#安全感#

对网安圈的「她」来说

分量格外重一些

不只给自己，也给更多的TA

来，一起听听「她」的故事

———

她是一名渗透测试工程师，也是一名独居女性，日常充满警惕性的她，格外注重环境安全。

这天，下班回家的她，一直惦记着尚待验证的攻击路径分析，失手输错了6次智能门锁的密码。“如果再输错一次密码，会触发锁定告警吗？”她思索着，手指盘桓在自家门锁密码盘上方许久，故意再次输错。出乎意料地，门锁并没有被锁定，也没有触发任何安全措施。

验证了心中的疑虑，她最终按下正确的密码，安全进入家门。可是职业的敏感性，令她愈发狐疑：“如果不触发任何安全措施，是不是可以一直试下去？”

下定决心，她立即对自家智能门锁开展了一波安全代码审查和渗透测试，一探究竟。测试结果表明，这款智能门锁的密码校验策略的确存在逻辑漏洞，攻击者可以通过遍厉密码等方式将其暴力破解，进而实施下一步威胁行为。

———

她是一名安全意识培训师，职业影响使然，日常生活中的她，非常注重个人信息保护。

双卡双待是基本操作，财务账号绑定的手机号，永远与社交媒体分割开；使用支付APP必定连接运营商的5G网络；快递信息要么匿名，要么马克笔涂抹伺候；弱密码？从来不在她的词典中……

这天傍晚，一名“同事”发来的压缩包资料，让她开启了“警惕雷达”。

“某同事”

师傅，这是当时的资料哈。

她

师傅，您这是什么项目上的程序呀？咱之前对接的项目收尾情况正好要对齐一下，我们电话沟通一下吧。

果然，该“同事”在她要求通话交流的催促下，突然噤了声。她随后立即拨通了该同事的真实手机号，印证了猜想——果真此“同事”非彼同事，这就是一场社会工程学攻击携钓鱼文件登场的骗局。

故事到这里，还没结束。日常注意个人信息安全的她，究竟是哪里出现了安全盲区？

在细数日常的可疑细节之后，她找到了一个可能的答案：原来，她的智能语音助手，不知何时开启了全天候语言云端分析服务。

虽然服务商通常会限制数据访问权限，通过数据加密等方式保障数据安全，但未知的安全威胁当前，也难免有漏网之鱼。对于普通用户来说，屡试不爽的缓解措施是：关闭服务，应用本地解析。

安全无小事，多一些知识背景，就能减少一丝信息被动泄漏的风险。在后续的安全意识培训中，她着重更新了相关领域的培训内容，在这个数字化、智能化的世界里，让人们多一份安全知识，以己之力，守己安全。

———

她是安全技术服务团队中的一员，新入这行不久。

周末，她像往常一样和闺蜜聚餐散心。畅谈间，闺蜜轻描淡写的一句话，刹那间触动了她的安全DNA。

嗨，吓我一跳！今天在***开源产品上上传文件，不小心拖了个exe安装包进去，居然还上传成功了！好在没啥事儿～

告别闺蜜回到家，那句话的余音，总在她的脑海挥之不去。莫非，这个开源产品存在文件上传漏洞？经过一番测试求证与分析，她辗转联系到开源软件的厂商，提交了漏洞研究报告，协助厂商通过限制文件上传后缀为白名单、添加安全设备等方式处置了产品安全风险。

面对厂商的致谢，她认真地回应道：“多谢夸奖，其实，我只是TA们中的一员，没什么特别的。”

不是唯一，而是之一

这就是台前幕后守护安全的

我（wǒ）们（men）

———

安全铸就安全感

守护安全之人

正是wǒmen中的每一位

新的一年 愿wǒmen

步履不停 乘风破浪

持续以自身的独特魅力