我学过的课程的笔记。按字母排序。
1分钟阅读
我学过的课程的笔记。按字母排序。
新闻里"撞库"、"凭证填充"、"pass the hash"这些词,本质都是穷举密码——但路数不一样。一篇讲清 4 种 brute force 攻击的玩法、为什么 hash 存密码救不了你、以及 vibe-coder 在登录系统里该放哪几道闸。
AI 让你"在 Vultr 上配 UFW"、"用 WireGuard 连服务器"、"在 nginx 上加 reverse proxy"——三件事看起来都是"在数据流中插一刀",目的完全不一样。这一篇把防火墙、VPN、代理三大"中间层"工具讲清楚,看完你审 AI 的每一条网络规则,知道它在防谁、放谁、改谁。
Claude Code 有一堆定制方式,选错就是给自己找复杂。这一篇用一张主表把六个选项摆平:CLAUDE.md(永远在场的项目规范)、skill(按需加载的任务专长)、斜杠命令(你手动触发)、subagent(隔离上下文里的委派)、hook(事件触发,如存文件跑 linter)、MCP(接外部工具)。核心是按"谁触发它、在哪运行、什么时候在场"区分,不要把什么都硬塞进 skill。
skill 是把"这件事该怎么做"写一次、AI 之后自动套用的可复用说明书。这一篇讲清:一个 skill 长什么样(SKILL.md + name/description)、AI 凭什么决定用它(description 匹配)、该放哪(个人 ~/.claude/skills vs 项目 .claude/skills)、以及它和 CLAUDE.md、斜杠命令的关键区别——自动 + 按需加载。
AI 让你"在 Cloudflare 启 WAF"、"加 rate limit"、"装 fail2ban"、"强制 HTTPS"——每条都在防一类具体攻击。看懂三大类网络攻击(DoS/嗅探/欺骗),你才看懂为什么 AI 这样配你的服务器。这一篇把攻击和防御对上号。
云厂商负责 "of the cloud" — 机房、硬件、虚拟化、基础网络;你负责 "in the cloud" — 配置、数据、身份、应用。AI 帮你跑通的是前者,后者它不会替你做。这一篇把分界讲清楚,顺便是学 AWS 之前必看的一张图——AWS 的所有 IAM / VPC / Security Group / 加密都落在"你的那一半"里。
课程教 CIA Triad 像在教语法,但它真正的价值是把它当成你的安全母语。本文用 6 个真实场景演示怎么用 CIA 拆问题。
CISSP 八大域不是给考试背的列表,是一张定位地图。看到任何安全活动,要能立刻定位到对应的域 — 它在战略层、构建层,还是运营层。
Coursera × Google Cybersecurity Certificate 第 1 门。给完全不懂安全的技术人科普,概念扎实、偏纯理论。我打 8/10。
IAM 不是一个软件,是一整套"谁是谁 / 能干啥 / 什么时候被收回"的工程化方案。这篇讲清楚 IAM 和 AAA 的关系、两大底层原则(最小权限 + 职责分离)、三种授权模型(MAC/DAC/RBAC)、以及 vibe-coder 让 AI 接入权限系统时该看什么。
AI 在你服务器的 terminal 里跑命令,你需要的不是会自己敲,是看一眼知道它在做哪类事。这是一张速查表,按 6 件事分组(目录导航/读文件/改文件/搜索/权限/查帮助),每条命令一行——它叫什么、干什么用、怎么用。卡住时打开来查。
virus、worm、trojan、ransomware、rootkit、botnet、fileless malware…新闻里这些词混着用,但它们是按"怎么传播 / 装在哪 / 干啥"分类的。一篇拉一张对比表,把 11 种恶意软件放到同一个坐标系里,顺便讲 vibe-coder 在 AI 时代该警惕的两条新传播路径。
Coursera × Google Cybersecurity Certificate 第 3 门。AI 让你"在 nginx 加 reverse proxy"、"Vultr 上开 2222 端口"、"把 Supabase 放进 VPC"——你想知道它在做什么、防什么、出错会怎样。这门课给你这套词汇和心智地图,顺便是学 AWS 的最佳前导。我打 9 / 10。
OWASP 6 原则是一份设计决策框架。任何新功能设计前过一遍,6 条都过得了才能上线;任何 1 条 no,那里就有漏洞。
OWASP 是全球最有名的应用安全非营利组织,出品的 Top 10 是 web 安全圣经。它不是教你怎么攻击,是告诉你"99% 的网站都是死在这 10 类错误上的"。这一篇逐条讲,每条给一个 AI 容易踩的现场和你该如何反查。
Pen test 不是扫漏洞,是模拟真实攻击——同一套工具、同一套技巧,只是合法。这一篇讲清 pen test 和 vulnerability assessment 的本质差别、red/blue/purple team 谁负责什么、三种信息盒子(黑/灰/白)怎么选、以及 vibe-coder 用 bug bounty 平台薅羊毛的入口。
Heather 是 Google 安全工程 VP,她给 PII 处理只立了 4 条铁律——静态加密、传输加密、最小访问、审计记录。看起来朴素,但你让 AI 替你处理用户数据时,每一条都是踩坑现场。这一篇逐条讲它在防什么、AI 容易写错在哪、正确做法是什么。
美国课程讲 PII / SPII,但你在澳洲做 SaaS 真正要对照的是 Privacy Act。本文对比三套术语,给在澳洲运营的人一份实操清单。
Coursera × Google Cybersecurity Certificate 第 2 门。比 Course 1 多了三个能直接落地的 framework(NIST RMF / OWASP 6 / 事件响应 6 阶段),拿到手就能用。我打 7.5/10。
代码报错是常态,关键是会修。这一篇讲清三类错误:语法错误(报错且告诉你行号)、异常(语法对但跑不动,如 NameError/IndexError/TypeError)、逻辑错误(不报错但结果是错的——最危险)。配错误对照表 + 三种调试策略(读报错、print 大法、调试器/断点),最后讲为什么 AI 生成的代码最容易藏"沉默的逻辑 bug",你必须自己验。
函数是把重复逻辑打包成可复用单元的工具。这一篇讲清 parameter(定义时的占位)vs argument(调用时的实参)的区别、return 怎么把结果传出来、以及全局变量和局部变量为什么不能同名。全程用"剩余登录次数"这个安全场景举例,最后给一条铁律:别让函数依赖全局变量,要什么用参数传。
AI 给的代码顶部总有一堆 import,这一篇讲清三件事:(1) import 语法 5 行学完,(2) Python 标准库按用途分类的重点模块 + 安全分析师必认的第三方库(requests/pandas/bs4/scapy 等),(3) pip install 背后的供应链风险——typosquatting、PyPI 投毒、xz-utils 事件,以及验证一个包到底能不能装的 4 道关。
Python 自带一堆开箱即用的"内置函数",不用写就能用。print/type 已在数据类型篇讲过,这一篇聚焦 max / min(找最大最小)、sorted(排序)三个最常用的,加一个关键技巧:把一个函数的输出直接当另一个函数的参数传。重点点出 sorted 的两个坑——不会改原列表 + 不能混类型。
Python 里数据分 8 种类型:字符串、整数、浮点、布尔、列表、元组、字典、集合。这一篇先用一张表给全景(怎么写、能不能改、有没有序),再逐个拆解,重点讲它们在网络安全脚本里各自派什么用——比如为什么软件标识符要用元组而不是列表;最后补上 print()/type()/注释 三个天天用的配套工具。
条件语句是脚本"自己做决定"的开关:满足条件(评估为 True)就执行动作,否则跳过。这一篇先讲清 if / elif / else 三个关键字的分工和最容易踩的语法坑(冒号、缩进),再讲 6 个比较运算符和 and / or / not 三个逻辑运算符,全程用 HTTP 状态码这个安全分析师天天遇到的例子。
循环就是让一段代码重复执行的开关:已知要遍历一个序列用 for,要根据条件反复跑用 while。这一篇讲清两种循环的语法、range() 怎么生成数字序列、break(直接退出)和 continue(跳过这一轮)的区别,以及什么是无限循环。全程用计算机资产清单、登录次数限制这类安全场景举例。
正则(regex)是一段描述"长什么样"的模式,用来从字符串里批量捞出 IP、邮箱、设备 ID、登录记录。这一篇讲清 re.findall() 怎么用、字符类符号(\w \d \s . \.)和数量符号(+ * {n} {n,n})两张速查表、Python 左到右的匹配机制,最后手把手拆解一个从混合日志里提取"用户名+登录次数"的真实 pattern。
skill 不工作时,毛病几乎总落在几个可预测的类别里:不触发、不加载、用错了、被同名高优先级盖住、插件 skill 不出现、或运行时报错。这一篇给你一张症状对照表 + 逐项修法:先跑 skills 验证器排结构、用 claude --debug 看加载错误、不触发八成是 description、不加载查目录和文件名(必须叫 SKILL.md)、运行报错查依赖/权限/路径(Windows 一律用正斜杠)。
基础 skill 只要 name + description,但四个进阶技巧能让它强很多:用全套 metadata 字段(加上可选的 allowed-tools、model)、把 description 写到能可靠触发、用 allowed-tools 给安全敏感场景上"只读保险"、用渐进式披露(SKILL.md 控制在 500 行内 + references/scripts/assets 分文件按需加载)。脚本只跑不读、只有输出耗 token。最后:Claude 自带 skill-creator,别自己手写;建完一定要验证它真被加载出来。
装了几十个 skill 会不会拖慢 AI?不会。这一篇钻进引擎盖:Claude 启动时只读每个 skill 的 name+description(省 context),用语义匹配你的请求,加载完整内容前会告知你;命名冲突按 企业→个人→项目→插件 决定谁赢,并教你用描述性命名避开冲突;改或删 skill 后必须重启才生效。
99% 的真实入侵不是从破代码开始的,是从骗人开始。social engineering 是一族攻击的总称,phishing 是其中最常用的子集。这一篇讲清 5 种社工套路 + 5 种 phishing 变体,以及 AI 时代为什么 vishing 突然变得危险——和 vibe-coder 用 AI 写自动回复时该立的安全护栏。
AI 写 SQL,你需要的不是从零写一句,是看懂它写的那一句。任何 SQL 查询都只在 4 个 slot 里填东西——挑哪几列、从哪张表、什么条件、怎么排序。看懂这 4 个 slot 加 4 个 silent bug 信号,90% 的 AI 输出你都能审。
密码本身不够安全,所以现代系统几乎都叠了两层:SSO 解决"密码太多记不住所以人人都用 123456"的问题,MFA 解决"密码迟早会泄露"的问题。一篇讲清两者怎么配合、AI 给你接 SSO/MFA 时在做什么、以及你只需要审计哪几个点。
AI 说"443 端口走 TLS"、"DNS 解析"、"包丢了"——所有网络配置词汇都落在 TCP/IP 4 层中的某一层。先认层,再认词,你看 AI 的网络配置就有了脚手架。这一篇把 4 层 + 数据包 + IP/MAC + 端口讲清楚,后面所有网络相关的话题都从这里铺开。
tcpdump 是命令行版的抓包工具,一条命令把流经网卡的数据包录下来、存成 pcap、再回放分析。这一篇讲清楚抓包语法、6 个必会选项(-i/-w/-r/-v/-c/-n)、过滤表达式、以及怎么读懂那行以时间戳开头的输出——附速查表。对 vibe-coder:当你想知道"我的应用到底往外发了什么"时,这是最直接的工具。
Coursera × Google Cybersecurity Certificate 第 4 门。教 Linux 命令和 SQL——不是让你自己敲,AI 会敲;是让你看一眼就知道 AI 在 terminal 里做了什么、在数据库里挑了什么。我打 8 / 10。