HG028B与HG0930协助吉利学院举办网络安全线上公益讲座活动

zzzy

2026年2月14日，吉利学院与西部猎人网安实验室联合举办网络安全线上公益讲座活动，该活动协办单位包括HG028B、HG0930以及临夏网络安全研究中心，本次活动圆满成功。

1.涉及议题

• 《本科阶段网安的学习规划》
• 《网安专业的考研规划》
• 《AI时代下的网络安全就业规划》
• 《AI安全：基础理论、技术概述及实践探索》
• 《JS通用漏洞挖掘&供应链安全全面解析》
• 《渗透测试≠工具堆砌：技术落地的关键节点》
• 《近源渗透攻防技术研究与实践》
• 《“你的密码，真的安全吗？——从弱口令到社工陷阱的全面防御”》
• 《CTF之后，漏洞挖掘之前》

  2.荣誉证书

  

3.讲座纪要

讲座活动分为上午与下午场，现将讲座简单纪要分享，以作交流。

3.1 上午场

3.1.1 时间

2026年2月14日 09.30-11.30

3.1.2 纪要

• 考研与就业选择：考研能提供扎实理论基础，是进入大厂或从事教职的重要路径。学硕侧重理论研究、学费较低（约8000元），通常要求发表论文；专硕偏向实践、学费较高（超1万元），部分学校接受竞赛或专利作为毕业条件。备考建议：数学分三阶段（3-8月基础、8-10月强化、11-12月冲刺），英语坚持每日背单词、7月起做真题；专业课（408）使用王道教材，重点攻克数据结构与计算机组成原理，初试后应立即准备复试。
• 技术能力积累：掌握Burp Suite、Wireshark、Git、Docker等工具，关注安全公众号获取前沿资讯。强调动手实践，通过搭建博客、参与CTF、挖掘SRC漏洞积累经验。关注CCF A类顶会论文并尝试复现，将漏洞复现过程记录为项目经历。
• 就业策略：当前行业虽处"寒冬"，但资深工程师仍具竞争力。建议专注一个方向（如代码审计、云安全）做到精通，利用AI作为辅助工具而非依赖。简历使用专业邮箱，附技术博客/GitHub链接，突出技术栈与项目经历。面试诚实作答、事后复盘，大三下开始实习积累经验。
• AI安全新方向：AI安全岗位分为红队评估、威胁检测、策略制定等方向，网安背景人员转型具备优势。需掌握提示词注入、提示词泄露等攻击原理，通过构造特定输入可绕过AI安全机制。

3.2 下午场

3.2.1 时间

2026年2月14日 14.00-16.30

3.2.2 纪要

• JS漏洞挖掘与信息收集：利用插件自动获取JS路径，结合AI和文件编辑器进行漏洞挖掘。通过子域名爆破、GitHub泄露、前端路由API接口、移动端抓包等手段收集信息，重点关注小程序和APP接口（通常比Web端更脆弱）。
• 供应链安全解析：供应链攻击分为软件、硬件和服务三类。通过七脉数据、天眼查等工具收集目标组织的服务提供商信息，利用网站指纹识别、隐性指纹（如未删除的测试链接、CSS/JS引用的供应商内部域名）发现同源系统和敏感信息泄露。
• Vue网站与越权访问：使用JS遍历插件或js finder工具修改路径进行越权测试。实战中红队需明确分工（一线渗透、安全研究、翻译、运维），打点阶段通过钓鱼（邮件、微信、QQ、钉钉）获取权限。
• 钓鱼与免杀技术：邮件伪装对自建网关有效，但对企业邮箱（如Outlook）效果有限；落地免杀依赖智能扫描和行为判断；C2初始侦查需收集服务权限、杀软和EDR信息。BadUSB利用固件篡改伪装成HID设备，绕过存储控制策略执行恶意代码，具有高度隐蔽性。
• 内网与云上渗透：内网渗透需统计服务部署、评估技术挑战层次、进行攻击路径演练，掌握本地提权和域内攻击方法。云上内网受架构限制较多，需深入了解云产品权限配置。权限维持可通过DNS隧道、SMP隧道等隐蔽通道实现。
• 安全防护建议：升级资产版本、微服务化、真实环境不保留敏感信息；强制修改初始密码、防范钓鱼攻击、采用多因子认证；提高安全意识，做好应急响应预案。CTF比赛可培养快速学习和信息检索能力，但需结合实际漏洞挖掘和代码审计提升实战能力。

4.题外话

本人虽有企业甲乙方经历，但现已进入高校且能力有限，羞愧于不能带领学生感受网安之美妙，十分感激HG0930的flower师傅承担起本次讲座嘉宾的邀请之责，为我校学生带来网络安全实践者的前沿经验与知识！感恩之至，且寒假期间举办的活动，今日才完成荣誉证书盖章流程，十分惭愧。