专访尹毅(法师Seay):少年成名,野路子的奇妙逆袭【T00ls人物专访第五期】

2015-12-24 19:42:03 110 51208 4

信息安全行业相对其他行业更是如此,也更能体现出技术比学历重要,高手更能公平的实现自己的价值。在这个行业里,你比别人差的原因,就是自己不够努力。

张爱玲说过,出名要趁早。信息安全行业相对其他行业更是如此,也更能体现出技术比学历重要,高手更能公平的实现自己的价值。在这个行业里,你比别人差的原因,就是自己不够努力。很多90后是这个圈子里的新秀,90后在这个行业创造意义:挖掘漏洞无数无休止,代码审计技高一筹,狂刷SRC令人称奇,WEB渗透秒杀一切服务器,玩转内核底层源码无极限。



        尹毅(法师Seay),也是这样的一位90后,却又是有点不同的一位。他是阿里集团最年轻的P7,有着非凡的成长经历,坚持学习数年,专注自己兴趣所在,终于在21岁生日之前出版了自己的处女座《代码审计:企业级web代码安全架构》,堪称90后安全行业圈的典范。除此之外,他还是Seay源代码审计系统作者。

【1】尹毅的故事以及现状:
       
        初中的时候,尹毅以全校第一的成绩考上了重点高中。上了高中后,一次偶然机会在wap论坛上看到了刷钻、盗QQ、种远控木马这些帖子。从此之后,一发不可收拾,冬练三九,夏练三伏。冬天每天晚上拿着手机捂在被子里,夏天拿着手机躲到厕所里(为了躲避老师查宿舍)看帖子到凌晨3、4点。这段时间里尹毅几乎把图书馆中所有跟技术有关的书籍都看完了。当图书馆也满足不了他的求知欲时,他自己买了本C++的书,下课看,上课的时候也看。还有一次因为上课看技术书籍,被老师抓住,当场把尹毅心爱的书,扔进了垃圾桶。

        尹毅还讲诉了一件有意义的事情:因为学习写代码需要电脑,他硬是从每个月300块(除掉车费、网吧费不到300)的生活费里,攒出来500块钱在网吧淘了一台运行酷狗都卡的电脑。这是他人生的第一台电脑,尽管那台电脑配置差劲的很,但尹毅当时的兴奋感是无以言表的。一学期的时间,成绩从全班前三急剧下滑到倒数几位。一次在阅览室看杂志,杂志封面印的是重庆XX软件学院,一家软件培训中心。那时候尹毅已经意识到想玩好安全必须要玩好编程。于是,在跟父母磨了几个星期之后,终于同意他去重庆了。高一没上完就已然辍学,这也是他第一次走出家乡,第一次笃定的做了这样的一个选择。
       
        到重庆之后,算是到了新世界,一座陌生的城市,一个不可预料的未来。他终于可以真正做自己喜欢的事情了,最疯狂的时候连续通宵了一年,每天跟网上的好哥们搞渗透、写代码。成绩嘛,理所当然的是在全校前列。
       
        “非北京不去”,这是尹毅还在培训中心时候的想法。学期还没结束,约了几家北京的公司面试。第一家面试的是知道创宇,早上六点起床从酒店出发,坐车将近三个小时的时间,终于到了知道创宇,面试之后,余弦跟他说要做一套题目,考核什么的算下来时间要一周时间。而第二天又去中关村面试了安全宝,那时候安全宝只有两个人做安全,这也是他选择留在安全宝的最主要的原因,因为尹毅看来,人少代表着有更大的发挥空间大,做的事情会比较多,学到的东西也比较多,事实证明他的选择是正确的。
       
        在安全宝的时间,前期主要工作是做漏洞分析、waf调优一类,2013年下半年,由于客户的服务器被入侵,需要尹毅以及他的团队协助检查和恢复,于是收了1000块钱帮这家客户做了个授权渗透测试和应急响应。后来类似这样的工作越来越多,但依然是他一个人在做。到2014年的时候,渗透测试已经成为了他们所在部门的核心业务,也是全公司盈利最多的业务,有的单笔价格整整翻了100倍,每周起码有三天时间,尹毅都在和刺,还有销售团队出去拜访客户,几乎北京各个行业top的企业他都有去拜访过。

        之后,业务热卖,慢慢忙不过来,刺还调侃尹毅“要不要给你招个女秘书啊。”。2014年初尹毅组建了一个战斗力很强的渗透测试团队,按技能分工明确。在2014年9月,尹毅所在的部门被阿里巴巴收购,现在非常热卖的云盾渗透测试服务正是由这个团队驱动。
       
        2014年4月,尹毅参加了在北京国际会议中心举行的Qcon(北京全球软件开发者大会),演讲了《移动APP背后的安全问题》,会后机械工业出版社的吴怡老师找到尹毅,问他想不想写一本关于移动安全的书。当时尹毅没有答应,不过之后尹毅又找到了吴怡老师,说想写一本关于代码审计的书。于是经过一年的时间,《代码审计:企业级web代码安全架构》在2015年开始发售,销量还算不错。
       
        聊起关于以后的打算,尹毅说自己一直有创业的想法,创业是他必须要做的一件事情,现在也经常会关注创业方面的内容,我们相信,这一天离尹毅越来越近。
               
        尹毅目前在阿里巴巴做云盾态势感知这款产品,主要从技术上给一些输入。生活上还算过的去,家里还养了条拉布拉多,经常出去逛逛商场,在家里做做饭,K下歌,生活也挺有味道。

【2】网络信息安全观

        1.你认为网络信息安全发展的趋势会是怎样的?

        前不久一次分享写了一个PPT,大致的内容是介绍这些年来攻防对抗从IT时代到DT时代的一个演变过程,阿里的星图、知道创宇的zoomeye、云盾态势感知以及某某平台分布式插件化的扫描器,这些产品的到来就是最好的证明 攻防从当初的一个小工具变成大规模、分布式、数据为王。另外还有一个方向就是我创业要做的事情,目前不方便说。

        2.对黑产和白帽子的看法,你的倾向于选择,为什么很多人选择了黑产?
       
        对于黑白帽子、黑红客称号的看法,我很早以前就在博客首页挂上了“不是任何帽子任何客,只想做自己喜欢的事情。怀恋最初的激情”,在一些场合介绍自己工作的时候,大多时候对方都会说“哇哦,你是黑客”,这时候我都会勉强的苦笑一下,相比跟别人说“我是黑客”来表达自己很牛逼,我更乐意说只是单纯的技术爱好者。

        3.对网络安全事故频发如何看?
       
        记得去年我在朋友圈发过一句话,说国内99%的知名企业都已经被拖库,每次新闻炒的火热说某某公司XX亿数据泄露,我从来不去跟风,意料之中的事情而已,只是之前没人捅出来。被拖库是很正常的,因为我一直都在做渗透测试工作,所以对于国内企业安全的现状还是比较了解,如果一个技术还算不错的人盯上一家企业,必须要搞下来,那估计这家企业是跑不掉的。

        4.个人如何更好的学习技术?
       
        其实对于个人技术发展来说,我的建议是不要太中规中矩,这不敢做那不敢干,技术和思维就会被固定在一个框架内,招人的时候我都更倾向于招"野路子"自学出来的人。

【3】说说《代码审计》

        1.怎么就想起来写一本书呢?为什么是代码审计?
       
        写书是因为知道我迟早会不做技术,也许会不做安全,想在行业留下一个脚印,去帮助还没踏到这块地的后来者,应该这么走,避免他们少走一些弯路,说的理想一点为了建设更安全的互联网。另外一个原因是这个领域还没有书,但是却需求很大,有需求就有市场,我相信这本书一定能大卖。
       
        2.写作一共耗时多久?写书是否影响了你学习新技术?

        这本书一共耗时差不多一年半才发售,中途有很长一段时间都搁置着,理应是在2014年底就开始发售的,足足拖了一年,中途想过放弃,不过这种想法是早就猜到了的,为了不让自己放弃,通常我都会事前就把自己逼上绝路,比如很早到处说自己在干某某事情,吹出去的牛逼,碍于情面一般都会有动力去完成它,这就是我的做事方法。短期是不打算写书了,因为还有更重要的事情做,或许我的下一本书会是讲创业故事,哈。

        3.估计还有的朋友计划写安全类书籍,你相对他们说什么?把你的经验分享分享。
       
        给准备写书的朋友一些建议,第一写书会让你丧失很多娱乐时间,需要耐得住寂寞,另外一个问题是会有被捆绑的压迫感,越是时间到后面,没有耐心写的时候,压迫感就越强,所以一定要找到能给自己提供动力的点。

【4】朋友眼中的法师Seay

        Master:都说年轻人血气方刚,初生牛犊不怕虎。我认识的尹毅,身上就有这种气质。作为技术男我们应该推崇低调做人,“高调”做事,这一点我看到了尹毅身上的影子,为人谦虚低调做事情认认真真。对朋友更是肝胆相照,两肋插刀,属于那种你敬我三分,我回敬你十分的朋友。不了解尹毅的人可能觉得他年龄小,不成熟。嫉妒尹毅的人可能觉得在他这个年龄,得到的工作、薪水等不成正比。但是大家没有看到的是当一些人在嫉妒别人、嘲笑别人的时候,别人正在努力学习,奋力追赶的来提高自己,而尹毅就是这种人,永远没有停止自己的脚步,总是在前进中。“一分耕耘,一分收获”这八个字可以很好的形容尹毅的成长脚步了。作为朋友,想说的话很多。作为空间位置的限制,我只想用20个字概括一下好朋友尹毅:为人低调,不骄不躁,敏而好学,做事认真,敢想敢做。

        晴天小铸:他是个聪明且有眼光的boy.能寻找有价值有意义的事,激情,情商高,还是能把控工作状态的八尺高泡妞帅哥. 年轻有为
       
        tenzy:富具创意并心细如尘,胸怀大志且不甘人后,好学谦虚还不耻下问,他具备了成为新一代安全界领导的才能和智慧,些许年后的尹毅值得我们期待。
       
        矢志成谜:尹毅今年才21周岁(94年出生),让大家想不到的是,他甚至连高中都没上过。学历虽不高,但却不影响这本书的质量,这本书虽然只有200多页,但内容绝对是精华,尤其是最后40页,可以这么说填补了安全书籍在业务安全和安全体系设计上的空白(当然,最后40页能够问世,也有本人的几滴汗水)。与高学历的专家教授不同,尹毅在写书的过程中,与我有过交流,让我感觉到他的踏实纯真,不擅长的东西不写,假大空的话不说……

关于作者

假说9篇文章12篇回复

评论110次

要评论?请先  登录  或  注册
  • TOP1
    2020-9-29 21:17

    安全的确是一个技术比学历更重要的行业

  • TOP2
    2021-7-13 15:15

    之前号密码忘了,这两年一直在创业太忙了。不怎么研究安全了

  • 10楼
    2015-12-24 22:49

    书,已经用了几天看完,讲的很透彻,但是感觉不深。其实既然大多都是引用互联网上的一些技术点。但为何不引用一下ryat大神的代码那。从整体来讲,确实适合新手入门。赞一个。 其实可以引入一些关于php内核挖掘然后应用层验证的案例。还有时下最火的反序列,ryat大神写的php code hack类似这些好多都没引进去。可惜之处。声明以上并没有挑衅的作者的意思。只是说了一些看完的见解。xi望出第二版。引如一些php更深层的代码审计。毕竟现在关于这些网上挺多的。谢谢作者辛苦付出。

  • 9楼
    2015-12-24 22:49

    书已经到了。看了第一章没时间看,一定挤时间看完。

  • 8楼
    2015-12-24 22:23

    兴趣加坚持下来了啊

  • 7楼
    2015-12-24 22:18

    经常去他的站逛,代码审计工具做的不错。

  • 6楼
    2015-12-24 21:47

    法师的签名版的书还没有到,心塞

  • 5楼
    2015-12-24 21:30

    支持,有时间买书支持下

  • 4楼
    2015-12-24 20:10

    没有一个好的交流圈 现在的圈子利益太重 人太浮躁

  • 3楼
    2015-12-24 19:57

    90后脱颖而出的越来越多了...

  • 2楼
    2015-12-24 19:52

    一气呵成。。给t00ls论坛送10本书吧?

  • 1楼
    2015-12-24 19:49

    兴趣是最好的老师,代码审计的书还是很多错的,我该努力学xi了