存在,还与主体和正规渠道覆盖面不足及监管的落后有着极大的关系。首要一点,便是人民银行征信系统获取非银行数据不足。截至 2016年9月,人民银行征信系统收录的自然人数量超过9 亿,但拥有信贷记录的仅4.1亿人,不足全国总人口1/3;企业数量1828万家,仅420万户有信贷记录且主要是大型国有企业。大量用户金融需求被排除在外。该系统数据中除信贷数据外,还包括社保、公积金、民事裁决与执行、公共事业和行政奖励、处罚等非银行数据信息,但存在信息来源积极性不高、数据更新不及时、共享不顺畅等问题,使得人民银行无法及时、准确获取被征信主体的非银行信息。其次,政务征信“信息孤岛”,也给了非法机构可乘之机。从人民银行征信系统看,其征信报告中水、电、燃气、电话费等信用信息并未完全纳入,众多信息割裂在法院、教育、电信运营商、信贷机构等手中,使得这一核心征信系统的效率受到影响。
从国家部委层面看,由于缺乏统一的数据归集、协调机制,大量信用信息分散和封闭于各职能部门,条块分割、孤立现象明显。并且,我国缺乏统一的信息技术标准,各部门、行业和地方政府均按照各自标准建设征信系统且缺乏公开共享,阻碍信息的跨行业、跨区域共享。从行业和市场层面看,商业征信机构尚未实现与相关部门和行业间的信息共享。各种数据的格式、质量参差不齐,加大了机构建立完整数据库的难度。目前除人民银行外,其他机构都碍于各种屏障,难以积累足够的数据。更进一步的是,技术进步对监管提出了全新的要求。互联网征信着力于对虚拟化信息数据的采集、整合,传统现场监管检查手段不再适用此类场景,而非现场监管手段又缺乏实效性和连续性,难以达到预期效果。因此,升级优化监管措施,以应对发展变革中的征信方式,并切实保护被征信主体隐私信息,是监管层面临的两大挑战。健全法律和监管体系有关专家表示,打击信息黑产,首要措施就是建立和完善法律体系,跟上行业发展步伐。一是在法律层面,出台“社会信用促进法”和“个人信息保护法”,从国家立法角度对社会信用进行规范。二是在行政法规层面,研究制定“信息安全条例”和“政务信用信息管理条例”,加强信息安全管理,规范信用信息公开和应用。三是在部门规章层面,制定关于征信服务行为规范、征信标准等规章,抓紧出台相关政策,完善其范围和权利义务。四是地方性法规,各地方可借鉴发展较快的大城市经验来因地制宜,据实际需要制定地方性法规。五是根据互联网金融背景下征信市场的发展和变化,加强对新型征信业务模式的规范管理。除法律体系建设外,多位受访人士还从监管体制等方面给出了建议。以人民银行征信系统为核心,进一步充实、完善金融征信系统的信用信息。建立包括证券、保险以及外汇等信息的金融业统一征信平台,提高金融信用信息加工处理技术,为金融监管部门和金融市场交易者提供有价值的参考依据。建设政务征信领域的信用信息共享交换平台。推进职能部门间统一的信用信息目录建设、标准建设以及归集与共享的考核办法。监管职责上,要加强部门联动协调。人民银行及其派出机构严格依法履行对征信业的监管职责。加强与行业、地方主管部门的协调配合,完善征信监管机制,不允许有从事征信业务的机构游离于监管之外,打击借“征信”名义非法采集信用信息的行为。目前,我国征信业处于由传统征信向互联网征信的过渡期。监管部门须创新出适用于互联网场景化的监管手段,同时加强部门间的协调,建立有效的联合监管模式,对各类征信机构尤其是涉足互联网征信的民营征信机构进行有效管理。严厉查处涉嫌提供虚假信息、侵犯个人隐私和商业秘密等行为的征信机构,切实维护各类信息主体的合法权益,为征信市场的规范、健康发展营造良好的外部环境。机构自律上,要肃清外部环境,补足内部自律机制。外部环境上,严把机构及其从业人员的市场准入关,禁止存在严重违约记录的企业法人和股东申请成立新的征信企业;依法加强信息安全监管,严格落实国家信息安全等级保护要求,大力发展电子签名、身份认证、访问控制等安全服务,保障重要信息系统和信用信息安全;严厉查处涉嫌提供虚假信息、侵犯个人隐私和商业秘密等行为的征信机构,切实维护各类信息主体的合法权益。内部自控上,适时建立征信机构自律机制。借鉴英美等国,加强行业自律对互联网金融良性竞争、规范运营和保护消费者权益的促进作用,组建征信业行业协会并设立分会,规范征信机构经营行为,规避执业人员的技术风险、道德风险,确保征信机构之间的有序竞争,促进征信业规范有序发展。标准统一上,要建立全国统一的信用信息采集和分类管理标准。将相对成熟领域的征信标准上升为国家标准;建立空白领域的统一标准,并要求相关部门和行业以国家标准为准则开展工作,为依法实现跨部门、跨行业的信息交流与共享提供技术保障。同时,关注互联网征信技术发展趋势,对标准进行动态维护和扩展,加强信息采集的真实性、适用性以及与行业的协调性和有效性。
财经国家周刊
2016年26期
财经国家周刊的其它文章揭秘地下网络黑产链:为什么普通黑客也能月入80000美元?_网易数码
揭秘地下网络黑产链:为什么普通黑客也能月入80000美元?
用微信扫码二维码
分享至好友和朋友圈
摘要:就像组织严密的现代黑帮一样,网络黑产到如今已经商业化得非常成熟了,黑客们同样拥有复杂精巧的产业链,每天在全球黑产网络中流转的交易额数以亿计,整体规模更难以估测。但其中每个黑客的具体收入如何?黑客是如何进行攻击准备的?他们是如何进行内部交易的,并遵循某些规则不相互越界呢?一些安全研究者长期潜伏在地下黑产网络中,近距离观察其运作模式——尽管本文所披露的只是“地下世界的一瞬,不足以描述其万分之一”,但还是为我们真实揭示了黑客世界不择手段窃取金钱的产业链条。首先,对于互联网我们应该知道,可公开访问的网站只占数据信息的一部分,如同海面之下的冰山,还存在一个更庞大的、采取非公开机制访问的平行网络世界——暗网。这里才是一切法律严加打击但暴利的交易活跃之地——如盗版、色情、买凶、军火、恐怖分子,当然也包括黑客。进入黑客聚集的地下交易场匿名访问的隐私黑客论坛是散落暗网中的黑客交易场,一旦你被黑客圈子或组织认可,能够进入暗网中的黑客论坛上就可以找到各种非法服务,可以让一个普通黑客都能快速发起一次网络攻击。这些论坛无法搜索定位,需要很多的验证程序及其他黑客会员担保。上图为一个俄罗斯黑客论坛的截图,可以看到,这里黑客正在推销多款恶意软件,包括特洛伊木马、僵尸网络等。黑客基础装备之攻击工具包(Exploit&Kits)Exploit&Kits像瑞士军刀一样整合了网络攻击所需的众多组件,使大规模网络攻击装备化,因为大大提升了攻击的成功率受到黑客的日益青睐,未使用之前,黑客的成功率一般为10%,使用之后就可能提升到40%。那么Exploit&Kits里面究竟有哪些构成呢?上图为一个典型Exploit&Kits的&“解剖切片”,可以看到有恶名昭彰的网银木马Zeus、Vawtrak、勒索软件nymaim、比特币敲诈病毒CTB-Locker等。这是一个真实的由黑客打造的攻击工具包叫做RIG,正在论坛上租售,这个帖子描述(文为俄语)了该工具包的应用环境是X86/X64下的Window系统,可绕过微软用户账户控制系统;支持大流量攻击;拥有两种不同的勒索付费通道;支持自动加载网页链接;可应用到的多个漏洞列表;平均攻击成功率达到10%~15%;保证不被杀毒软件发现等特性。更重要的是该工具包的租用费用:30美元24小时;150美元一周;500美元一个月。这个费用并不高。攻击工具包(Exploit&Kits)的商业模式RIG工具包的商用模式有些类似零售,有中央仓储和多级经销商,RIG可以直接向终端黑客销售,同时也支持多级销售,其他黑客可以将这个工具以更高的价格转售出去,按照一周获取600个客户,每家支付150美元的话,RIG的周盈利高达9万美元。在&“零售”模式之外,目前还时兴一种“直销分成”的商用模式,RIG制造者将工具免费提供给黑客,最终从攻击成果中分成。例如当黑客使用了该工具包侵入了一个网站,其中5~20%的流量归“巨头”控制,具体如何从中获利也由“巨头”自己把握。这种模式更加高明,购买者无需支付任何费用就有机会获取可观回报,肯定使用者众多,同时也不影响RIG另外并行的“零售”交易。在黑客产业链上,像RIG这样的工具和其他服务(后续将一一介绍)的制造者才是产业中坚,他们隐身在实际执行攻击的普通黑客之后,为其提供材料、装备、服务,也获得利润中最丰厚的一层,被称为“黑执事”(英文为Magnitude)。为方便后续描述,先做提前说明,下文中的黑执事是黑客服务的提供者,黑客产业链的上游。黑客就是网络攻击执行者,是产业链终端。受害者就是被攻击的普通网络用户。网络绑票:勒索软件正在流行通过RIG工具包,黑客还可以分发恶名昭著的勒索软件Cryptowall,勒索软件采取一个简单粗暴的吸金逻辑,当受害者的电脑被感染,电脑中的文件就会被加密,受害者无法再访问自己的文件,如果想要回控制权,就要按照黑客要求缴纳赎金,一般是比特币。最近网络勒索事件层出不穷,很多用户或企业都深受其害,据观察,一个勒索账户一周就可以收到6万美元。勒索软件善于抓住人们的心理弱点,黑客也喜欢入侵色情网站并注入恶意链接,当用户点击了这些恶意链接进入非法网站时,黑客就有无数种办法勒索用户。这是一个真实的用户收到的勒索软件恐吓信息:首先恐吓用户做了坏事被发现,所以才有这一劫,告知文件已被加密,利用用户下意识的花钱免灾的心理,要求其缴纳赎金获得解密密码,如果12个小时后还没有缴纳,电脑将永远不可使用。这是另一个设计更加精妙的勒索软件信息,黑客伪造了网址,让受害者以为是来自政府机构FBI的通告,甚至虚构了一个法律罪名叫做“个人电脑管理不妥善使用罪”,基于这个完全胡扯的法律名目,受害者被指控三项罪名:非法下载传播有版权的电子资产。浏览和传播色情资料。电脑在受害者不知情的情况下,被定位为恶意软件的传播源。所以电脑文件被加密锁定,受害者需缴纳赎金来解锁。尽管这些消息看起来毫无依据,但结果是勒索软件正源源不断收到赎金。更绝的是为了让受害者相信交钱后文件可以恢复,勒索软件还提供一个“免费测试机会”,点击后,受害者的文件可以解锁一到五个,但无法指定,这个功能出现在顶级勒索软件CoinVault和CTB&Locker中。黑色产业链中的专业外包服务:帮助恶意软件逃脱检测除了出售工具包,一些黑执事还出售其他附加服务提升攻击成功率,这些服务可以称之为黑客产业链上的“专业外包服务”,其中之一为“检测逃脱”服务。当该服务加载到恶意软件时,就可以逃脱杀毒软件的扫描。要知道,目前安全公司最主要的工作就是分析病毒特征并更新到自己的病毒库。这项服务在黑客论坛公然出售,广告上一般会列出效果对比,如上图看到的,使用了服务,全球35个杀毒软件中27个可检测到,而使用后则全部免疫。黑执事很懂生意,他们有时会提供特殊折扣吸引顾客,上图写着,下个月每周一前三个顾客可享受一单免费的优惠。一些甚至提供定制服务,例如客户购买一个3000美元的黑客攻击软件,附送一个月的免费支持,额外服务支持一个月需加300美元。普通黑客发起一项攻击需要投入多少?正如你所见,黑客发起一项攻击需要做好准备工作以及物资采购,那么大概需要花费多少钱呢?一般来说,你需要购买或者租用工具包,并附加一些服务增加成功率,特别是付费通道来收取费用,还需要购买一些流量,让我们计算一下:付费通道购买:3000美元一个月检测逃脱服务:20美元*30天=600美元攻击工具包:500美元一个月流量:300美元*6=1800美元共计:5900美元/月投入总计大约5900美元一个月,看起来很多对吗?那让我们看看黑客可以赚到多少?一个月黑客可以赚到多少钱?在支出6万美元之后,黑客一定是预期回报远大于投入的,事实也是这样的。在观测到的数据上再做保守估算,平均每天有2万人点击恶意链接,一般大概有10%的几率被感染,如果用了勒索软件,大概又有0.5%的受害者付费。这意味着,黑客日收入大概是3,000美元,除去前期支出,月收入高达8,4000美元。日平均点击恶意链接用户数:20,000通常工具攻击包的成功率:10%受害者付费比:0.5%日收入:20,000美元*10%*0.5%*300美元=3000美元月收入:90,000美元净收入:90,000&-5,900&=84,100美元在黑客产业链的支持下,一个不需要有多高技术能力的黑客也可以轻易通过攻击活动赚得盆满钵盈,这也是当前网络安全事件异常猖獗的主要原因。黑客服务之数字证书签名服务数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式。它是由权威机构——CA机构,又称为证书授权(Certificate&Authority)中心发行的,人们可以在网上用它来识别对方的身份。通常情况下,已签名的证书就代表着值得信任。但一些黑客服务已开始出售恶意软件的签名服务,可以将检测几率降低80%。如图所示,这个签名服务声称可提供来自Thawte和Comodo证书授证(Certificate&Authority)中心的签名服务,可用于任何可执行文件,费用为$600。黑客服务之IP信誉库这项服务解释起来有些困难,IP就是网络地址。正常情况下,IP信誉库一般被安全机构用于辨识、过滤、阻断那些垃圾邮件发布机构,或者不受信任的恶意网站,但由于官方机构和安全厂商自己也会有官方IP地址以及用于诱捕恶意软件的“蜜罐”IP地址,所以黑客如果提前知道这些IP地址,就可以避过或者欺骗来这些目标的访问。上图中的服务广告宣传定期更新来自FBI、各大安全服务商的“蜜罐”IP,降低了黑客被捕捉的几率。虚假杀毒软件有没有想过,最恐怖的罪犯是什么样的?如果有些罪犯披着警服呢?有一种恶意软件叫做虚假杀毒软件(或者流氓杀毒软件),其理念非常简单——看起来像反病毒产品,靠效果欺诈赚钱。这种软件在名称、界面、功能上全盘模仿正规杀软,当你点击扫描时,会出现很长的感染警告,但没一个是真的。但由于效果惊人,受害者反而需要付一大笔钱给这个虚假软件,一般是$50~$70一个license,用户量往往数以万计。据了解,某个国际虚假杀毒软件由三个黑客维护,年收入近百万美元。黑客工具之Web&Shells:非法控制网站服务的钥匙还有一种黑客主要针对网站,由于很多网站的运维管理很差,黑客可以很轻易攻入网站服务并取得全部权限,从而也获得网站上很多机密数据如用户信用卡信息等。使用Web&Shells是攻击网站服务的主要方式之一。基于Web&Shells,黑客可以上传文件,在网站内自动添加恶意链接,操作本地文件等。Web&Shells的价值主要取决于它可以攻破的网站价值,所以从上图看到,当售卖Web&Shells时,也会列出目标网站Alexa排名和独立访客量等指标。更严重的Web&Shell可用于渗透那些掌握了客户信用卡等重要信息的网站,例如电子商务、金融等。盗取这些用户信息还可用于其他黑客活动。据安全专家估计,每个月都有数千网站被渗透。黑产之用户数据交易用户个人信息在黑客看来是很有价值的,特别是那些涉及到支付的信用卡信息,上图是一个黑客发布在论坛上售卖信用卡账户数据的帖子,价格取决于客户余额,一般来说,如果一条账户余额为$100,000的用户信息价格为$10。甚至产生了专门售卖信用卡信息的网站,用户记录数以万计,如上图这个活跃的网站,有供出售的信用卡记录近800页,很多记录都是最近添加的。购买这些数据非常简单,就像其他电子商务网站一样,可以自由选择购买,支持比特币支付。
一路看下来的你一定对网络犯罪有了全新认识,而且这里所揭示的也不过是冰山一角,网络安全和黑客攻击一直在持续斗争,所谓道高一尺,魔高一丈,但用户特别是企业的安全意识是其中决定性砝码,认真研究攻防,筑起防护门槛,保持警惕状态,做好响应预案,都可以让黑客攻击的成本提升,减少受害几率。本文为青藤安全雷达小组原创编译,原文:《Some hackers make more than ,000 a month — here's how》
本文来源:cnbeta网站
责任编辑:王晓易_NE0011
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:
:
:
热门影院:
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈&img src=&/50/v2-15eaa2de05f_b.jpg& data-rawwidth=&1713& data-rawheight=&1080& class=&origin_image zh-lightbox-thumb& width=&1713& data-original=&/50/v2-15eaa2de05f_r.jpg&&&p&Web 安全问题一直都是至关重要的。其中有太多的东西需要学习,学习曲线还那么的陡峭,以至于有很多的开发人员即使工作多年却依旧没能完全掌握 Web 安全的相关知识。&/p&&p&作者认为目前很多的资料都比较分散,不成体系或不适合初学者,因此结合自己多年的经验和已有的资料写了这一系列的文章来介绍 Web 应用在安全方面需要注意的问题。&/p&&p&这个系列包含了 7 篇文章,主要面向经验不是很丰富的开发者,含有简短的示例,并尽量的言简意赅。文章如下:&/p&&ol&&li&&a href=&/?target=http%3A///blog//web-security-session-cookies/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Sessions and cookies&i class=&icon-external&&&/i&&/a&&/li&&li&&a href=&/?target=http%3A///blog//web-security-password-storage/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Password storage&i class=&icon-external&&&/i&&/a&&/li&&li&&a href=&/?target=http%3A///blog//web-security-cors/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&CORS (Cross origin resource sharing)&i class=&icon-external&&&/i&&/a&&/li&&li&&a href=&/?target=http%3A///blog//web-security-xss/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&XSS (Cross site scripting)&i class=&icon-external&&&/i&&/a&&/li&&li&&a href=&/?target=http%3A///blog//web-security-cross-site-request-forgery/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&CSRF (Cross site request forgery)&i class=&icon-external&&&/i&&/a&&/li&&li&&a href=&/?target=http%3A///blog//what-is-sql-injection/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&SQL Injection&i class=&icon-external&&&/i&&/a&&/li&&li&&a href=&/?target=http%3A///blog//web-security-human-error/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Human Error and UI/UX design&i class=&icon-external&&&/i&&/a&&/li&&/ol&&p&原文:&a href=&/?target=http%3A///blog//web-security-essentials/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Web security essentials - A crash course
&i class=&icon-external&&&/i&&/a&&/p&
Web 安全问题一直都是至关重要的。其中有太多的东西需要学习,学习曲线还那么的陡峭,以至于有很多的开发人员即使工作多年却依旧没能完全掌握 Web 安全的相关知识。作者认为目前很多的资料都比较分散,不成体系或不适合初学者,因此结合自己多年的经验和已…
我看答案已经有类似的骗人方法了 ,不过行业不一样,我说的这个是公务员面试培训的,培训一个星期一万到五万不等,包过,不过全额退款。&br&报名的人还是很多的,毕竟笔试都过了,面试能过的话一份稳定的公务员工作相对于一万两万的真的不算多。&br&&br&&br&&br&&br&一百个学生过十个二十个&br&上班一星期&br&休假一整年
我看答案已经有类似的骗人方法了 ,不过行业不一样,我说的这个是公务员面试培训的,培训一个星期一万到五万不等,包过,不过全额退款。 报名的人还是很多的,毕竟笔试都过了,面试能过的话一份稳定的公务员工作相对于一万两万的真的不算多。 一百个学生过…
(主要内容)&p&职场年轻人学习投资理财是在浪费时间吗?&/p&&p&不喜欢投资理财的你,是如何被别人“撸羊毛”的?&/p&&p&投资不仅仅是“钱生钱”,更是对未来生活的规划。&/p&&p&战胜8%,你就是人生赢家。&/p&&p&最后,中国第一代股民,告诉我的关于钱的真相。&/p&&br&1&br&&p&在“职场年轻人该不该学习投资”这一点上,我的观点经历了“应该——不应该——应该”的两次转变。&br&&/p&&br&&p&二十年前,我几乎是一毕业就开始学习炒股。理由很简单,想要快点有钱,那时的投资渠道很少,除了存钱,就只有炒股了。&/p&&br&&p&炒了几年之后,我对这个问题的观点开始“多翻空”,主要的理由有三点:&/p&&br&&p&一、资本金少,就算赚钱也赚不了多少,一旦亏损,抵御风险的能力又弱,影响自己的正常生活;&/p&&p&二、机会成本高。职场新人,在投资上花费的时间,还不如多多学习,特别是炒股,有时间上班还会偷偷看盘,影响工作;&/p&&p&三、投资是一门专业,应该把专业的事交给专业的人去做,自己专注最核心的事业。&/p&&br&&p&&b&这三点也是市面上反对年轻人学习投资理财最主要的观点。&/b&&/p&&br&&p&但现在,我又重新反思这些观点,认为它们没有用发展的眼光看问题,走向了另一个极端。&/p&&br&2&br&&p&&strong&你不投资,也无法摆脱投资对你的影响&/strong&&br&&/p&&br&&p&假如你一个月的薪水是6000元,去掉基本开支后还余2000元。难道你买基金定投是投资,什么都不管放在银行卡上就不是投资了?别骗自己了,这也是投资,只是被银行以“撸羊毛”的方式投资了。&/p&&br&&p&&b&钱为什么叫“流通货币”?就是说钱永远以不同的形式在不同渠道和不同人的手里转啊转。只要你有余钱,你不拿去投资,就被别人投资了。&/b&&/p&&br&&p&你用百分之五的年利率投的万能险(一旦出问题还这个不保那个不保),这些钱被保险公司用到哪里去了呢?比如说买万科股票。&/p&&br&&p&一个30年时间才建成的宇宙第一房企,半年时间就被别人用你们的钱控制了。一个一年前还没有什么名气的老板,现在就上了胡润富豪榜,个人财富暴涨820%。万科事件中老是有人说什么“打工的要尊重老板”,但老板的钱是从哪里来的,是你们的。&/p&&br&&p&有人说那是人家有魄力,有眼光,敢在低位买进。笑话,被人“撸羊毛”还帮别人数钱。买的万科股票如果下跌爆仓了,保险公司只要把自己的资本金赔完,就可以拍拍屁股走人,有限责任公司嘛;但不管赚多少,你只能分那百分之五。&/p&&br&&p&&b&你冒着卖白粉的风险,赚卖面粉的利润,还觉得跟你没关系?&/b&&/p&&img src=&/caacf8ba990d5d_b.jpg& data-rawwidth=&450& data-rawheight=&300& class=&origin_image zh-lightbox-thumb& width=&450& data-original=&/caacf8ba990d5d_r.jpg&&&br&3&br&&p&&strong&今后我们的财富增长,越来越依靠投资而不是工资&/strong&&br&&/p&&br&&p&好吧,我知道你要说:我才不管别人有没有投资呢,只要我的钱好好地趴在帐上就行了。可是,正因为你的钱被别人拿去投资了,导致市场上只要有一点投资属性的商品都在不停涨涨涨。&/p&&br&&p&这跟你有关系吗?有!中国近10年物价指数(CPI)平均在2%左右,但这里面是不含房价的,如&b&果考虑到房价因素,人民币的实际贬值每年都在8%以上。&/b&&/p&&br&&p&&b&也就是说,你买不起房子的原因,不是你工作不够努力、收入不够高,而是你放在银行的钱,被别人投资到房子上,推升了房价,才导致你买不起的。&/b&&/p&&br&&p&这就是投资对你的影响。&/p&&img src=&/v2-5ae7c1693d18dffa0938ff1bbb304d2e_b.png& data-rawwidth=&600& data-rawheight=&321& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/v2-5ae7c1693d18dffa0938ff1bbb304d2e_r.png&&&br&&p&上图中那根黑色的线,是近百年来,美国1%最高收入人群的占有国民财富的比例,我们发现,有&b&两次极度的贫富分化。一次是在上个世纪二十年代,那次是“管理革命”造成的。&/b&一个资本家以前只能管几十个工人,大企业崛起后,可以管理几千几万个工人,财富就更集中到少数人手里了。&/p&&br&&p&另一次就是现在,情况比上一次严重很多。&b&这次是资本聚集造成的。我们知道,管理效率是有上限的,企业规模大到了一定程度后,就会下降。但一个人能控制的资本是无限的,财富分化自然比上一次严重。&/b&&/p&&br&&p&这种趋势同样在中国出现了。只有高收入而没有买房的人,早就被金领的队伍抛弃了,&b&想要在财富阶层向上流动,越来越依靠资产增值而不是工资收入。&/b&&/p&&br&&p&所以我现在的看法变了,对于职场年轻人而言,投资的能力培养,至少是和工作学习、恋爱婚姻同等重要的三件大事之一。&/p&&br&&p&那么年轻人在投资上主要的障碍点到底在哪里呢?&/p&&br&4&br&&p&&strong&投资不仅仅是“钱生钱”,更是对自己生活的规划&/strong&&br&&/p&&br&&p&“年轻人钱少,花钱的地方多,拿去投资,要用的时间怎么办。”&/p&&p&“工作都忙不过来,就那么点钱,收益低的差不了多少,收益高的风险又高,没必要投资。”&/p&&br&&p&认为投资就是“钱生钱”,这是大部分人对投资的误解。&b&投资第一要解决的,不是收益、不是风险,而是“流动性管理”,通俗的说,就是“让你在要花钱的时间,随时能拿得出钱来”。&/b&&/p&&br&&p&不管是高净值人群,还是低净值人群,在做理财规划时,都要拿出一部分投资于“高流动性投资品”,余额宝为什么比一般货币基金卖得好?不是收益高,而是随时可以拿出钱来。&/p&&br&&p&我发现那些比较忙的职场年轻人通常有两种存钱方式:&/p&&p&一是暂时不用的钱存成定期(或期限长的银行理财产品),剩下的钱都花掉;&/p&&p&二是所有钱都放在工资卡上,怕要用钱的时间拿不出来。&/p&&br&&p&第一种情况,要用钱的时间就傻眼了;第二情况倒是安全了,可钱不停在贬值。&/p&&br&&p&&b&“流动性管理”不仅仅是一种投资,更是对自己未来生活的规划。&/b&远到今后五到十年,我什么时候买房,什么时候结婚,什么时间生孩子,我的收入增加情况又是怎样的,有哪些预期资产可用作投资,对应什么期限的产品。近到几个月内,哪些钱是必须花的,什么时候花,还有哪些大概率事件,又要用什么理财产品对应?……&/p&&br&&p&今天的市场上,流动性好的低风险投资品种已经非常丰富了,但大家熟悉的都是门槛低的货币基金、银行T+0理财产品,傻子都会投。&b&还有一些门槛高收益更好的产品,比如逆回购、各种股市短期无风险套利工具,还有一些购买技巧,如何提高货币基金流动性、降低费率,等等,这些都是我们学习投资的额外收益。&/b&&/p&&br&&p&比如说,正常情况下,“1天逆回购”收益率跟定期存款差不多,但季末市场资金面紧张时,可能忽然飙升到年化30%。&/p&&br&&p&&b&就算你不喜欢投资理财,规划生活、平衡收支总是需要的吧?&/b&&/p&&img src=&/v2-8bd6385ee2fea6face1c73_b.jpg& data-rawwidth=&495& data-rawheight=&495& class=&origin_image zh-lightbox-thumb& width=&495& data-original=&/v2-8bd6385ee2fea6face1c73_r.jpg&&&br&5&br&&p&&strong&年轻人的抗风险能力并不比财富人群弱&/strong&&br&&/p&&br&&p&流动性管理还有一个好处:&b&只要解决了“急用钱”的问题,剩下的钱完全可以投入到高风险、高技术含量的投资方向中去。&/b&&/p&&br&&p&为什么呢?因为年轻人存量资产少,收入增长快,可以弥补因为高风险带来的资产性亏损,所以抗风险能力有时是超过了高净值人群的。我炒股的前几年累计亏了50%,看上去很吓人,但亏损额不过五万,现在牛市三个月、平衡市半年就赚回来了。要是高净值人群这么个亏法,恐怕几年都缓不过来。&/p&&img src=&/v2-32e5b404fff37195b4df_b.jpg& data-rawwidth=&1138& data-rawheight=&632& class=&origin_image zh-lightbox-thumb& width=&1138& data-original=&/v2-32e5b404fff37195b4df_r.jpg&&&br&6&br&&p&“那么点钱,就算回报再高的投资也赚不了几个钱,等到钱多点再学投资也不迟。”&br&&/p&&p&“以后钱多了,找个专门的理财顾问,让专业的事交给专业的人去做。”&/p&&br&&p&&b&我们常常对自以为明白的东西过于自负,而对不懂的东西又过于谨慎。&/b&这也是低净值人群不去学习投资的普遍心态。&/p&&br&&p&前面说了,正因为钱不多,时间不少,在做好流动性管理的前提下,你尽可以投资于一些高风险高收益、但技术含量比较高的项目上。&b&只有在高风险的投资中才能提高投资技术,才能养成良好的投资心态。&/b&&/p&&br&&p&等你的资本聚集到一定程度的时候,正好是你的家庭、事业最忙的时候。你的投资行为会受到时间精力的约束。比如说我吧,现在用于投资的时间一个星期也顶多一两个小时,很多需要看盘的机会都无法去把握,只能挑一些趋势投资的机会,一年做两三次。&/p&&br&&p&&b&没有生孩子的年轻人,晚上8点到11点的时间相对自由,&/b&没有必要完全投入到工作技能的提高上去,拿出一点时间,了解各种投资品种和渠道,更重要的——&b&形成个人化的投资策略,磨炼出良好的投资心态。&/b&&/p&&br&&p&这就是投资专业性的第二个层面。一个不懂投资的人,也能发现机会,但要把握这个机会,需要投资策略和投资心态。&/p&&br&&p&&b&大部分人投资输就输在没有投资策略上。&/b&比如说今年年初很多人都认为石油有机会,年中都看到大宗商品有机会。但你如何把握呢?你肯定做不了期货,那么是买石油基金,还是石油股票?是买产业链上游的,还是买中游的?这就是投资标的的选择。还有就是什么时机买?是抄底?还是等趋势出现?出现了浮盈什么时候可以了结?仓位如何控制?如果市场没有出现你预料中的变化,你又如何控制风险?&/p&&br&&p&&b&每个人都有最适合自己的投资偏好、投资风格,都是需要在长期投资中沉淀下来的,不是说有了钱你再去学习投资的。&/b&我看到有些高智商的人,刚刚做投资时很谨慎,赚了10%之后,忽然发现隔壁老王傻不拉叽的人也能赚20%,心态坏了,拼命要做到30%、40%,结果高位套牢,又没有止损的习惯。这些都是人性的弱点,需要在长期的投资中慢慢克服。&/p&&br&&p&那么依靠专业人士呢?专业人士有很多种,有的提供投资品种建议、有的提供资讯、有的帮你做资金规划、有的只做渠道赚你点佣金,就算有人把你的资金都包了,你仍然要有自己的投资决策。&/p&&br&&p&如果你是个喜欢学习、善于学习的年轻人,我并不认为把时间花在投资上,长远效益不如花在工作技能上。正如我在《&a href=&///?target=http%3A//mp./s%3F__biz%3DMzAxNTYyNjQ1Mw%3D%3D%26mid%3D%26idx%3D1%26sn%3D2ef8abcfscene%3D21%23wechat_redirect& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&职场“中等收入陷阱”:你的薪水为什么不再增加?&i class=&icon-external&&&/i&&/a&》中说,不要再用“不是专业人士”为你的懒惰找借口了,重要的是花时间研究,优化自己的投资组合。投资的好处是不用跟人打交道,对一些内向型的人而言,反而充满乐趣。&/p&&br&7&br&&p&&strong&战胜8%,你就是人生赢家&/strong&&br&&/p&&br&&p&最后还要再泼点凉水。&/p&&br&&p&&b&投资理财不是一夜暴富,而是追求财富的“复利效应”——也就是以稳定的收益率,不停地投资,找到“时间的玫瑰”。&/b&&/p&&br&&p&&b&具体到目标,我认为是“战胜8%”,就是我前面说过的人民币每年的实际贬值速度。&/b&&/p&&br&&p&这并不是一个可以轻易达到的目标。&/p&&br&&p&首先,你必须要有一部分资金配置在流动性好的低收益的产品中,一般只有3%,年轻人的钱又不多,&b&意味着剩下的资金收益率必须超过12%,而市面上超过12%的产品,都是有一定风险的。&/b&&/p&&br&&p&但这又是一个可以达到的目标,如果无风险收益品种是5%,&b&对投资品种研究可以让你多加5个点,良好的投资习惯和风格再加2个点,风险控制能力再加2个点,达到这个8%妥妥的。&/b&&/p&&br&8&br&&p&我开始接触投资是从我的同事开始,他是中国第一代股民,“钱永远在疯狂的流转”,就是他告诉我的。这话让我想起了《爱丽丝漫游奇境》里王后的那句话:&b&“想要停留在原地,你要不停的跑,想要向前,你要以两倍的速度跑。”&/b&&br&&/p&&br&&p&&b&这讲的就是钱啊,所有的钱都在疯狂地向前跑,有钱人之所以更有钱,因为他们总是在跟着钱跑。不能跟上钱奔跑的速度,我们只能眼睁睁地看着自己的口袋里的钱被别人一张张地抽走。&/b&&/p&&br&&br&&p&&strong&首发“人神共奋”微信公众号,&/strong&每周两篇原创,&strong&颠覆你对职场的看法&/strong&&/p&&br&&p&近期热文&/p&&br&&p&&a href=&///?target=http%3A//mp./s%3F__biz%3DMzAxNTYyNjQ1Mw%3D%3D%26mid%3D%26idx%3D1%26sn%3D3eaaa5b23e1c%26chksm%3D807dc715b70a4efb1b746fcdace7ac69b7d%26scene%3D21%23wechat_redirect& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&天了噜!性格随和的员工薪酬更低?怎么破?&i class=&icon-external&&&/i&&/a&&br&&/p&&br&&p&&a href=&///?target=http%3A//mp./s%3F__biz%3DMzAxNTYyNjQ1Mw%3D%3D%26mid%3D%26idx%3D1%26sn%3D2ef8abcfscene%3D21%23wechat_redirect& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&职场“中等收入陷阱”:你的薪水为什么不再增加?&i class=&icon-external&&&/i&&/a&&br&&/p&&br&&p&&a href=&///?target=http%3A//mp./s%3F__biz%3DMzAxNTYyNjQ1Mw%3D%3D%26mid%3Didx%3D1%26sn%3Dc3dea7150c%26scene%3D21%23wechat_redirect& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&为什么北京上海的外地人变少了,房价却依然上涨?&i class=&icon-external&&&/i&&/a&&/p&&br&&br&&p&P.S.&/p&&p&1、有人觉得这篇文章只有理念,没有干货。没错,因为题主对理财有误解,所以答案当然偏理念;&/p&&p&2、每个人都有自己的合适的投资风格,不要相信别人的推荐,一心只要别人推荐投资品种、推荐具体股票,而没有投资策略的,你赚的钱将来一定会加倍吐出来;&/p&&p&3、本人的主业是回答职场问题,只是因为这个问题串到投资理财区,所以不可能回答具体怎么实现8%的问题,那些内容没有十几篇根本写不下来。&/p&
(主要内容)职场年轻人学习投资理财是在浪费时间吗?不喜欢投资理财的你,是如何被别人“撸羊毛”的?投资不仅仅是“钱生钱”,更是对未来生活的规划。战胜8%,你就是人生赢家。最后,中国第一代股民,告诉我的关于钱的真相。 1 在“职场年轻人该不该学习…
我自己是一个将要从学校滚蛋的大四学生,从大一开始接触信息安全到现在,各种收入大概能买几千个屁股先锋了吧。我可以介绍一下作为这个行业的学生(包括研究生、实习生等)可以靠哪些方面挣外快。&br&答案内涉及到利益关系很多,我围绕『钱』这个角度来说明问题,至于一些厂商服务、管理、法律上的问题我就不牵扯了。&br&&br&&b&一、挖通用程序漏洞,挣奖金&/b&&br&通用程序漏洞,顾名思义就是被大众大量、普遍使用的应用程序,这类程序的漏洞通常危害性巨大,可能可以影响数以万计的使用者。国内、外各大平台对于此类漏洞都有奖励机制,如果你挖掘到通用程序的漏洞并提交到这些平台上后,将会被给予一定的现金奖励。&br&比如国内漏洞平台乌云,对于通用漏洞有不错的奖励,这是乌云白帽子gainover的一页漏洞截图:&br&&img src=&/08caf3d7c7_b.png& data-rawwidth=&1924& data-rawheight=&1010& class=&origin_image zh-lightbox-thumb& width=&1924& data-original=&/08caf3d7c7_r.png&&其中标示着『$』符号的漏洞都是通用漏洞,$的数量决定了奖金的数量,一般来说有这样的规则:&br&&ul&&li&奖金100~500:一个$&/li&&li&奖金:两个$&/li&&li&奖金2500+:三个$&/li&&/ul&所以你可以算算他仅一页漏洞,就赚了多少奖金。&br&2016年,阿里巴巴公司旗下的安全情报平台『先知』也加大了对通用漏洞的奖励力度,5月份的排行榜中:&br&&img src=&/f71abb8a14e_b.png& data-rawwidth=&1160& data-rawheight=&786& class=&origin_image zh-lightbox-thumb& width=&1160& data-original=&/f71abb8a14e_r.png&&前五名的白帽子,大部分奖金都来自通用漏洞。其中维尼熊宝贝拿到了税前146300人民币的奖金,这是很多安全从业者一年的薪水,而白帽子可能通过一个月的兼职挖洞就拿到了。&br&360公司旗下的补天平台也是国内较早提供通用漏洞奖金的平台,早期我也在该平台获得过数万元奖金,但总体来说其对通用漏洞的奖金较少。该平台最大的优势在于其对事件型漏洞有一定奖励,我后面会说到。&br&除了国内的第三方漏洞平台以外,国外的一些漏洞收集平台的奖励更为可观,不过难度也更大。&br&国外有一个专门收取通用型漏洞的计划叫Internet Bug Bounty( &a href=&///?target=https%3A//internetbugbounty.org/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&The Internet Bug Bounty&i class=&icon-external&&&/i&&/a& ),在知名漏洞平台hackerone上标示着ibb的厂商就是这个计划支持的。白帽子挖掘到一些知名开源程序或库,诸如Ruby on rails、nginx、openssl等漏洞后,提交到hackerone,将可能得到数千美刀以上的奖金。注意啊,这里是美刀。&br&著名的『心胀滴血』漏洞,当初在hackerone上被给予了15000美元的奖金( &a href=&///?target=https%3A///reports/6626& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&᧢ TLS heartbeat read overrun&i class=&icon-external&&&/i&&/a& ),着实让人羡慕不已。&br&&img src=&/84f96a4ecfeae18eb554d085_b.png& data-rawwidth=&1922& data-rawheight=&190& class=&origin_image zh-lightbox-thumb& width=&1922& data-original=&/84f96a4ecfeae18eb554d085_r.png&&不过白帽子将其捐给了自由基金会,也是很令人敬佩的。&br&另外,谷歌的Project Zero也会收集并奖励一些通用漏洞,特别是像Windows、Linux、Android、IOS之类的操作系统漏洞,还有Chrome、Firefox之类的浏览器漏洞等,其奖金也从数千到数万美刀不等。国内的一些天才少年、白帽子和组织(如腾讯科恩实验室),通过挖掘安卓、IOS等漏洞,相信也从谷歌换取了不少奖金。&br&相比于国内的平台,国外平台对于通用漏洞有以下特点:&br&&ul&&li&奖金单位为美刀,奖金确实高&/li&&li&难度大,奖励范围小,一般仅限于用量巨大的应用或库&/li&&li&一般在漏洞修复后会公开,不会藏着掖着&/li&&/ul&所以,如果你对阅读开源程序代码、调试逆向客户端等方向感兴趣的话,挖掘通用漏洞赚取奖金绝对是一个非常实在的选择。我个人赚取的绝大多数外快也来自于这个方面。&br&推荐指数:★★★★☆&br&&br&&b&二、挖掘互联网漏洞,挣奖金&/b&&br&互联网漏洞就是存在于互联网任何一个角落的漏洞,可能是XX大学教务系统的SQL注入,可能是XX电商0元购买商品,也可能是XX社交平台任意用户登录等。&br&挖掘互联网漏洞是一个很敏感的行为,有时候就可能从白帽子变成黑帽子。但既然你前提是『非黑产』,这条路也是行得通的。&br&之前提到过的补天平台,对互联网漏洞有一定的奖励,如果你能挖掘到一些影响数据量较大的厂商、政府机关的漏洞,在补天平台上也可以换取数百元到上千元不等的奖金。&br&比如这个这个还有这个:&br&&img src=&/5dddffa78f967badbd3b251f5c75e509_b.png& data-rawwidth=&1328& data-rawheight=&828& class=&origin_image zh-lightbox-thumb& width=&1328& data-original=&/5dddffa78f967badbd3b251f5c75e509_r.png&&很多白帽子通过补天平台也赚取了不少奖金。除了补天以外,国内另一家漏洞平台『漏洞盒子』也对互联网漏洞进行奖励:&br&&img src=&/b1c37a0e637eca7a14b82_b.png& data-rawwidth=&1336& data-rawheight=&1072& class=&origin_image zh-lightbox-thumb& width=&1336& data-original=&/b1c37a0e637eca7a14b82_r.png&&相对而言,漏洞盒子更加关注企业的漏洞。不过其奖励力度较小,月度排行榜上首名的奖金也不高。&br&乌云对互联网漏洞的收集范围是最广的,但普遍没有奖金,只会给予一定的积分和rank值。使用积分可以购买一些日用品、电子产品与书籍,但总量还是有限。不过乌云上有的厂商对白帽子有一定的回馈,厂商曾经寄送给我京东卡之类的礼品,我想这也算隐形的收入之一吧。&br&总体来说,挖掘互联网漏洞对于赚外快来说更累,因为大部分互联网漏洞是没有奖金的,但如果你拥有相对准确度高、效率高的扫描器的话,坐享其成也未尝不可。&br&推荐指数:★★☆☆☆&br&&br&&b&三、参与众测项目,赚取奖金&/b&&br&众测应该是普通白帽子们最佳赚钱途径了,当然也是竞争最为残酷的途径。众测通常是没有私有SRC的厂商在一些第三方平台收集自己漏洞的一种方式,白帽子通过挖掘指定厂商的漏洞,能够换取数百到数千元不等的奖金,相比于挖掘互联网漏洞,难度较大回报也较高。&br&国内最早开展众测的是乌云众测平台,累计到现在已经超过395期了。我参与过一些项目,最低的项目奖金是这样(高的可能到5k至1w):&br&&ul&&li&高危漏洞:2000&/li&&li&中危漏洞:500&/li&&li&低危漏洞:100&/li&&/ul&通常一个项目挖到5个高危就心满意足了。有时候如果你能找到一个突破口,挖到20个高危也不是不可能,我也曾一个项目拿下4w+的奖金。&br&乌云众测参与的门槛较高,一般是要求在乌云主站提交过有一定质量的漏洞,并且通过积分换取参与门票,这就导致乌云众测中大牛比较多,所以经常会出现挖到的漏洞重复的问题。但其回报相对于付出足够高了,依稀记得今年3月的项目,有一个业余白帽子(其工作非信息安全)一个月挖掘到16w奖金:&br&&img src=&/65b18db35_b.png& data-rawwidth=&1350& data-rawheight=&948& class=&origin_image zh-lightbox-thumb& width=&1350& data-original=&/65b18db35_r.png&&乌云众测最大的长处就是项目众多,几乎每个月有十来个项目,粗略统计了一下6月份乌云众测有19个项目,这甚至比一些初创的众测平台所有的项目还多。所以,虽然乌云众测竞争激烈,但其饼子的数量也足够让一些有技术的白帽子赚到不少外快。&br&之前提到的先知安全情报平台也有一定的众测项目,但因为其创立时间不长,项目数量有些少,在写这个答案的时候进驻先知的厂商只有9个。但其奖励力度也不小,通常一个高危漏洞可以有3000以上的奖金。&br&感谢 &a data-hash=&99c5f3a58a3ef0d8b6e64f& href=&///people/99c5f3a58a3ef0d8b6e64f& class=&member_mention& data-hovercard=&p$b$99c5f3a58a3ef0d8b6e64f&&@笑然777&/a& 的纠正,先知平台有些项目测完后就不在列表里展示了,所以并不是只有9家。按照阿里云在国内云安全方面的地位与输出能力,之后的项目应该会更多。&br&先知平台最大的特点就是其打款速度惊人,其依托支付宝可以做到『今天确认,明天打款』。但其对漏洞审核较为严格,也导致很多界限模糊的漏洞得不到承认。&br&另外一点,先知平台对每笔奖金收取20%的税,这个是业内税收最高的。当然税收是国家政策也无可厚非,就是不知道其他平台是怎么规避的。相比于之前说到的乌云平台,先知的税高打款快,乌云的税低打款慢,如果急需用钱的话先知是个好选择。&br&360公司的补天平台推出了私有SRC模式,其实也就是众测的一种。补天的私有SRC项目相对比较简单,很多传统企业甚至12306进驻补天,但奖金也较低:&br&&img src=&/fef5f97f17c7e4c526c87e212a909855_b.png& data-rawwidth=&1092& data-rawheight=&1048& class=&origin_image zh-lightbox-thumb& width=&1092& data-original=&/fef5f97f17c7e4c526c87e212a909855_r.png&&上图是百年人寿的漏洞提交记录,可见高危漏洞从不等。但更多厂商的高危漏洞仅有1000元奖金。但因为这些厂商漏洞好找,所以数量上也弥补了金额上的不足。&br&漏洞盒子也是一个老牌众测平台,现在平均每月能有1~2个项目,很多大牛也通过漏洞盒子赚到了不少奖金。&br&漏洞银行是国内新出现的一个第三方众测平台,入驻(有不少厂商虽然入驻但不接受漏洞)厂商有近千个,其多数只接受高危漏洞,且奖励不高。暂无现金奖励,白帽子只能使用该平台的积分换取京东卡等物质奖励。&br&国内还有sobug、威客众测之类的第三方众测平台,但其项目有限,我也没参与过,就不做评价了。&br&总体来说,国内各大众测平台有如下特点(一般是这样,也不是没有特例):&br&&ul&&li&乌云众测:奖金高,项目多(机会多),打款慢,门槛高&/li&&li&补天:奖金中,项目数量少,打款快,门槛低,难度低&/li&&li&先知:奖金高,项目数量少,打款极快,门槛高,难度高&/li&&li&漏洞盒子:项目数量中,奖金中,打款速度一般,门槛低,难度中&/li&&li&漏洞银行:厂商数量大,奖金低(无现金),门槛低,难度低&/li&&li&sobug:项目少&/li&&li&威客众测:项目少&/li&&/ul&对渗透感兴趣、日站能力比较强的话,你可以选择性地参与这些众测项目,并通过众测项目赚取外块。&br&推荐指数:★★★★★&br&&br&&b&四、挖掘大厂商漏洞,在SRC换取奖金&/b&&br&互联网漏洞的另一个去处就是私有SRC。随着国内公司对安全逐渐重视,很多都成立了自己的应急响应中心,其中代表性的有腾讯公司的TSRC、阿里巴巴的ASRC和360公司的360SRC等,上述几个SRC对于自家公司网站、产品的漏洞奖励不菲,甚至对于一些威胁情报也有很高的奖金。&br&我个人混SRC不多,但身边很多朋友都或多或少在各大SRC提交过漏洞。TSRC是国内最老牌也是比较体贴的SRC,我曾经提交过一个腾讯公司的高危漏洞,很快奖励了相应的积分。TSRC的积分可以直接换取现金(无税),这是很多SRC没有的福利,并且在随后的一年里(哪怕这一年我再也没有提交其他漏洞),过节均会寄送礼物,像情人节的巧克力、端午节的粽子、中秋节的月饼等等,并且年底每人都会收到至少500元京东卡。&br&TSRC的奖励一般是一个严重(比如能够注入出用户数据的SQL注入漏洞)能拿到等于5k+RMB的积分,高危(比如QQ空间的存储型XSS等)能拿到等于1.8k+RMB的积分,并且如果漏洞优质能够领到额外现金奖励或每个月的即时现金奖励,比如TSRC著名白帽子rasca1,在今年3月和5月均获得了额外总共8w的现金奖励:&br&&img src=&/5ece344d383c8e44ba7c1cd_b.png& data-rawwidth=&2022& data-rawheight=&1020& class=&origin_image zh-lightbox-thumb& width=&2022& data-original=&/5ece344d383c8e44ba7c1cd_r.png&&其他实物奖励我就不多说了。除了腾讯自身的漏洞,TSRC前段时间开始收集威胁情报。让我印象最深的一次是,一个白帽子在玩腾讯某款游戏的过程中,发现有人在游戏里出售游戏币,并且比官方价格低很多,他向TSRC反映了这一情报。官方人员很快根据他的情报发现了一处刷金币的漏洞,及时弥补了被黑产窃取的金币。&br&后来TSRC给予了这个白帽子三万元现金奖励,这让我有种玩游戏玩着玩着就成土豪的感觉,实在很让人羡慕:&br&&img src=&/8dfeae51ce9a_b.png& data-rawwidth=&1456& data-rawheight=&872& class=&origin_image zh-lightbox-thumb& width=&1456& data-original=&/8dfeae51ce9a_r.png&&&br&类似的SRC还有阿里的ASRC,其奖金力度稍高于TSRC,但人文关怀不如后者,额外奖励(隐形奖金)也稍低。&br&国内还有诸多企业自建了SRC,奖励一定会比在第三方平台提交互联网漏洞要高,但有两个问题还是影响白帽子们提交漏洞的积极性:&br&&ul&&li&许多SRC的积分不能换取现金,只能兑换等值奖品,可能和税务有关&/li&&li&部分SRC还是在以白菜价收购漏洞,一个getshell漏洞可能只能换两百元的红包,中低危漏洞可能只有公仔&/li&&/ul&总体来说,挖掘诸如腾讯、阿里、360等自建SRC的厂商漏洞较难(也不是无技巧可寻),但其金钱上的回报也绝对够份。&br&推荐指数:★★★★☆&br&&br&&b&五、参与培训,担当讲师&/b&&br&当你有一定的技术后,就可以开始尝试去做一个知识的传授者。安全界有几种授课方式:&br&&ul&&li&私人培训,个人做一些视频教程,通过售卖视频教程获利,如某月的教程&/li&&li&在一些团队(论坛)担当版主或讲师&/li&&li&在一些在线教育平台授课,如爱春秋等&/li&&/ul&前两种多半会给人以『很坑』的印象,实际上确实是鱼龙混杂,但如果你真的爱好传授知识,去做一套视频教程不光是一个可以获取收益的行为,也是一个传递火炬的善举。&br&这是某安全团队做的一个培训的介绍截图,其价格在培训中属于偏低的,但如果其宣传手段得力,视频质量过关的话,薄利多销也是能够获得很多收益的:&br&&img src=&/e81eaa7cfac1bdddc826edc_b.png& data-rawwidth=&1702& data-rawheight=&762& class=&origin_image zh-lightbox-thumb& width=&1702& data-original=&/e81eaa7cfac1bdddc826edc_r.png&&&br&本人也做过一些授业的视频,个人收益通常少则可能50~100一节课(10~20分钟),多则可以到300~1000一节课。如果有一定能力的人,能够参与一些实地脱产培训的话,数千元乃至上万元报酬一天也是不少的。&br&这样的话,通常一套课程(可能30+节课)做下来,能赚数千元到数万元。&br&近几年新创的平台爱春秋也是信息安全在线教育的一个龙头,我曾有意向申请爱春秋的讲师但最后还是因为时间关系放弃了。此类新兴的在线教育平台可能(我不知道爱春秋什么情况,但我和其他一些平台有谈过此类问题)会以『收看量』、『购买量』来给予讲师报酬,其实和一些直播间类似了,收看你的教程的人数越多你的收益就越多。&br&这样对于一般的讲师来说有点吃亏,因为收看量(购买量)除了和讲师的水平有关系外,其实和平台的推广、用户体验、防盗版手段也有很大的关系,而这些原因是讲师无法控制的,所以我觉得如果你要在这些平台做培训的话,最好让平台能一次性买断,这样收益可能更大。不过如果你自信你的视频能够靠量来盈利,甚至能给平台带来额外的访问量,和平台合作也不失为一个好方法。&br&做讲师是一个需要口才的兼职,如果你感觉自己表达能力强可以尝试。并且做讲师通常没有太高的风险,而挖掘漏洞是有一定风险的——假如一段时间你什么漏洞都没挖到,那么可能这段时间一分钱收益都没有,而做讲师只需踏踏实实将自己的知识说出来,就有稳定的收入。&br&推荐指数:★★★☆☆&br&&br&&b&六、为一些扫描平台开发插件&/b&&br&这是一个新兴的职业,我将其称之为——扫描器插件开发工程师。随着国内各大厂商推出『可扩展』的『社区形式』的扫描器产品后,这个兼职也随之产生,白帽子可以通过为一些商业扫描器开发插件来赚取收益。&br&Tangscan是乌云平台依托其强大的漏洞库孕育的一个社区化的商业扫描器,白帽子可以为其有偿编写插件并获取积分。Tangscan在商业运营中,如果某个白帽子编写的插件扫描到安全漏洞,将会给予该白帽子一定的分成;即使其编写的插件没有命中目标,Tangscan每个月也有一定的分红:&br&&img src=&/d33a43fca76d_b.png& data-rawwidth=&1326& data-rawheight=&486& class=&origin_image zh-lightbox-thumb& width=&1326& data-original=&/d33a43fca76d_r.png&&这是Tangscan今年一月份的一次分红,可以看到排名第一的白帽子分到了2400块收益,但相比于挖掘漏洞来说确实还是太少了。我想的话,命中目标的奖金可能会比分红要高吧,不过我写的几个插件没有命中过目标,暂时不清楚情况。&br&Seebug是知道创宇公司运营的一个漏洞库平台,其实也是为其扫描器收集插件。创宇当时号称用百万元悬赏插件,实际上其奖励确实不低,我曾在该平台提交过数个漏洞详情与漏洞POC,通常一个漏洞+POC能换取总共100~300元不等的奖励。&br&这是Seebug第一期打款的截图,可见其奖励的力度确实比Tangscan要高一些:&br&&img src=&/aaaa781ab3d1eacdec00_b.png& data-rawwidth=&369& data-rawheight=&600& class=&content_image& width=&369&&&br&对编程能力突出的同学而言,编写POC是一个很好的工作,而且收益相对来说较高,一样稳定。只要有耐心慢慢写,稳赚不赔。&br&推荐指数:★★★☆☆&br&&br&&b&七、打CTF赚取奖金&/b&&br&对于学生来说,打CTF比赛无疑是提升能力的最好途径之一,当然其丰厚的奖金也是外快的好来源。&br&我有时会混迹于CTF比赛中,但多数CTF比赛的奖金不高,有的可能只有礼品,所以很多人并不将其作为金钱来源,而是学知识认识朋友的好地方。高奖金的CTF比赛也不是没有,Alictf是阿里巴巴公司举办数年的CTF比赛,其第二届比赛的奖金创造了国内CTF比赛之最:&br&&img src=&/bcedafa4dbf578_b.png& data-rawwidth=&690& data-rawheight=&460& class=&origin_image zh-lightbox-thumb& width=&690& data-original=&/bcedafa4dbf578_r.png&&10万元人民币奖金+美国拉斯维加斯BlackHat之旅,被香港中文大学的香米小组获得。我还记得当年第一届阿里CTF预赛,每个打进前30名的队伍的所有队员都获得了一部手机等等不记得的各种奖品。几乎是只要你打了比赛,做了几题就能获得礼物,对学生来说是一个非常大的激励。&br&这几年国内的CTF比赛如雨后春笋,有一些长期参与各种比赛的同学(熟称赛棍)凭借自己打CTF的经验,积累了不少奖金。不过毕业后能参与的CTF会逐渐减少,打CTF的时间、精力、小伙伴也逐渐减少。最后能一直坚持下来的同学可能更喜欢的是竞赛的感觉而非金钱上的回报。&br&不过现在CTF比赛在奖金上也有一些乱象,总结一下大概有:&br&&ul&&li&很多比赛因为税务的原因,将奖金折合成礼品发给获奖者,甚至比赛完后才告诉参赛人员这个事情,很没品&/li&&li&发礼品就算了,有的比赛奖金10000所以发一台Mac,可是CTF队伍通常有三人,于是队员还需自行处理礼品分配问题,导致奖励贬值&/li&&li&有的比赛受到赞助商影响,在路费、住宿费归属、报销问题上存在麻烦&/li&&li&有的比赛为了防止参赛者在互联网上讨论题目,甚至不允许参赛者上网,偏离了实战环境,导致做题做的很憋屈。有种因噎废食的感觉。(不过这一条和钱无关了)&/li&&/ul&不过这一年,CTF比赛相对于前几年收紧、少了很多,奖金也降了一些(特别是阿里CTF,今年的奖金不足去年的一半)。可能也是受到金融低迷的影响,也可能是各大公司招人招的差不多了。&br&推荐指数:★★★☆☆&br&&br&&b&八、写文章,赚稿费&/b&&br&10年前大家写了文章通常发布在安全论坛中,当时的黑客论坛讨论活跃、文章众多,后来因为国家的政策,包括安全行业形式的变化,论坛逐渐冷却,多数已不复存在。&br&现在的安全研究人员多数将文章发表在自己的博客,或者投稿给一些安全媒体赚取稿费。乌云平台的博客乌云drops对安全类文章的稿酬是比较高的,通常一篇文章有500元人民币的稿酬,而精华文章的稿酬将翻倍。除了稿酬以外,drops还会奖励给文章作者乌云的通用积分(大概价值200元),作者可以自行去兑换奖品。&br&我平时的文章也会分享到乌云drops,一是能够换取一些稿酬作为生活费,二是能够积攒自己的『简历』。后者属于另一个范畴,与钱无关,不多说。&br&另外,如果你英文好的话,去翻译一些国外的好文章也可以获得同样的稿酬,也就是说可能你的技术还达不到能够自己写出出彩文章的程度,但你去收罗一些国外的文章进行翻译也可以赚不少生活费。&br&楼上有个匿名作者说的其实也不错,安全圈和娱乐圈也就一墙之隔,写一写大众喜欢的文字也许比写纯技术文章更吃香。但我还是希望作者们坚持本心。&br&除了乌云drops以外,Freebuf、360安全播报、安赛等安全相关的媒体都对投稿的文章有一定稿酬奖励,不过金额和drops差一点。&br&所以,如果你技术高文笔好,或者英文好,或者能够抓住用户痛点,能够抓住实事,没事写写技术与非技术文章赚稿酬,也是外快的一部分,只不过确实没多少。&br&推荐指数:★★☆☆☆&br&&br&&b&九、给一些『安全公司』打工&/b&&br&兼职,主要是做一些渗透测试方面的工作,当然必须是合法的。&br&推荐指数:★★☆☆☆&br&&br&暂时想到这么多,之后有的再补充吧。。。睡了睡了,写了两个晚上~&br&允许转载,但切勿修改原文,避免丧失公平性!&br&&br&======&br& 补&br&有些人还质疑我,说几十万不可能。&br&除了井底之蛙,我还能说什么呢?我如果只是想装逼的话,没必要匿名。我说的所有内容都可以考证,举个例子,据我所知文中提到的维尼熊宝贝是一个大学生(曾经乌云平台上的一位通用奖励大牛),并且去年才高中毕业。他一个月的奖金就达到14w,相比起来我4年赚的根本不值一提。
我自己是一个将要从学校滚蛋的大四学生,从大一开始接触信息安全到现在,各种收入大概能买几千个屁股先锋了吧。我可以介绍一下作为这个行业的学生(包括研究生、实习生等)可以靠哪些方面挣外快。 答案内涉及到利益关系很多,我围绕『钱』这个角度来说明问…
我父亲教我的酒桌三段论。&br&适用于知乎上大部分&b&年龄不大的、偶尔才会说酒桌话&/b&的后生们。&br&&br&作为一个晚辈,每次我父亲带我出席饭局时,假如局中有人提议“不如请令爱来说几句吧,然后我们开酒。”我都会先与我父亲交换下颜色,假如他点点头,便起身,举着一杯酸奶(...)应用我爹的三段论。&br&&br&【一】讲今天的主题:节日/某位领导生日/某人高迁+今天请客的人&br&夸请客的人豪迈,不要直接说“请客”“结账”这类,要说是感谢这个人为我们提供这次机会。钱乃身外之物,别人花钱当然不是为了利益或社交,而是发自内心的制造一个大家在佳节相逢的机会。&br&&br&句式:首先,今天是圣诞节,感谢王大大/姜局长为我们提供这次难得相聚的机会。&br&&br&【二】照顾到酒桌上每一个阶级&br&[最高级]官位上最高 或者 年龄上最长 刚从国外回来的老朋友 有些事情要拜托的人 初次见面的人&br&句式:感谢姜局长不远万里来参加我们的聚会/但是说到这里,最最感谢的还是这次的聚会上可以见到王大大,我父亲经常跟我讲起您&br&[中庸级/大部分捧场的人]我一般会把我爹放到这个阶级里面,以及每次聚会我都经常见的熟人,还有级别比我爸低的人。&br&随便说说就行&br&句式:同时,也祝福x叔x姨我爹我妈,能在新的一年里,身体健康,事业顺利。&br&[打酱油的晚辈]&br&句式:也希望我们几个晚辈,能借各位叔叔阿姨的光,在接下来的学业与工作生涯中,努力向叔叔阿姨们学习,争取铸造与叔叔阿姨们能并论的辉煌成绩。&br&&br&基本上第二段说完之后,酒桌上就会有不小的对你的表扬了。有“您把令爱教得真好”云云,但此时千万别骄傲,不说完我们最后的高潮,回家后你爹绝对不会放过你的。&br&&br&【三】最后的杀手锏:将酒桌开局的开场转回【二】中的[最高级]&br&如果第二段说完之后,大boss还没讲话,直接酒桌开局,基本上就是废了。&br&句式:我也只是说几句发自我内心的看法和祝福,但我相信,各位叔叔阿姨们还是更为希望听到x局x处对我们有什么指导讲话blablablabla&br&&br&boss讲话,你会发现言谈逻辑,照顾之周到,措辞之不卑不亢,全然不如你。&br&然后就可以吃饭了嘻嘻。&br&&br&&br&&br&再讲讲碰酒的规矩。&br&1.所有人一起干一次。&br&2.一定要先敬你不太熟的人(如朋友的朋友、朋友的家眷等),和你比较熟的人,敬不敬都无所谓。&br&3.记得敬自己的晚辈(大部分是局内中等阶级的子女)。或者可以端着酒杯走到晚辈处,每个人碰一次。表达自己现在所从事的事业以及水平(基本样子是做给他们的父母看的),说以后有什么问题可以来找叔叔。&br&比如如果你是牙医,就说看牙一定要来找我。&br&&br&&br&再说说点菜。&br&&br&以中餐为例。&br&&br&硬菜的数量是局内人头的1/3:地上跑的天上飞的水里游的要兼顾 加上一个这家餐厅的特色菜 &br&蔬菜 1-2份&br&凉菜 如果喝酒的人多,3份 喝酒的人少 1份&br&如有女士,记得点一份甜品&br&如有客人带孩子来(18岁以下的一直玩手机的青少年),把饮料单给她。我一般的情况是,绕过某乐某碧某达,问有什么自制饮料,鲜榨的一大扎(避免芒果、榴莲等有过敏或厌烦可能的),热饮一大扎。然后自行端起饮料,不用服务员,走一圈倒到在场不喝酒的女士以及青少年酒杯的2/3&br&酒 在北方,啤酒按人头*2,白酒3瓶,自己带瓶好酒(茅台/红酒)
在南方不懂....
我父亲教我的酒桌三段论。 适用于知乎上大部分年龄不大的、偶尔才会说酒桌话的后生们。 作为一个晚辈,每次我父亲带我出席饭局时,假如局中有人提议“不如请令爱来说几句吧,然后我们开酒。”我都会先与我父亲交换下颜色,假如他点点头,便起身,举着一杯酸…
2016年装修,年底入住,在霾都,经历了十几天的连续爆表都没最终决定离开霾都,可能跟新房子有关,我在地产行业,做过精装修公寓、五星级酒店等好多项目,在做项目过程中参观考察了很多酒店和公寓,一直想象着自己家的样子,而目前这个家,是我目前最满意的。&br&我认为,在北方,最划算的投入有如下内容:&br&1、新风系统&br&2、分体式中央空调&br&3、洗碗机&br&4、纯水机&br&5、软水机&br&6、速热热水器&br&7、智能马桶盖&br&8、床头阅读灯&br&9、可抽拉龙头&br&10、烤箱&br&11、衣柜内置灯&br&12、独立设置的浴霸(制热、排风、灯分体的那种)&br&13、垃圾处理器&br&14、电动晾衣杆&br&15、黑板壁纸&br&16、感应灯&br&17、投影仪&br&18、电表箱&br&19.遮光布帘&br&20.扫地机机器人&br&等等&br&&br&此前在这个帖子里回答过问题:&a class=&internal& href=&/question//answer/&&添置什么东西能够提高家居质感? - 天生旅游瓜的回答 - 知乎&/a&&br&整理一下,补充到这里:&br&1、新风系统&br&在我大霾都,新风系统已成家庭装修必不可少的设备了,1是除霾1是排风去甲醛&br&我家采用美的的热交换器(风量500)加上得国肺牌的前置过滤箱,目前效果不太满意,室外爆表时室内出风口90,正在准备改造一下,加个静电除尘的前置过滤以及为静电除尘的产物-臭氧准备的臭氧回收滤网,改造好再来汇报。&br&有的知友提到新风的噪音还是比较大的,不知他有没有做好隔音,我家的主机、管道、甚至卫生间及厨房的铝扣板的背面,都是做了隔音处理的,这样,即便开500风量,我家睡眠也不受影响。&br&&img data-rawheight=&3024& src=&/v2-fd0321efd54ce7c60cc269e_b.jpg& data-rawwidth=&4032& class=&origin_image zh-lightbox-thumb& width=&4032& data-original=&/v2-fd0321efd54ce7c60cc269e_r.jpg&&&br&&img data-rawheight=&3024& src=&/v2-ca72f8d13bcb6_b.jpg& data-rawwidth=&4032& class=&origin_image zh-lightbox-thumb& width=&4032& data-original=&/v2-ca72f8d13bcb6_r.jpg&&&br&&br&&img data-rawheight=&3024& src=&/v2-bef7a1245cdfd56eba64_b.jpg& data-rawwidth=&4032& class=&origin_image zh-lightbox-thumb& width=&4032& data-original=&/v2-bef7a1245cdfd56eba64_r.jpg&&&br&。新风出风口甲醛为0,iqair出风口甲醛0.05,室内是0.07.一0.08&br&甲醛表不一定准,但是能体现规律,对于室内甲醛排除,至少新风的功力是大于空气净化器的,我家的净化器还是iqair,一个半月前刚换过活性炭滤芯。&br&也有看过我另外一个帖子的知友,能看到我当天测量出风口甲醛值在0.2左右,我百思不得其解,咨询了很多人,排除了很多原因,忽然一个评论点醒了我,就是hepa里的胶!想起以前还看过一句评论,刚收到滤网有点儿味儿,晾几天就好了……我测量那天刚刚换上新滤网,好吧,下次我也提前晾两天再装上&br&&br&&img data-rawheight=&1707& src=&/v2-cc4d88df66ae47c0edec7_b.jpg& data-rawwidth=&1280& class=&origin_image zh-lightbox-thumb& width=&1280& data-original=&/v2-cc4d88df66ae47c0edec7_r.jpg&&&br&&br&&br&&img data-rawheight=&1280& src=&/v2-50eff71cae886a8e5b95ce_b.jpg& data-rawwidth=&1707& class=&origin_image zh-lightbox-thumb& width=&1707& data-original=&/v2-50eff71cae886a8e5b95ce_r.jpg&&&br&&br&&br&去霾的数据&br&新风出风口数值&br&&img data-rawheight=&1707& src=&/v2-8edd5e2fd0daf_b.jpg& data-rawwidth=&1280& class=&origin_image zh-lightbox-thumb& width=&1280& data-original=&/v2-8edd5e2fd0daf_r.jpg&&&br&&br&&br&iqair出风口,恒久不变的0&br&&img data-rawheight=&1280& src=&/v2-13fdf12efb0b78ae90b26_b.jpg& data-rawwidth=&1707& class=&origin_image zh-lightbox-thumb& width=&1707& data-original=&/v2-13fdf12efb0b78ae90b26_r.jpg&&&br&&br&&br&厨房数值,没新风&br&&img data-rawheight=&1707& src=&/v2-2d91aa15dfdeb33a309900_b.jpg& data-rawwidth=&1280& class=&origin_image zh-lightbox-thumb& width=&1280& data-original=&/v2-2d91aa15dfdeb33a309900_r.jpg&&&br&&br&&br&室外118.当然空气堡的老房子室内是6,好羡慕老房子&br&&img data-rawheight=&1334& src=&/v2-a48dcfd9c11b39c6bb3fa723b351ebd4_b.png& data-rawwidth=&750& class=&origin_image zh-lightbox-thumb& width=&750& data-original=&/v2-a48dcfd9c11b39c6bb3fa723b351ebd4_r.png&&&br&&br&&br&新风过滤箱:&br&新风使用时要做好门窗的密封&br&&img data-rawheight=&1334& src=&/v2-deaa5bb918f53c_b.png& data-rawwidth=&750& class=&origin_image zh-lightbox-thumb& width=&750& data-original=&/v2-deaa5bb918f53c_r.png&&&br&&br&&br&&br&&br&&br&&img data-rawheight=&1334& src=&/v2-b9446868_b.png& data-rawwidth=&750& class=&origin_image zh-lightbox-thumb& width=&750& data-original=&/v2-b9446868_r.png&&&br&2、分体式中央空调&br&我家买的二手房,收房时各个房间都是发旧变黄的柜机or挂机,占空间,效果又不好,直吹等各种吹,室内温度不匀,而分体式中央空调就能解决这种问题,首先是节能,变频控制,其实是省了柜机占的地面面积,在我大霾都一平米都十万了,一个柜机得占几万的地儿啊,还是直接收到顶上做点儿局部吊顶省地儿。&br&卧室可以把吊顶跟衣柜做齐&br&&img data-rawheight=&1280& src=&/v2-5ebada23fb2_b.jpg& data-rawwidth=&1707& class=&origin_image zh-lightbox-thumb& width=&1707& data-original=&/v2-5ebada23fb2_r.jpg&&&br&&br&&br&客厅也只占个走廊的地儿&img data-rawheight=&1280& src=&/v2-4cdb953b64a2cf5c7f5e_b.jpg& data-rawwidth=&1707& class=&origin_image zh-lightbox-thumb& width=&1707& data-original=&/v2-4cdb953b64a2cf5c7f5e_r.jpg&&&br&其他的方位也做上吊顶,可以包新风管道&br&&img data-rawheight=&1280& src=&/v2-c5aa_b.jpg& data-rawwidth=&1707& class=&origin_image zh-lightbox-thumb& width=&1707& data-original=&/v2-c5aa_r.jpg&&&br&&br&可以顺便做个窗帘盒&br&&img data-rawheight=&720& src=&/v2-6b92ecf12e2a_b.jpg& data-rawwidth=&960& class=&origin_image zh-lightbox-thumb& width=&960& data-original=&/v2-6b92ecf12e2a_r.jpg&&&br&&br&&br&总之只要中部能露出来,安装个吸顶的花灯,我就满意了。&br&&br&3、洗碗机,西门子SC73M810TI&br&洗碗机也是在知乎上种的草,趁着新装修一并都拔了&br&真心好用呀,这是我家使用频率仅次于电热水壶的家用电器了&br&我家有8个小碗,基本上这8个小碗用光了的时候就开一次洗碗机,什么砂锅呀、炒锅呀、铲子,甚至切完肉的刀我都放进去,洗的干净又省水。顺便说一句,开始我用洗涤块,一次一块,后来看了好多帖子说这样浪费,就改用洗碗粉,一次15ml不到,一样洗的干净。&br&&br&省事儿体现在请客人吃饭的时候,像我这种强迫症是无法忍受用过的碗筷在水槽里放着的,一定要洗干净才罢休,洗碗机的优势就在于收完碗就摆到洗碗机里,就开机,然后就像没事儿人一样陪客人聊天啦~~~~~~~如果客人再吃一顿也不担心拉,直接取碗出来继续做一顿就好了。摆脱繁重家务的一大法宝,强力推荐。&br&嵌入橱柜内,占一个60公分的宽的位置。&br&&img data-rawheight=&3024& src=&/v2-f2e6eb52d_b.jpg& data-rawwidth=&4032& class=&origin_image zh-lightbox-thumb& width=&4032& data-original=&/v2-f2e6eb52d_r.jpg&&&br&&img data-rawheight=&3024& src=&/v2-2c08e9f0eee5305098fae23cd42ce504_b.jpg& data-rawwidth=&4032& class=&origin_image zh-lightbox-thumb& width=&4032& data-original=&/v2-2c08e9f0eee5305098fae23cd42ce504_r.jpg&&&br&&br&&br&4、纯水机&br&在搬新房之前,我家一直用碧然德的滤水壶,霾都的水质,你懂的,必须得用。不过前后换了几个壶了,因为电子显示即时的那种东西总坏,总得靠经验来决定是否换滤芯。还有就是滤水速度有点慢,烧一壶水要过滤两壶,大概得15-20分钟吧。&br&在知乎上潜水很久,最后选了3m的纯水机,将矿物质过滤掉的那种,作为补偿,办公室里购置了不少农夫山泉。&br&纯水机口感很好,有点儿淡淡的甜味儿,不知是否心理作用,不过这种随用随开的方式挺省事儿的,用上之后就离不开了。强力推荐。&br&小龙头。&br&&img data-rawheight=&960& src=&/v2-9b875b3abd309e9a70a400fd15d8f5b2_b.jpg& data-rawwidth=&720& class=&origin_image zh-lightbox-thumb& width=&720& data-original=&/v2-9b875b3abd309e9a70a400fd15d8f5b2_r.jpg&&&br&需要提醒的是,这家伙体积也不小,尤其是储水罐,要有空间才装。&br&右边3M标志的以及园水罐是纯水机,左边大块头是软水机,中间灰黑色的就是垃圾处理器。&br&需要提醒的是,橱柜下面要预留电源,多留几个没坏处。我原计划4个电器都了4个插座,事实证明不够用,因为有的电器电源线没那么长,需要就近使用插座,所以我家电工后来又帮我加了两个后加就难操作了。&br&&img data-rawheight=&3024& src=&/v2-ebf3b46a84ed56b26a044263_b.jpg& data-rawwidth=&4032& class=&origin_image zh-lightbox-thumb& width=&4032& data-original=&/v2-ebf3b46a84ed56b26a044263_r.jpg&&&br&&br&&br&5、软水机&br&软水机已经不是新鲜玩意了,可是我家刚刚用上。基本上就是几个作用&br&1、洗手时泡沫很多&br&2、头发柔顺很多&br&3、毛巾不再干硬了&br&4、接洗碗机时不再用专用盐了&br&不过这东西普遍个头很大,如果橱柜下面有空间,建议装上一台,严重提高生活品质。&br&&br&6、速热热水器,西门子DG280537TI&br&不知是不是所有的女生都喜欢泡浴缸,反正我喜欢,我还喜欢想泡就泡,开了水龙头就能放一缸热水,不用提前两个小时烧,等能洗的时候,都等的睡着了&br&于是我就入了这款80l的即热热水器,满足了我泡浴缸的要求,设到即热模式的话,平时也有71度,yes!&br&前几年我装修一个小房子时,就无意中选择了这种热水器,当时买了一个30L的美的的热水器,很好看,立着装,随用随洗,就觉得很好。比我婆婆家的要好,她家有一个老式的大品牌AO史密斯的80L热水器,跟我吹嘘了好多次,可能是年头太长了吧,安装5年后,每次洗澡都要提前两小时烧,无论淋浴还是泡澡,很不方便。这种吹嘘在她使用过我家那个30L热水器后才止住,改夸我家的热水器方便了。然后,我老公就给她买了个新的热水器,具体买的啥我就不知道了。&br&后来,我家的老房子,卫生间用热水很不方便,因为是厨房的燃气热水器供热水,中间隔着客厅,每次卫生间用热水,无论是洗澡还是洗手,都要先放掉一盆凉水,很浪费水资源,于是我就在卫生间装了即热的热水器,保证洗脸刷牙的温度,也不浪费水了。&br&新家的这款,就是西门子的,80L,吸引我的是他的超强保温功能,这代表他是节能的,即便温度设的很高,也不需要总是烧,不停的烧。用了一个月了,对于他这种开了龙头就能放一缸热水的能力,我很满意。平时就71度&br&&img data-rawheight=&3024& src=&/v2-a677d628f8a03df9ecc9f_b.jpg& data-rawwidth=&4032& class=&origin_image zh-lightbox-thumb& width=&4032& data-original=&/v2-a677d628f8a03df9ecc9f_r.jpg&&&img data-rawheight=&4032& src=&/v2-dccdf2aa44_b.jpg& data-rawwidth=&3024& class=&origin_image zh-lightbox-thumb& width=&3024& data-original=&/v2-dccdf2aa44_r.jpg&&&br&&br&&br&&br&7、智能马桶盖,toto 卫洗丽 TCF6631CS&br&家里陆续入了两个智能马桶盖了,老房子一个,新房子一个。其实我在2005年做五星级酒店项目时,厂家就推荐行政楼层全部上这个马桶盖,可是领导们也没用过吧,没采纳,遗憾。&br&直到2015年,全家去东京,发现不管是酒店,还是公共场所,马桶盖是标配啊,住了6天,溜溜用了6天,感觉真的,很奇妙,于是,去年老房子改造卫生间时,迅速购置了一个,开始只是我跟先生用,再后来我家小朋友也爱上了,到后来,搬了新家之后,因为只有主卫有智能马桶盖,这小子大便的时候就一定要征用主卫了。&br&嗯,等我攒点儿钱,一定要在客卫也给他装上一个。&br&所以,不管您现在要不要装智能马桶盖,请记得在马桶旁边,预留自来水接口,以及电源位置,总有一天,您会喜欢上他的。不然后期改造很麻烦。&br&&img data-rawheight=&4032& src=&/v2-569be9ab60dbb_b.jpg& data-rawwidth=&3024& class=&origin_image zh-lightbox-thumb& width=&3024& data-original=&/v2-569be9ab60dbb_r.jpg&&&br&有各种功能&br&&img data-rawheight=&1707& src=&/v2-aebee173347cda_b.jpg& data-rawwidth=&1280& class=&origin_image zh-lightbox-thumb& width=&1280& data-original=&/v2-aebee173347cda_r.jpg&&&br&预留水电是关键&br&&img data-rawheight=&1707& src=&/v2-0f6c81bf6d02c9a772f0_b.jpg& data-rawwidth=&1280& class=&origin_image zh-lightbox-thumb& width=&1280& data-original=&/v2-0f6c81bf6d02c9a772f0_r.jpg&&&br&&br&&br&8、床头阅读灯,雷士,可调式 4W开孔75mm暖黄,&a class=& external& href=&///?target=https%3A//s./AIDMmCx& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&s./AIDM&/span&&span class=&invisible&&mCx&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&床头阅读灯也是从做五星就酒店项目开始接触的,老外设计的五星级酒店,标配就是床头阅读灯,考察的项目里,不是装在头顶的吊顶里,就是装在床头板旁边,或者二者兼而有之。这次终于给自家主卧上了一套,两个灯分别控制的,这边看书那边睡觉,各不影响,再也不用占床头柜的地儿摆台灯了,满意!&br&&img data-rawheight=&1707& src=&/v2-ddaabec7b6a_b.jpg& data-rawwidth=&1280& class=&origin_image zh-lightbox-thumb& width=&1280& data-original=&/v2-ddaabec7b6a_r.jpg&&&br&&br&&br&&img data-rawheight=&1280& src=&/v2-07b7fe75eb2ef8b3aa60_b.jpg& data-rawwidth=&1707& class=&origin_image zh-lightbox-thumb& width=&1707& data-original=&/v2-07b7fe75eb2ef8b3aa60_r.jpg&&&br&家里的射灯都买的这种&br&&img data-rawheight=&1334& src=&/v2-cf30d5fc988d13a7e732a1_b.png& data-rawwidth=&750& class=&origin_image zh-lightbox-thumb& width=&750& data-original=&/v2-cf30d5fc988d13a7e732a1_r.png&&&br&&br&&br&9、抽拉龙头&br&家里装了两个抽拉水龙头,一个放在厨房,用盆,锅接水时再也不用端着或者放水槽里把底部弄脏或者弄湿了,放在台面上就好,还省劲儿&br&&img data-rawheight=&3024& src=&/v2-a78144fdaa796cdf4e823eb302ada775_b.jpg& data-rawwidth=&4032& class=&origin_image zh-lightbox-thumb& width=&4032& data-original=&/v2-a78144fdaa796cdf4e823eb302ada775_r.jpg&&客卫也放了一个,长发女生要每天洗头又不想每天洗澡,就在洗面台上冲一下,很方便&br&龙头颜值也不错的&br&&img data-rawheight=&3024& src=&/v2-20f6c7da4edf6b10b13cadc_b.jpg& data-rawwidth=&4032& class=&origin_image zh-lightbox-thumb& width=&4032& data-original=&/v2-20f6c7da4edf6b10b13cadc_r.jpg&&&br&10、烤箱&br&每个主妇都有个烘焙梦,我做烘焙不在行,购入烤箱后做得最多的就是烤肉了,烤鸡翅、烤猪排、烤羊腿、烤牛肉干、烤披萨~~~~主论主菜还是小零食,都轻松拿下,甚至做早饭的时间都能捎带手烤个牛肉干给我跟儿子带点零食,烤主菜的时候,再炒个青菜,一顿饭就轻松搞定了,实在是太方便了。&br&&img data-rawheight=&4032& s
