其实诸如这些篡改网页和电视台，以及电子公告屏幕的行为，代价是非常大的。除了博人眼球，制造舆论意外，没任何意义，很容易就暴露了。

真正国家之间的对抗，是可以让目标基础设施瘫痪的。比如震网病毒，就把伊朗的核设施破坏了。还比如某勒索组织，加密了美国的石油管道系统，让美国宣布国家进入紧急状态，当然让半个美国网络瘫痪也可以。

https://zhuanlan.zhihu.com/p/378291643
https://www.guancha.cn/internation/2021_05_10_590216.shtml?s=zwytt
https://baike.baidu.com/item/10%C2%B721%E7%BE%8E%E5%9B%BD%E7%BD%91%E7%BB%9C%E7%98%AB%E7%97%AA%E4%BA%8B%E4%BB%B6/20158055?fr=aladdin

关于这些高级黑客的攻击手法，可以看我司的书： https://www.qianxin.com/book/detail?book=5

我也贴一篇我写的文章。毕业那年的总结： https://wanglejie9.github.io/redleaves-blog/index.php/archives/31/index.html

安全应该交给安全部门来做，术有专攻。看样子，你们也没有安全编码规范，发版本前也没有代码审计，这事怪不到开发头上。

并且，入侵的攻击链都没排查出来，没有证据，就更无理取闹了。

也可以用 phpstudy ，如果只是展示出来测试一下的话。

宝塔面板，很容易的。

现在行情不好，做好心理预期。

我也是二本，可能没啥具体的建议。干了两年开发，只能说这一行太苦了。毕业去了四川省会，换了四五家公司，只有一家加班少一些。但也不保证能够准点下班，临近下班总会有事情耽搁。期间也动过考公的念头，考了一次，当炮灰了，只能说太卷。

我大学学生时代的梦想是找个好工作进名企，虽然现在也有同学去 jd 了，但我一点都不羡慕，看他朋友圈相片，加班到凌晨一点。钱多有怎样，都是拿命换的。

后来我去做安全了。换条赛道，感觉容易多了。不加班了，头发也长起来了，心情也舒畅了，钱还变多了。
但我觉得人活在世上，不能只为钱。

其实我想说的是，选择比努力更重要。我如果当程序员，竞争激烈，可能要百分之两百努力才能进名企。但我做安全，可能只需要百分之六十努力就能进名企。

如果楼主要选择一个方向，一定要选个竞争小的，一是避免内卷，二是更容易出成绩。

我也是主力用京东。目前是京东的会员，每月都有运费券，还可以免费领京东阅读 vip 。

淘宝买小东西和衣服鞋子的时候用一下。

@n30v1 具体哪家就不发论坛了，避免广告嫌疑。有需要加我 VX 私聊吧，base64：am9ld2FuZzByZw==

@wukongkong 另外，给老哥推荐一部电影，感受下黑客的魅力。《我是谁，没有绝对安全的系统》

@wukongkong 学习路径大概是这样子：编程基础(HTML,JS)+一门后端语言，然后是 web 常见漏洞的学习，然后是中间件漏洞(Apache,tomcat ，weblogic 等)，然后是安全工具的使用。学到这里，可以达到找到网站漏洞并利用，拿到网站控制权。这一步能够达到修改网站首页的水平，比如留下自己大名到此一游。曾经所谓的红客入侵美国白宫，留下五星红旗，大概就在这个水平。

进一步，需要以网站控制权为立足点，进一步控制服务器。这个阶段就是学习权限提升。因为拿到网站控制权后，默认的权限是普通用户，需要提升到超级管理员，才能在服务器上为所欲为。内容有 Windows 和 Linux 的基础，起码能够搭建网站。Windows 和 Linux 常见的权限提升漏洞以及一些套路。

能够控制服务器后，就有机会能够进入一个大型站点的内网。大型站点通常是一个集群，由多台服务器组成一个内网。当通过网站漏洞控制其中一台服务器后，就需要以这台服务器为立足点，进一步攻破其他内网服务器。这个阶段叫内网渗透。攻击成功的话，可以拿到内网的凭据，你可以在所有服务器中自由翱翔，出入自由。

对于一些企业，办公网是一个独立的网络，不和服务器所在的网络相连，控制了服务器自然还达不了办公网，无法窃取企业机密，比如研发部门员工电脑上的代码。或者是企业的服务器都在云上，和办公网完全是两个不同的网络。所以还有个阶段叫社会工程学。社会工程学和钓鱼攻击息息相关。比如你伪装成保洁员，去目标公司翻垃圾桶，有机会找到员工的外卖单子，快递单等等。你可以冒充外卖商家或快递单，诱导目标员工打开含有恶意代码的网页等等，从而控制员工 PC 。然后再进行内网渗透，控制办公网。

当然，还少不了一门编程语言。目前比较流行的是 python 和 golang 。学习的目的主要是为了解决工作中的自动化问题。举个例子，你伪装成银行工作人员，去目标公司搞活动，比如填写问卷调查送礼品。从而收集到员工的姓名和手机。但是对于不同部门的员工，钓鱼邮件可能会有不同的说辞。这个时候，就可以使用上述两种编程语言批量发邮件。

大概就这些，学习路径按照攻击链去学习，先学习能够控制网站涉及的知识点，然后是控制服务器的知识点，然后是内网漫游的知识点，然后是社会工程学等等。

为知笔记。

@onice 有一点忘了说，做安全，年龄焦虑没有做开发那么大，全凭实力。坏处就是圈子比较封闭，很多东西都要自己研究。没有任何一本书会教你攻击怎么绕过防护设备和软件。

楼主对攻防技术感兴趣么？可以试下安全这块。我是从 Java 转安全的。薪资变高了，还不用加班。身边有同学一年半经验，从上海 8.5K 回武汉，直接 17K 。

花点钱，去暗月，小迪等人手里入一套课吧。

挺严峻的，国家都出手了： https://cujiuye.iguopin.com/

目前还在学 html 和 css ，先 mark 。