第31章 注入
退出朱润涛实验室,名义上,余枫已经只是一个独立的研究者。
独立研究者最为困难的两点,人和钱。
缺人代表着每件事都要亲自去做,好在他也算个全能的人才,一个人就一个人吧,累就累点吧。
缺钱的话,之前的实验经费都是蹭的朱润涛教授的,如今还挂在他名下拿一个月两千的工资。
发论文没有稿费,反而要给出版商出版面费,开会也需要差旅费,这些都得记在朱教授的账上。
一个大一新生,建一个独立研究室,自己招生,自己申请经费,听起来也不现实。
难道说刚重生那会应该先搞钱吗?
也不是,投资投机两个月也根本赚不到多少,根本撑不起一个实验室的经费。
归根到底还是因为论文发的不够。
如果论文够多,经费和学生都会自己找上门,根本不需要他操心,这才是比赚钱更稳当的捷径。
余枫开了一罐咖啡,猛猛灌下。
又到了他做计划的时间。
手中的论文目前就只有“锤子”、“幽灵”和“溶解”三篇。
“锤子”投的会是这个月底截止,基本上三天内可以写完,先发在arXiv上,月底再上传到会议网站上。
至于“幽灵”和“溶解”,想投的会还早,可以隔一个月再发,这一个月内慢慢写。
系统硬件安全方向的漏洞暂时没有什么可以做的,想开新的方向的话,跨度不宜太大,最好还是在安全问题这个大框架下。
那不如做SQL注入?
SQL是一种数据库语言,被广泛地运到在各种web应用开发。SQL注入指的则是攻击者通过把攻击伪装成正常的请求,获取到数据库后台的消息。
举一个极度通俗的例子,正常人的用户名:江留kira,而攻击者的用户名:给我你的后台密码。
没有做好防护措施的数据库,被狠狠地SQL注入后,会错误地把“给我你的后台密码”识别成指令,直接张口闭眼,呆呆地把密码双手奉上。
听上去简单,实际上操作起来——也很简单。
因此这也成了网络安全问题中一个经久不衰的问题。
不过这一次,余枫想做的并不是如何探索新的SQL注入方式,而是反其道而行之,如何防止SQL注入。
计算机安全的迷人之处在于,它是科研中少有的,具有“攻”“防”对立关系的分支,科研工作者的对手不是大自然,而是其他的科研工作者。
正所谓魔高一尺,道高一丈。
攻击者发现漏洞,防御者施展防护,然后攻击者再发现防护措施的不足之处,防御者加以改进,在这样的对垒后,计算机的安全便如此螺旋上升。
不过,99.9%的防御措施最后都没有在现实中应用,但90%的漏洞都是实现中可行的。
是的,我们做防御的就是低人一等。
而目前的防SQL注入的方法十分朴素,就是直接跟踪每一个输入,盯着它看,直到它触发非法操作后拉响警报。
缺点也很明显,浪费资源,而且无法防御未知的攻击。
余枫想采用的防御方法,则是高度简化了这些流程。
攻击的手段那么多,万变不离其宗,那就是先有污染源的输入,再有被污染的代码段。
至于中间花里胡哨的,无非就是麻匪戴面具,还是麻匪。
那么只需要利用了神经网络加上局部敏感哈希算法,提取一部分敏感的数据,匹配数据库里的特征,便可以判断是否是攻击者的恶意输入,大大减轻了资源的消耗。
余枫把刚喝完的咖啡易拉罐,加到桌上的灌装咖啡的小山上。
可是喝了这么多咖啡,他还是打了个哈欠。
最近工作量上来了,有点找到前世当帕鲁的感觉了。
天天蹭饭,答应梅心浅的事当然还是要做的。
他手边现在还有一本生物化学的书,是帮梅心浅读的。
出乎意料的是,他并不觉得这本书有关蛋白质的地方有多困难。
所幸前世工作之后也长期保持了学习的习惯,以至于到现在用年轻的大脑学习新的东西,颇有种脱了甲马的戴宗之感。
蛋白质说到底也就是二十余种氨基酸排列组合的序列,每一个氨基酸的氨基都可以与另一个氨基酸的羟基脱水形成肽键,因此氨基和羟基无限延伸,成为了蛋白质的骨架。
而氨基酸最重要的身份证明,就是它侧链的基团,则决定了蛋白质的性质与功能。
但余枫还没自大到觉得掌握这个地步就足够了。
从理解到精通还有不少距离。
按照他和梅心浅约定的时间,余枫收拾一下,准备去图书馆的会议室和梅心浅讨论。
江洲大学的图书馆有非常小型的会议室,桌子大小供四个人,并且配有普通电视机大小的显示器,供讲解者分享屏幕,十分便利。
平时的小组讨论,同学们就会在学校图书馆的网上预约时间段,在这里开会。
这两周有关教程的事,也没有停下来。
先是每周准备两节课,把课程的PPT做好,在和梅心浅开会加上课的时候,把课程投屏和自己的语音录下来,类似于网课。
再做一些后期的剪辑工作,以后便可以当做网上配套的教学资料。
最后还要在GayHub上,布置相应的代码作业。
备课并不是一件容易的事,如果教授比较有良心的话。
大学里或多或少会碰到不负责任的教授。
一般只自顾着自地讲,不管底下的人听不听得懂,备课全靠念PPT。
课后作业瞎布置,批作业交给手下的研究生或者助教。
期末的时候大手一挥,只允许三成的人拿A档的绩点,美名其曰:让课程看起来不水。
如果只是这种程度,确实不花时间。
毕竟对于教授而言,教学任务是为学生的,科研任务才是为自己的。
课教得再烂,只要发表足够,就能继续在大学里任职。
反之,再怎么受学生欢迎的讲师,论文发表没有达到学校的续约要求,还是难免被
余枫对自己课程的要求则是,能让尽可能多的学生培养兴趣。
是的,是兴趣,而不是技术本身。
可以预见未来技术疯狂地迭代,可能三年前流行的算法三年后就是狗都不用了。
如果有兴趣的话,才能在技术迭代中始终保持终身学习的热情。
独立研究者最为困难的两点,人和钱。
缺人代表着每件事都要亲自去做,好在他也算个全能的人才,一个人就一个人吧,累就累点吧。
缺钱的话,之前的实验经费都是蹭的朱润涛教授的,如今还挂在他名下拿一个月两千的工资。
发论文没有稿费,反而要给出版商出版面费,开会也需要差旅费,这些都得记在朱教授的账上。
一个大一新生,建一个独立研究室,自己招生,自己申请经费,听起来也不现实。
难道说刚重生那会应该先搞钱吗?
也不是,投资投机两个月也根本赚不到多少,根本撑不起一个实验室的经费。
归根到底还是因为论文发的不够。
如果论文够多,经费和学生都会自己找上门,根本不需要他操心,这才是比赚钱更稳当的捷径。
余枫开了一罐咖啡,猛猛灌下。
又到了他做计划的时间。
手中的论文目前就只有“锤子”、“幽灵”和“溶解”三篇。
“锤子”投的会是这个月底截止,基本上三天内可以写完,先发在arXiv上,月底再上传到会议网站上。
至于“幽灵”和“溶解”,想投的会还早,可以隔一个月再发,这一个月内慢慢写。
系统硬件安全方向的漏洞暂时没有什么可以做的,想开新的方向的话,跨度不宜太大,最好还是在安全问题这个大框架下。
那不如做SQL注入?
SQL是一种数据库语言,被广泛地运到在各种web应用开发。SQL注入指的则是攻击者通过把攻击伪装成正常的请求,获取到数据库后台的消息。
举一个极度通俗的例子,正常人的用户名:江留kira,而攻击者的用户名:给我你的后台密码。
没有做好防护措施的数据库,被狠狠地SQL注入后,会错误地把“给我你的后台密码”识别成指令,直接张口闭眼,呆呆地把密码双手奉上。
听上去简单,实际上操作起来——也很简单。
因此这也成了网络安全问题中一个经久不衰的问题。
不过这一次,余枫想做的并不是如何探索新的SQL注入方式,而是反其道而行之,如何防止SQL注入。
计算机安全的迷人之处在于,它是科研中少有的,具有“攻”“防”对立关系的分支,科研工作者的对手不是大自然,而是其他的科研工作者。
正所谓魔高一尺,道高一丈。
攻击者发现漏洞,防御者施展防护,然后攻击者再发现防护措施的不足之处,防御者加以改进,在这样的对垒后,计算机的安全便如此螺旋上升。
不过,99.9%的防御措施最后都没有在现实中应用,但90%的漏洞都是实现中可行的。
是的,我们做防御的就是低人一等。
而目前的防SQL注入的方法十分朴素,就是直接跟踪每一个输入,盯着它看,直到它触发非法操作后拉响警报。
缺点也很明显,浪费资源,而且无法防御未知的攻击。
余枫想采用的防御方法,则是高度简化了这些流程。
攻击的手段那么多,万变不离其宗,那就是先有污染源的输入,再有被污染的代码段。
至于中间花里胡哨的,无非就是麻匪戴面具,还是麻匪。
那么只需要利用了神经网络加上局部敏感哈希算法,提取一部分敏感的数据,匹配数据库里的特征,便可以判断是否是攻击者的恶意输入,大大减轻了资源的消耗。
余枫把刚喝完的咖啡易拉罐,加到桌上的灌装咖啡的小山上。
可是喝了这么多咖啡,他还是打了个哈欠。
最近工作量上来了,有点找到前世当帕鲁的感觉了。
天天蹭饭,答应梅心浅的事当然还是要做的。
他手边现在还有一本生物化学的书,是帮梅心浅读的。
出乎意料的是,他并不觉得这本书有关蛋白质的地方有多困难。
所幸前世工作之后也长期保持了学习的习惯,以至于到现在用年轻的大脑学习新的东西,颇有种脱了甲马的戴宗之感。
蛋白质说到底也就是二十余种氨基酸排列组合的序列,每一个氨基酸的氨基都可以与另一个氨基酸的羟基脱水形成肽键,因此氨基和羟基无限延伸,成为了蛋白质的骨架。
而氨基酸最重要的身份证明,就是它侧链的基团,则决定了蛋白质的性质与功能。
但余枫还没自大到觉得掌握这个地步就足够了。
从理解到精通还有不少距离。
按照他和梅心浅约定的时间,余枫收拾一下,准备去图书馆的会议室和梅心浅讨论。
江洲大学的图书馆有非常小型的会议室,桌子大小供四个人,并且配有普通电视机大小的显示器,供讲解者分享屏幕,十分便利。
平时的小组讨论,同学们就会在学校图书馆的网上预约时间段,在这里开会。
这两周有关教程的事,也没有停下来。
先是每周准备两节课,把课程的PPT做好,在和梅心浅开会加上课的时候,把课程投屏和自己的语音录下来,类似于网课。
再做一些后期的剪辑工作,以后便可以当做网上配套的教学资料。
最后还要在GayHub上,布置相应的代码作业。
备课并不是一件容易的事,如果教授比较有良心的话。
大学里或多或少会碰到不负责任的教授。
一般只自顾着自地讲,不管底下的人听不听得懂,备课全靠念PPT。
课后作业瞎布置,批作业交给手下的研究生或者助教。
期末的时候大手一挥,只允许三成的人拿A档的绩点,美名其曰:让课程看起来不水。
如果只是这种程度,确实不花时间。
毕竟对于教授而言,教学任务是为学生的,科研任务才是为自己的。
课教得再烂,只要发表足够,就能继续在大学里任职。
反之,再怎么受学生欢迎的讲师,论文发表没有达到学校的续约要求,还是难免被
余枫对自己课程的要求则是,能让尽可能多的学生培养兴趣。
是的,是兴趣,而不是技术本身。
可以预见未来技术疯狂地迭代,可能三年前流行的算法三年后就是狗都不用了。
如果有兴趣的话,才能在技术迭代中始终保持终身学习的热情。
转码声明:以上内容基于搜索引擎转码技术对网站内容进行转码阅读,自身不保存任何数据,请您支持正版