精华内容
下载资源
问答
  • PKI 公钥基础设施原理与应用

    千次阅读 2019-12-21 19:56:08
    文章目录PKI 是什么PKI 详细介绍PKI 的组成核心算法CA 机构数字证书证书撤销机制应用:访问控制参考资料 ...它是一个提供安全服务的基础设施,PKI 技术是信息安全技术的核心,同时也是电子商务的关键和基础技...

    PKI 是什么

    Public Key Infrastructure(PKI),中文叫做公钥基础设施,可以理解为利用公钥技术为网络应用提供加密和数字签名等密码服务以及必需的密钥和证书管理体系。它是一个提供安全服务的基础设施,PKI 技术是信息安全技术的核心,同时也是电子商务的关键和基础技术。

    PKI 的主要目的是发“身份证明书”,网络上通信时,如果能相互确认身份证明书,就能确定是在跟对的人通信。身份证明书不能私人订制,需要可信的发证机构来颁发才行,就像派出所给个人发的身份证一样。

    PKI 详细介绍

    PKI 的组成

    PKI 是一个标准,下面以最常见的用户访问 HTTPS 网站场景来看看PKI 常见组成部分和交互流程。

    PKI 组成部分

    上图中有以下组件:

    1. CA 机构:是 PKI 的核心,主要负责数字证书的申请和签发、已颁发证书的管理,还要负责证书黑名单的登记和发布。
    2. Web 服务器:如果在 Web 服务器上部署了 HTTPS 域名,那么就需要去 CA 机构申请该域名匹配的 CA 证书。该证书用于浏览器鉴别网站身份、以及实现浏览器和网站之间的加密通讯。
    3. 用户浏览器:浏览器在访问使用了 HTTPS 的域名时,会收到 Web 服务器传来的 CA 证书,浏览器需要使用一定的策略来验证证书的有效性,包括使用根证书来签证签名有效性和去 CA 机构查询该证书是否被撤销。

    核心算法

    PKI 标准建立在非对称密钥、散列算法的基础上,什么是非对称密钥呢?什么是散列算法呢?

    介绍非对称密钥之前,要先说一下对称密钥。对称密钥是指加密和解码使用的是同一个密钥,常见的对称加密算法有 DES、3DES、AES。非对称密钥在加密是使用一个密钥,解码时需要使用另一个密钥,两个密钥是不同的,分别称为公钥和私钥,大名鼎鼎的 RSA 就是非对称密钥了。

    非对称密钥的公钥是可以公开的,私钥不公开。这样其他用户使用公钥加密的数据,只有私钥拥有者才能解密,在解密的密钥不需在网络上传输的情况下,实现了机密数据的安全传输。

    散列算法也叫哈希函数、单向加密,顾名思义经过散列算法加工得到的数据,无法逆向解密得到原始数据。所谓哈希函数是,输入任意长度的消息,通过一个单向的运算产生一个定长的输出,这个输出被称之为 Hash 值。因为长度较短、碰撞较少的特点,经常用来检验数据是否被篡改。常见的散列算法有 MD5、SHA-1、SHA256 等。

    非对称密钥是实现传输安全的基础,散列算法可以用来检测数据是否被篡改,可以用于身份认证。

    CA 机构

    作为 PKI 的核心,CA 机构承担了一系列重要功能:

    1. 数字证书的颁发
      • 接收、验证用户数字证书的申请
      • 证书申请的审批
      • 颁发数字证书、或拒绝证书申请
    2. 处理最终用户的数字证书更新请求
    3. 数字证书的撤销
    4. 数字证书的查询(证书查询、撤销查询)
    5. 数字证书、历史数据归档

    一个常见 CA 系统的常见部署结构如下图所示,包含:

    1. RA 服务器:负责受理证书的申请和审核。
    2. CA 服务器:负责数字证书的生成、发放,根证书的私钥可以存放在硬件安全模块 HSM 中,让 HSM 来签发证书,也可以加密后存储在数据库中,通过代码来实现签发。(当然使用 HSM 更安全)
    3. 目录服务器:提供数字证书的存储,以及数字证书和证书撤销列表(CRL)的查询。业者有时把它称为”LDAP”,这是因为目录服务的技术标准遵循LDAP (轻量级目录访问协议)的缘故。
    4. CRL/OCSP 服务器:对外提供证书撤销列表 CRL 下载,以及证书在线状态的查询。
    5. 证书查询:对外提供已颁发证书的查询。

    CA 系统结构

    数字证书

    为什么通过数字证书能够验证某个网站的合法性呢?我们先看看数字证书里有什么内容,目前所有证书都是按照 ITU-T X.509 国际标准指定的,主要包含以下数据:

    1. 版本号:指出该证书使用了哪种版本的 X.509 标准(版本1、版本2或是版本3),版本号会影响证书中的一些特定信息,目前的版本为3
    2. 序列号: 标识证书的唯一整数,由证书颁发者分配的本证书的唯一标识符
    3. 签名算法标识符: 用于签证书的算法标识,由对象标识符加上相关的参数组成,用于说明本证书所用的数字签名算法。例如,SHA-1 和RSA 的对象标识符就用来说明该数字签名是利用 RSA 对 SHA-1 杂凑加密
    4. 认证机构的数字签名:这是使用发布者私钥生成的签名,以确保这个证书在发放之后没有被撰改过
    5. 认证机构: 证书颁发者的可识别名(DN),是签发该证书的实体唯一的 CA 的 X.500 名字。使用该证书意味着信任签发证书的实体。(注意:在某些情况下,比如根或顶级 CA 证书,发布者自己签发证书)
    6. 有效期限: 证书起始日期和时间以及终止日期和时间;指明证书在这两个时间内有效
    7. 主题信息:证书持有人唯一的标识符(或称 DN-distinguished name)这个名字在 Internet 上应该是唯一的
    8. 公钥信息: 包括证书持有人的公钥、算法(指明密钥属于哪种密码系统)的标识符和其他相关的密钥参数
    9. 颁发者唯一标识符:标识符—证书颁发者的唯一标识符,仅在版本2和版本3中有要求,属于可选项
    10. 扩展信息:证书里还可以添加一些自定义的扩展信息,比如证书撤销查询的地址。

    证书的有效性检查需要经历多个步骤:

    1. 有效期限:校验当前时间是否在有限期限内。
    2. 数字签名:该签名的计算过程是:先使用散列算法生成证书内容的摘要,再使用非对称加密里的私钥加密摘要,便得到了数字签名。在验证证书有效性时,首先需要拿到认证机构证书,使用其公钥解密数字签名得到证书内容摘要 A,然后使用散列算法计算证书内容摘要 B,两个摘要进行对比,如果不相等说明证书无效的。
    3. 证书撤销查询:前两步检查通过后,说明该证书是合法 CA 机构颁发的,但还需要检查该证书是否已经被撤销(比如私钥泄漏的证书必须撤销)。证书撤销检查方法主要有两种:证书撤销列表 CRL、在线证书状态协议 OCSP。

    下图是数字证书的生成和验证:

    数字证书的生成和验证

    下图显示了一个证书里的 CRL、OCSP 地址:

    一个例子

    在上面的图中,可以看到 chainnews、RapidSSL、DigiCert 三个证书,他们共同构成了一个证书链:chainnews 由 RapidSSL 签发、RapidSSL 由 DigiCert 签发,其中 DigiCert 是根证书、RapidSSL 是二级证书。同理,在验证证书签名时,使用 RapidSSL 验证 chainnews,再使用根证书验证 RapidSSL。验证的终点是根证书,根证书是自签的,那如何保证根证书的合法性呢?一般在安装浏览器的时候,就内置了可信任的根证书。

    证书链

    证书撤销机制

    常见的证书撤销机制有 CRL、OCSP、OCSP Stapling。

    CRL 全称是证书撤销列表 Certificate Revocation Lists,CA 机构会定期更新发布撤销证书列表,CRL 分布在公共可用的存储库中,浏览器可以在验证证书时获取并查阅 CA 的最新 CRL。该方法的缺陷有两个:一是撤销的时间粒度受限于 CRL 发布周期,二是 CRL 文件包含的撤销证书较多时文件会很大。

    OCSP 全称是在线证书状态协议 Online Certificate Status Protocol,浏览器从在线 OCSP 服务器(也称为OCSP Response Server)请求证书的撤销状态,OCSP Server 予以响应。这种方法避免 CRL 更新延迟问题,但是每次验证证书都要请求 OCSP Server 严重影响性能。

    OCSP Stapling 是对 OCSP 的一个改进。OCSP Server 通常离用户较远,查询耗时可能很长。一个改进思路是将通过 OCSP Server 获取证书吊销状况的过程交给 Web 服务器来做,Web 服务器不光可以直接查询 OCSP 信息,规避网络访问限制、OCSP 服务器离用户的物理距离较远等问题,还可以将查询响应缓存起来,给其他浏览器使用。由于 OCSP 的响应也是具备 CA RSA 私钥签名的,所以不用担心伪造问题。

    应用:访问控制

    PKI 提供了一套身份认证、安全传输的机制,最常见的应用就是各种 HTTPS 网站了。通过给合法的 HTTPS 域名颁发 CA 证书,浏览器便可以通过验证 CA 证书的有效性来确认所访问网站的真伪。

    PKI 还可以用于服务器的访问权限控制,HTTPS 域名的认证是单向的,只有浏览器客户端对网站的认证,反过来如果给允许访问服务器的客户端都发一份证书,在客户端访问服务器时,服务器对客户端证书进行验证,即可起到访问控制的作用。

    双向认证

    参考资料

    1. 对称密码、非对称密码、散列算法与 PKI
    2. PKI 的核心 CA
    3. Security-CA & chain of trust
    展开全文
  • 物联网安全综述报告

    万次阅读 多人点赞 2018-11-26 13:26:50
    文章目录物联网安全综述报告1. 物联网安全概述2. 物联网安全层次及其需求分析2.1 感知层概述及需求分析2.2 传输层概述及需求分析2.3 云服务层概述及需求分析2.4 应用层概述及需求分析3. 物联网安全特征及关键技术3.1...

    物联网安全综述报告

    1. 物联网安全概述

    随着“互联网 +”时代的到来,物联网发展迅猛,正在逐渐渗透到生活的各个领域之中, 物联网设备规模呈现爆发性增长趋势,万物互联时代正在到来,物联网安全的重要地位也在物联网快速的发展中愈加凸显。物联网根据业务形态可分为:工业控制物联网、车载物联网、智能家居物联网等三个部分,且不同的业务形态又对于安全具有不同的业务需求:

    • 工业物联网:主要涉及到国家安全、再加上目前工业控制网络基本是明文协议很容易遭受攻击,全需求基本是传统安全的思路。
    • 车联网:涉及到驾车人生命安全,安全需求集中在车载核心物联网硬件安全上。
    • 智能家居:涉及到个人家庭隐私安全,安全需求更多的是对于隐私的保护上。

    根据惠普安全研究院调查的10个最流行的物联网智能设备后发现几乎所有设备都存在高危漏洞,一些关键数据如下:

    80%的IOT设备存在隐私泄露或滥用风险;

    80%的IOT设备允许使用弱密码;

    70%的IOT设备与互联网或局域网的通讯没有加密;

    60%的IOT设备的web 界面存在安全漏洞;

    60%的IOT设备下载软件更新时没有使用加密;

    物联网在给我们带来便利的同时,物联网的设备、网络、应用等也在面临着严峻的安全威胁,例如:

    1. 2015年,两名网络安全专家通过中间人攻击的方式,对高速公路上的吉普车实现了远程控制(例如,控制空调、收音机、挡风玻璃刮水器和制动器等)。这次袭击展示了中间人攻击的危害性,也导致厂商召回了140万辆汽车。;
    2. “水滴直播”、“海康威视”事件中的摄像头遭到入侵而被偷窥;
    3. 美国制造零日漏洞病毒,利用 “震网”攻入伊朗核电站,破坏伊朗核实施计划等;
    4. 2015年,英国的网络供应商Talk Talk遭受几个网络安全漏洞的攻击,导致未经加密存储的客户数据暴露在云端。黑客能够轻松访问和窃取数百万客户的信用卡和银行详细信息。

    物联网因为其具有开放性、多源异构性、泛在性等特性,所以物联网的安全关系到个人、家庭、社会、乃至国家的安全,种种安全威胁的出现,也在不断的提醒着我们:万物互联,安全先行。

    2. 物联网安全层次及其需求分析

    物联网的安全层次可分为:感知层(设备层)、网络层(传输层)、平台层(云服务层)和应用层。(每个层次可能名字会有所不同,但是基本的功能和职责范围大致相同)。如图所示:
    在这里插入图片描述

    图2-1 物联网安全架构图

    2.1 感知层概述及需求分析

    感知层又称为设备层,在物联网中主要负责对信息的采集、识别和控制,由感知设备和网关组成。主要的感知设备包括:RFID装置、各类传感器、图像捕捉装置、GPS等。

    感知层所面临的安全威胁主要包括以下几个方面:

    (1)操作系统或者软件过时,系统漏洞无法及时的修复。

    (2)感知设备存在于户外、且分散安装,容易遭到物理攻击,被篡改和仿冒导致安全性丢失。

    (3)接入在物联网中的大量的感知设备的标识、识别、认证和控制问题。

    (4)隐私的泄露,RFID标签、二维码等的嵌入,使物联网接入的用户不受控制地被扫描、追踪和定位,极大可能的造成用户的隐私信息的泄露。

    loT中对于感知层的安全设计具有以下的需求:

    (1)物理防护:需要保护终端的失窃和从物理攻击上对于感知设备进行复制和篡改。另外,确保设备在被突破后其中全部与身份、认证以及账户信息相关的数据都被擦除,这将使得相关信息不会被攻击者利用;

    (2)节点认证:终端节点的接入,需要进项进项验证,防止非法节点或者被篡改后的节点接入;

    (3)机密性:终端所存储的数据或者所需要传输的数据都需要进行加密,因为目前大多数的传感网络内部是不需要认证和进行密钥管理的;

    (4)设备智能化:设备必须具有鲁棒性,并且能够在有限的支持下进行现场操作,且能边缘处理,意味着敏感信息不需要上传到云端,因此在设备层处理数据有助于强化整个网络。

    2.2 传输层概述及需求分析

    传输层又称为网络层,是连接感知层和应用层的信息传递网络,即安全地发送/接收数据的媒介。传输层的主要功能是将由感知层采集的数据传递出去。主要包含的通信的技术有:短距离的通信有Wi-Fi、RFID、蓝牙等;长距离的主要有:互联网、移动通信网和广域网等。

    因为物联网的传输层是一个多网络重合的叠加型开放性网络,所以其具有比一般的网络更加严重的安全问题:

    (1) 对服务器所进行的DOS攻击、DDOS攻击;

    (2) 对网络通信过程进行劫持、重放、篡改等中间人攻击;

    (3) 跨域网络攻击;

    (4) 封闭的物联网应用/协议无法被安全设备识别,被篡改后无法及时发现;

    loT中对于传输层的安全设计具有以下的需求:

    (1)数据机密性:需要保证数据的机密性,从而确保在传输过程中数据或信息的不泄露;

    (2)数据完整性:需要保证数据在整个传输过程中的完整性,从而确保数据不会被篡改,或者能够及时感知或分 辨被篡改的数据;

    (3)DDOS、DOS攻击的检测与预防:DDOS攻击为物联网中较为常见的攻击方式,要防止非法用户对于传感网络中较为脆弱的节点发动的DDOS攻击,从而避免大规模的终端数据的拥塞。

    (4)数据的可用性:要确保通信网络中的数据和信息在任何时候都能提供给合法的用户。

    2.3 云服务层概述及需求分析

    云服务层又称为平台层,更具功能又可划分为:终端管理平台、连接管理平台、应用开发平台、和业务分析平台。主要的功能是将从感知层获取到的数据进行分析和处理,并进行控制和决策,同时将数据转换为不同的格式,以便于数据的多平台共享。

    其所主要面临的安全问题有:

    (1)平台所管理的设备分散、容易造成设备的丢失以及难以维护等;

    (2)新平台自身的漏洞和API开放等引入新的风险;

    (3)越权访问导致隐私数据和安全凭证等泄露;

    (4)平台遭遇DDOS攻击以及漏洞扫面的风险极大;

    loT中对于云服务层的安全设计具有以下的需求:

    (1)物理硬件环境的安全:为了保证整个平台的平稳运行,我们需要保证整个云计算、云储存的环境安全和设备设施的可靠性。

    (2)系统的稳定性:主要是指在遭到系统异常时,系统是否具有及时处理、恢复或者隔离问题服务的灾难应急机制。

    (3)数据的安全:这里的数据安全更多的是指在数据的传输交互过程中数据的完整性、保密性和不可抵赖性。因为云服务层无时无刻都在跟数据进行"打交道",所以数据的安全时至关重要的。

    (4)API安全:因为云服务层需要对外提供相应的API服务,所以保证API的安全,防止非法访问和非法数据请求是至关重要的,否则将极大的消耗数据库的资源。

    (5)设备的鉴别和验证:需要具有可靠的密钥管理机制,从而来实现和支持设备接入过程中安全传输的能力,并能够阻断异常的接入。

    (6)全局的日志记录:需要具有全局的日志的记录能力,让系统的异常能够完整的进行进行,以便后面的系统升级和维护。

    2.4 应用层概述及需求分析

    应用层是综合的或有个体特性的具体业务层。因为应用层是直接面向于用户,接触到的也是用户的隐私数据,所以也是风险最高的层级。

    应用层所面临的安全威胁有:

    (1)如何根据不同的权限对同一数据进行筛选和处理;

    (2)实现对于数据的保护和验证;

    (3)如何解决信息泄露后的追踪问题;

    (4)恶意代码,或者应用程序本身所具有的安全问题;

    loT中对于应用层的安全设计具有以下的需求:

    (1)认证能力:需要能够验证用户的合法性,防止非法用户假冒合法用户用的身份进行非法访问,同时,需要防止合法用户对于未授权业务的访问;

    (2)隐私保护:保护用户的隐私不泄露,且具有泄漏后的追踪能力;

    (3)密钥的安全性:需要具有一套完整的密钥管理机制来实现对于密钥的管理,从而代替用户名/密码的方式;

    (4)数据销毁:能够具有一定的数据销毁能力,是在特殊情况下数据的销毁。

    (5)知识产权的保护能力:因为应用层是直接对接与用户,所以需要具有一定的抗反编译的能力,从而来实现知识产权的保护。

    3. 物联网安全特征及关键技术

    3.1 物联网安全特征

    我们从上面关于物联网安全层次的分析中可以看出,物联网的从信息的采集、汇聚、传输、决策、控制整个过程中都面临了大量的安全问题,这些安全问题都具有以下几个方面的特征:

    (1)多源异构性及智能化不足:在物联网的感知层中,感知节点存在多源异构,各个厂商提高和使用的协议都存在一定的差异,没有特定的标准,导致无法进行统一的安全设计。同时,感知设备的功能简单,无法进行复杂的安全保护工作。

    (2)核心网络的传输和数据的安全:在物联网网络中,核心网络具有一定的相对完整的保护机制,但是物联网节点以集群的方式存在,且数量庞大,各个节点之间的安全就无法保障,且当大量数据传回中心节点时,容易造成网络拥塞,从而造成拒绝服务的情况。

    3.2 物联网安全关键技术

    物联网作为互联网的延伸,融合了多种网络的特点,物联网安全自然就会涉及到各个网络的不同层次,在这些网络中,已经应用了多种与安全相关的技术,下面是关于这些安全技术的一些梳理:

    (1)数据处理与安全:物联网除了面临数据采集的安全外,还需要面对信息的传输过程的私密性以及网络的可靠、可信和安全。物联网能否大规模的应用很大程度上取决于是都能够保障用户数据和隐私的安全;

    (2)密钥管理机制:密钥系统是安全的基础,是实现感知信息隐私保护的手段之一;

    (3)安全路由协议:物联网的路由需要经过多类路由,所以主要面临的问题就是多协议路由的融合问题,以及传感网络的安全路由;

    (4)认证与访问控制:认证是物联网安全的第一道防线,主要是证明“我是我”的问题,能够有效的防止伪装类用户。同时,对于消息的认证能够有效的确保信息的安全有效。同时访问控制是对合法用户的非法请求的控制,能够有效的减少隐私的泄露。

    (5)入侵检测和容错机制:物联网系统遭到入侵有时是不可避免的,但是需要有完善的容错机制,确保能够在入侵或者非法攻击发生时,能够及时的隔离问题系统和恢复正常的功能。

    (6)安全分析和交付机制:除了能够防止现有可见的安全威胁外,物联网系统应该能够预测未来的威胁,同时能够根据出现的问题实现对设备的持续的更新和打补丁。

    4. 物联网安全发展趋势

    随着物联网迅猛发展的同时,物联网安全也成为了最大的痛点。在物联网安全时间频发的背后,也证明了在物联网安全领域存在着巨大的机遇。根据调查研究公司MarketsandMarkets预计,2020年全球的物联网安全时候出那个将从2015年的68.9亿美元增长至289亿美元。目前物联网安全具有以下几大趋势:

    (1)物联网勒索软件和“流氓软件”将越来越普遍:黑客利用网络摄像头这样的物联网设备,将流量导入一个携带流氓软件的网址,同时命令软件对用户进行勒索,让用书赎回被加密的泄露的数据。

    (2)物联网攻击将目标瞄准数字虚拟货币:虚拟货币因为其的私密性和不可追溯性,近年来市值的不断飙升,自然物联网的攻击者们也不会放过这一巨大的市场,目前已经发现了物联网僵尸网络挖矿的情况剧增,导致黑客甚至利用视频摄像头进行比特币挖矿。

    (3)迎来量子计算时代,安全问题应该得到更加的重视:今年全球软件企业的量子计算竞赛更趋白热化。短短几个月内,英特尔公司就造出了包含 17 个量子位的全新芯片,而且已经交付测试;微软公司也详细展示了用于开发量子程序的新型编程语言;IBM 公司则发布了50个量子位的量子电脑原型。Louis Parks是物联网安全软件公司 SecureRF 的首席执行官,他认为,在这些科技进步影响下,量子计算可能会在十年内实现商业化,化解量子计算可能存在的安全威胁显得更为紧迫。

    (4)大规模入侵将被“微型入侵”替代:“微型入侵”与大规模或者“综合性攻击”不同的是,它瞄准的是物联网的弱点,但是规模较小,能逃过目前现有的安全监控。它们能够顺应环境而变,进行重新自由的组合,形成新的攻击,例如: IoTroop。

    (5)物联网安全将更加的自动化和智能化:当物联网的规模明显扩大,覆盖到了成千上万台设备级别时,可能就难以做好网络和收集数据的管理工作。物联网安全的自动化和智能化可以监测不规律的流量模式,由此可能帮助网络管理者和网络安全人员处理异常情况的发生。

    (6)对感知设备的攻击将变得无处不在:物联网算是传感器网络的一个衍生产品,因此互联网传感器本身就存在潜在安全漏洞。黑客可能会尝试向传感器发送一些人体无法感知的能量,来对传感器设备进行攻击。

    (7)隐私保护将成为物联网安全的重要组成部分:一方面物联网平台需要根据用户的数据提供更加便捷、智能的服务,另一方面,对于用户隐私数据的保护又成为了重中之重。

    5. 物联网安全技术探索

    随着物联网安全的快速发展,发起攻击的方式越来越多样化,所以新技术在应用在物联网安全中心显得愈发的重要。

    5.1 去中心化认证

    传统的中心化系统中,信任机制比较容易建立,存在一个可信的第三方来管理所有的设备的身份信息。但是物联网环境中设备众多,未来可能会达到百亿级别,这会对可信第三方造成很大的压力。区块链解决的核心问题是在信息不对称、不确定的环境下,如何建立满足经济活动赖以发生、发展的“信任”生态体系。在物联网环境中,所有日常家居物件都能自发、自动地与其它物件、或外界世界进行互动,但是必须解决物联网设备之间的信任问题。

    5.2 大数据安全分析

    利用大数据分析平台对物联网安全漏洞进行挖掘。挖掘主要关注两个方面,一个是网络协议本身的漏洞挖掘,一个是嵌入式操作系统的漏洞挖掘。分别对应网络层和感知层,应用层大多采用云平台,属于云安全的范畴,可应用已有的云安全防护措施。在现在的物联网行业中,各类网络协议被广泛使用,同时这些网络协议也带来了大量的安全问题。需要利用一些漏洞挖掘技术对物联网中的协议进行漏洞挖掘,先于攻击者发现并及时修补漏洞,有效减少来自黑客的威胁,提升系统的安全性。

    5.3 轻量化防护技术

    对于一些微型的入侵攻击,庞大的安全系统难以察觉,并且短时间内做出反应,这时就需要要一些相对轻量化的安全机制,能够做到对于入侵的快速反应,避免损失的扩大。同时轻量化的防护技术,能够更好的兼容不同物联网产品生产商的协议冲突。

    6. 参考文献

    1. IBM,《IBM 观点:物联网安全》,2015
    2. 绿盟科技,《2017 物联网安全研究报告》,2017
    3. 魅影儿,《物联网安全风险威胁报告》,2017
    4. George Cora,《四大层次、六大原则解析物联网安全架构》,2017
    5. 武传坤,《物联网安全架构初探》,2010
    6. 弈心逐梦,《物联网安全的安全需求分析》, 2017
    7. 杨庚,《南京邮电大学学报(自然科学版):物联网安全特征与关键技术》,2010
    8. Brian Buntz,《2018年 IoT 安全八大趋势》,2017
    9. 优软众创平台,《物联网安全八大关键技术》,2017
    10. 《中国区块链技术和应用发展白皮书(2016)
    11. 电子发烧友论坛,《2017年物联网安全的六大趋势以及对策》,2017
    展开全文
  • 最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客与博友们一起进步,加油。非常...

    最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客与博友们一起进步,加油。非常基础的文章,大神请飘过,谢谢各位看官!

    投票闲谈:
    最后希望大家帮我2019年CSDN博客之星投投票,每天可以投5票喔,谢谢大家!八年,在CSDN分享了410篇文章,15个专栏,400多万人次浏览,包括Python人工智能、数据挖掘、网络爬虫、图象处理、网络安全、JAVA网站、Android开发、LAMP/WAMP、C#网络编程、C++游戏、算法和数据结构、面试总结、人生感悟等。当然还有我和你的故事,感恩一路有你,感谢一路同行,希望通过编程分享帮助到更多人,也希望学成之后回贵州教更多学生。因为喜欢,所以分享,且看且珍惜,加油!等我四年学成归来~

    投票地址:http://m234140.nofollow.ax.mvote.cn/opage/ed8141a0-ed19-774b-6b0d-39c3aaf89dde.html?from=singlemessage

    在这里插入图片描述

    下载地址:https://github.com/eastmountyxz/NetworkSecuritySelf-study
    百度网盘:https://pan.baidu.com/s/1dsunH8EmOB_tlHYXXguOeA 提取码:izeb

    前文欣赏:
    [渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
    [渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
    [渗透&攻防] 三.数据库之差异备份及Caidao利器
    [渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包


    一.工具&术语

    1.网安术语

    常见安全网站及论坛:

    • 看雪(https://bbs.pediy.com/)
    • 安全客(https://www.anquanke.com)
    • freebuf(https://www.freebuf.com/)
    • 安全牛(https://www.aqniu.com/)
    • 安全内参(https://www.secrss.com/)
    • 绿盟(http://www.nsfocus.com.cn/)
    • 先知社区(https://xz.aliyun.com/)

    +++++++++++++++++++++++++++++++++++++++++++++++++++++++

    基础知识:

    风险评估
    1)渗透测试技术:踩点扫描探测、信息收集、暴力解决、漏洞扫描、Web权限获取、Web提权、溢出攻击、植入后门、内网渗透等。
    2)安全漏洞的代码审计和代码加固技术:缓冲区溢出、拒绝服务、远程命令执行、注入、跨站、Web提权。

    安全防护
    1)中间件和Web应用的安全监测与防护方法:框架漏洞、权限绕过、弱口令、注入、跨站、文件包含、文件上传、命令执行、任意文件读取和下载等。
    2)主流厂商网络安全设备的调试与配置;主流数据库系统的补丁、账号管理、口令强度、有效期检查、远程服务、存储过程、审核层次、备份过程、用户功能和权限控制等基础技术;数据库库内库外加密、硬件加密、数据库审计技术;操作系统安全管理、客户端访问控制、入侵检测技术、数据异地灾备等技术。
    3)主机操作系统和应用软件的安全配置、主机运行的应用程序、正常运行所需端口,服务的正确配置,涉及系统安全风险测试、文件系统、关键数据、配置信息、口令用户权限等内容。

    应急响应
    1)应急响应相关技术:入侵取证分析、日志审计分析等。
    2)操作系统常规安全防护技术:利用系统日志、应用程序日志等溯源共计途径,系统账号、文件系统、网络参数、服务、日志审计等项目安全监测与安全加固方法。
    3)网络设备和安全设备的功能及使用方法:路由器、交换机、防火墙、入侵检测系统、拒绝服务供给系统、网页防篡改系统、漏洞扫描系统等。

    安全加固
    1)操作系统(Windows、Linux、Unix、Mac)的常规安全防护技术:利用系统日志、应用程序日志等溯源攻击途径,统账号、文件系统、网络参数、服务、日志审计等项目安全监测与安全加固方法。
    2)Webcms、中间件、数据库等常规用Web应用的加固知识,应用防火墙、IPS、IDS等安全设备进行辅助加固措施。

    大数据安全
    1)云计算和大数据技术带来的安全问题:虚拟机安全、应用程序安全、大数据安全。
    2)大数据分析技术提升网络系统安全隐患发现和防护能力。

    物联网安全
    1)ID/IC卡的安全漏洞检测和发现技术,智能卡常见加密算法。
    2)物联网应用环境中典型安全攻击:RFID攻击等。
    3)无线安全、硬件安全等知识。

    其他
    1)密码学概念、加密算法、加密分析工具。
    2)网络攻击原理及常见网络攻击协议,数据包分析工具。
    3)Web攻击种类及常见的Web利用方式,注入攻击类型及方式。
    4)漏洞产生原因、漏洞的利用与防护方式。
    5)恶意代码、逆向工程、沙箱保护。
    6)移动互联网恶意程序检测与处置机制,移动逆向分析与代码审计技术、移动安全防护。
    7)数据恢复常用技术及工具。
    8)工业控制系统、工控漏洞及加固分析、工控漏洞玩、工控安全仿真及蜜罐、工控系统上位机及应用安全等。

    +++++++++++++++++++++++++++++++++++++++++++++++++++++++

    常见攻击手段:

    • 扫描
    • 爆破
    • 溢出
    • 木马病毒
    • Web攻击
    • 无线攻击
    • VPN劫持
    • Kali攻击
    • MAC泛洪攻击
    • 时钟攻击

    +++++++++++++++++++++++++++++++++++++++++++++++++++++++

    常见术语:

    • 0day
    • 动态分析、静态分析
    • 逆向分析
    • PE文件
    • 注册回调
    • HOOK技术
    • 注入技术
    • 加壳、脱壳、加花
    • 社会工程学
    • 供应链渗透
    • SAM哈希暴力
    • 彩虹表
    • 数据取证
    • 可信计算

    +++++++++++++++++++++++++++++++++++++++++++++++++++++++

    下面分享2019年看雪安全峰会的几张图,与君共勉。
    CSDN和看雪都已经20年了,这些年见证了无数技术更新,博友不断成长。


    2.常用工具

    Burpsuite

    Burpsuite是用于攻击web应用程序的集成平台,包含了许多工具。Burpsuite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。通常利用Burpsuite抓包分析,寻找Web漏洞。

    手机APP渗透两种思路:
    (1) 电脑浏览器打开链接,burpsuite抓包,修改user-Agent的内容。一般是判断user-Agent里有没有MicroMessenger(适合没有做重定向,或者重定向不加token验证)。
    (2) 做了重定向,加token验证。手机和电脑同在一个局域网下,设置电脑为手机代理,用burpsuite抓包。设置了电脑代理手机的情况下,电脑相当于一层网关,自然抓取的到。

    +++++++++++++++++++++++++++++++++++++++++++++++++++++++

    Fiddler
    Fiddler是位于客户端和服务器端的HTTP代理,也是目前最常用的http抓包工具之一 。 它能够记录客户端和服务器之间的所有 HTTP请求,可以针对特定的HTTP请求,分析请求数据、设置断点、调试web应用、修改请求的数据,甚至可以修改服务器返回的数据,功能非常强大,是web调试的利器。

    Fiddler是用C#写出来的,它包含一个简单却功能强大的基于JScript .NET 事件脚本子系统,它的灵活性非常棒,可以支持众多的http调试任务,并且能够使用.net框架语言进行扩展。安装前需安装microsoft .net framework可执行文件。

    手机渗透:可以尝试抓取微信浏览器中的结构头,接着通过fiddler的方式,在用第三方(360、QQ、谷歌等)打开的时候,所有数据都会经过fiddler,将该结构修改即可。

    +++++++++++++++++++++++++++++++++++++++++++++++++++++++

    SQLMAP
    SQLMAP是一款非常强大的开源渗透测试工具,用于自动检测和利用SQL注入漏洞控制数据库服务器的过程。它配备了一个强大的检测引擎,由Python语言开发完成,通过外部连接访问数据库底层文件系统和操作系统,并执行命令实现渗透。

    +++++++++++++++++++++++++++++++++++++++++++++++++++++++

    OllyDbg
    OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。

    +++++++++++++++++++++++++++++++++++++++++++++++++++++++

    IDA Pro
    交互式反汇编器专业版(Interactive Disassembler Professional),是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。IDA Pro是一款交互式的,可编程的,可扩展的,多处理器的,交叉Windows或Linux WinCE MacOS平台主机来分析程序, 被公认为最好的花钱可以买到的逆向工程利器。IDA Pro已经成为事实上的分析敌意代码的标准并让其自身迅速成为攻击研究领域的重要工具。它支持数十种CPU指令集其中包括Intel x86,x64,MIPS,PowerPC,ARM,Z80,68000,c8051等等。

    +++++++++++++++++++++++++++++++++++++++++++++++++++++++

    pangolin
    Pangolin(中文译名为穿山甲)一款帮助渗透测试人员进行Sql注入测试的安全工具,是深圳宇造诺赛科技有限公司(Nosec)旗下的网站安全测试产品之一。

    +++++++++++++++++++++++++++++++++++++++++++++++++++++++

    Caidao
    Caidao软件据说是一个桂林退役士兵写的,真的很厉害。它是一款Webshell管理工具,支持各种语言,常见的包括ASP、ASPX、PHP、JSP、CFM等,后面希望自己也能深入研究攻防底层内容。目前,Caidao已经被中国蚁剑和冰蝎Behinder取代。

    +++++++++++++++++++++++++++++++++++++++++++++++++++++++

    中国蚁剑
    中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。中国蚁剑采用了Electron作为外壳,ES6作为前端代码编写语言,搭配Babel&Webpack进行组件化构建编译,外加iconv-lite编码解码模块以及superagent数据发送处理模块还有nedb数据存储模块,组成了这个年轻而又充满活力的新一代利器。

    它包括的功能有端口扫描、Socks代理、反弹Shell、内网漏洞扫描、内网代理浏览器、内网漏洞溢出测试、后门扫描、密码爆破、打包下载、交互式终端、权限提升。
    GitHub上蚁剑搜AntSword:https://gitee.com/mirrors/antSword

    +++++++++++++++++++++++++++++++++++++++++++++++++++++++

    冰蝎Behinder
    地址:https://github.com/rebeyond/Behinder

    +++++++++++++++++++++++++++++++++++++++++++++++++++++++

    差异备份

    数据备份主要分位完全备份、增量备份和差异备份。其中差异备份是指备份自上一次完全备份之后有变化的数据,在差异备份过程中,只备份有标记的那些选中的文件和文件夹。它不清除标记,即备份后不标记为已备份文件,不清除存档属性。

    整体流程是先备份日志,然后插入一句话Muma;再次备份时,数据库只会备份两次间隔中的差异,使得生成出来的文件尽可能小,故称为“差异备份”。

    一句话木马是:

    <?php substr(md5($_REQUEST[*x*]),28)==*acd0*&&eval($_REQUEST[*abc*]);?>
    

    一句话木马插入到数据库表的a字段中,执行接收自定义Sh参数,类似于URL的Code参数,相当于是一个侧门,第二部分Caidao会使用到。

    asp:
       <%execute(request("value"))%>
    php:
       <?php @eval($_POST[value]);?>
    aspx:
       <%eval(Request.Item["value"])%>
    

    3.推荐文章

    看雪 渗透入门——HackInOS
    HackinOS是一个渗透靶机,模拟真实的渗透环境,方便我们练习渗透方法。

    CSDN鬼手56大神网络安全6个专栏文章
    开源一个自写的病毒技术工具:https://blog.csdn.net/qq_38474570/article/details/87707942

    CSDN谢公子大神安全专栏

    CSDN刘焕勇大神老师NLP、知识图谱系列文章
    自然语言处理界的小螺丝钉:https://blog.csdn.net/lhy2014/article/details/82954509
    Github:https://github.com/liuhuanyong

    博客园sch01ar大神逆向工程的文章
    实验吧CTF题库-WEB题(部分): https://www.cnblogs.com/sch01ar/p/7996159.html

    CSDN博友whatiwhere逆向工程文章
    IDA Pro使用初探:https://blog.csdn.net/whatiwhere/article/details/81610539
    逆向基础知识:https://blog.csdn.net/whatiwhere/article/details/80158293

    CSDN博友caiqiiqi大神的Android Q逆向文章
    逆向初体验之玩“英语趣配音”:https://blog.csdn.net/caiqiiqi/article/details/47832473

    黑客是怎样入侵你的网站的 - Flamingo大神
    http://www.freebuf.com/articles/web/7359.html

    看雪论坛Web普及文章
    勒索病毒WannaCry深度技术分析:https://bbs.pediy.com/thread-217662.htm
    Web基础设施知识及安全攻防:https://bbs.pediy.com/thread-199199.htm
    Discuz!ML V3.2代码执行漏洞复现:https://bbs.pediy.com/thread-252603.htm
    内网渗透小记:https://bbs.pediy.com/thread-192778.htm


    二.常见攻击

    感谢汤神的分享,推荐大家阅读下面两篇原文,这里主要是学习看雪论坛分享的知识,也作为自己网络安全的入门文章,如果读者觉得这部分不好或侵权,作者可以删除。

    浅析WEB安全编程:https://bbs.pediy.com/thread-222922.htm
    XSS跨站总结:https://bbs.pediy.com/thread-196518.htm

    代码注入、CSRF、0元支付、短信轰炸这些都是非常常见的漏洞,这里简单解释这些名词。

    1.SQL注入

    汤神从漏洞成因,攻击方式以及防御方案三个方面讲解SQL注入。漏洞成因我们可以用这两句话,使用用户参数拼接这个SQL语句,这个参数改变了原有的SQL结构,改变了这个SQL的注入。
    下图左边这是一个数据库,白色部分的字体是我们在代码中写到的SQL结构,黑色部分就是攻击者可能会传入的参数(‘1’='1’始终成)。当我们把这个SQL结构拼接出来之后形成了一个新的结构,这个结构被执行之后把整张表所有的数据传输出来,数据库比较大的访问更多请求,整个可能就挂了,还造成一些数据泄漏的情况,这些就是SQL的注入成因,参数改变了原有的SQL结构。

    攻击者通常有哪几种攻击方式?
    汤神把它分为了三种类型:一种是回显注入,一种是报错注入,一种是盲注。

    回显注入
    利用注入漏洞可以改变页面返回数据,则称之为回显注入。
    第一张图是传入ID是正常的正型数字,返回的结果是用户的一个信息传入ID等于1,上面URL把这个参数修改了一下,等于1,然后加了 or 1=‘1,当它拼接到之后,跟前面一样把整个表的数据传输出来,这边看到整个用户表的数据都被列举出来了。利用漏洞可以改变这个页面的数据我们叫做回显注入,这个黑客可以直接把这个数据下载下来。

    报错注入
    下图非常清楚看到,URL上面这个部分是正常URL加上攻击者所利用的攻击代码。其实这上面的攻击代码也是执行不了,但放到数据库中,最后会造成数据库返回异常码,并把异常码抛出来,接着这个用户名(act_admin 10.59.107.125)就被展示出来了。这是非常敏感的信息,我们写代码的时候需要把数据库抛出来的错误屏蔽,不让其在前台显示出来,通过报错显示了一些敏感信息,我们称之为报错注入。

    盲注
    盲注和回显注入以及报错注入不一样,我们没有办法通过页面数据看到它的区别。可以通过两种方式实现盲注——布尔盲注和时间盲注。下图中绿色部分是正常URL,红色部分是布尔注入的表示式,前面加一个and截取一个字符,判断一下id的第一个字符是不是大于字母a。
    如果成立则整个条件都成立,这个时候页面是有反馈数据的;如果不成立这个页面就不返回数据,这就是布尔数据。我们可以看到有数据和没有数据的情况,当字母a不断变换的时候,也可以把这个数据库里面的数据猜测出来。

    时间盲注是下面蓝色区域部分,我们知道数据库里面可以用一些IF函数,也是截取第一个字符,如果这个不成立就到五秒钟返回,通过这个页面返回的时间可以判断这个地方是不是有注入的,也可以把这个数据都给下载下来。

    刚刚说到攻击者碰到的三种攻击方式,下面看一下怎么样检测页面当中有没有注入点?我们通过SQLMAP实现,可以看到这是一个CMD窗口,上面是写到的检测表达式,Splmap.py以及需要检测的UI,需要有这个注册点它会告诉你有哪些注入,比如说这个页面是在本地测试的结果,它就告诉了有回显注入、错误注入以及一些盲注。

    SQLMAP用法推荐秀璋的另一篇文章:[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法

    呢么,怎么样防范服务器的安全呢?

    第一种方法是拦截带有SQL语法的参数的传入。参数会改变SQL的结构,当我们知道这个参数是整型的时候,就把这个参数转型为整型,整型肯定不包括这个SQL结构,无法改变结构,哪就不存在SQL注入。

    第二种方法是通过预编译处理拼接参数的SQL语句。有的时候我们无法预测它传什么参数,比如我们去论坛回复一个帖子,肯定没有办法控制,这个时候我们可以用PDO预处理,这是最常见的方法,也是一个最好的方法。但有时我们会写一些复杂社会语句,会用第一种方法,我们先定义好这个SQL语句结构,再把参数放进去,这个时候是无法达到更改SQL语句处理的目的。

    第三个方法是定期分析数据库执行日志,判断是否有异常SQL执行。当业务比较大的时候,日志是非常多的,可以找一些SQL的取模软件进行取模,取模之后并不太多,如果直接看的话是海量日志,是没法看的。


    2.XSS跨站

    跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

    XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、 Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

    主要从漏洞成因、攻击场景和防御方法三方面讲解。

    如上图所示,上面有一个URL,下面是一个页面返回的HTML代码,我们可以看到白色部分HTML是我们事先定义好,黑色部分参数是用户想搜索的关键词。当我们搜索了test+Div最后等于123,对后反馈页面一般搜索会告诉你用户搜索了什么关键词,结果如何等等。

    这个地方如果没有做好转移,可能会造成XSS跨站,我们可以看到蓝色部分是我们事先定义好的结构,被攻击者利用之后它先把这个DIV结束了,最后加上一个script标签,它也有可能不跟你谈标签,直接发送到它的服务器上。参数未经过安全过滤,然后恶意角本被放到网页当中执行,用户浏览的时候执行了这个脚本。

    漏洞原因即为:

    XSS分为三种类型——反射型、存储型以及DOM型。

    反射型
    下图是专门训练一些WEB漏洞的练习页面,我们可以输入自己的名字,输入之后会把我们的名字显示出来。例如我们输入了一个“张三”,这个时候弹出来了一个“123”,在那边显示了一个张三,但是script标签没有出来,因为这个标签被执行了。

    存储型
    在存储型XSS中,可以看到这个URL上面并没有代码,但是依然弹出了一个“1”。它是发现个人资料页的时候有一个XSS漏洞,在个性签名的位置填入了一个XSS标签,弹出了一个“1”,把这个地址发给别人,别人看到这个地址并没有什么代码以为这个页面是安全的,结果一打开就插入了这个XSS代码。

    存储型XSS的攻击危害比较大,因为它的页面当中是看不到这个Script的代码,别人防不胜防。只要管理员没有发现,下一个用户或者下一个用户一直接发它,而反射型需要用户主动点击的。

    DOM型
    Dom型的XSS是一些有安全意识的开发者弄出来的。比如说接受参数会做一些过滤,把一些字符转义一下,但是转义之后依然会存在着XSS的情况,比如说下图中,我们上面输入的可以看到这行代码规律,把这个大括号、小括号以及双页号进行转移,按理说转移之后它应该不会再作为它的标签存在,不会存在XSS的代码。

    下面Script通过ID获得的这个值,复制到了这个DIV上,经过DOM操作之后,之前转义的字符就变为它的标签,所以经过DOM操作的XSS我们称之为DOMXSS。它有可能通过URL传播,也有可能通过服务器的传播。

    最后给出一些编码的防范措施。

    第一是标签黑白名单过滤。有时根本就不需要考虑到它是不是HTML标签,我们根本用不到HTML标签。

    第二是代码实体转义。只保留文字部分这是一劳永逸的,有时我们还是需要展示这个标签,比如说程序论坛当中要贴一个代码,这个时候我们需要用一些转义,它会把这个大括号、小括号以及双引号做一个转义,做为一个字符,就无法执行这个标签型,后面加一个参数,但有时候单引号也会造成XSS。

    第三是httponly防止cookie被盗取。一个信号当中有那么多的地方存在着这个输入以及检测的地方,可能就有一些地方漏掉,只要有一个地方漏掉了,用户的cookie信息就被盗取了。服务器在发送用户信息的时候,我们需要加上一个httponly,这个代码无法读取到cookie的信息,那么攻击者也是得不到这个信息的。对于用户来说也是非常好的保护。比如说张三在我们网站上登陆了一下用户名,李四他特意发了一个攻击请求,他拿不到这个用户ID,就冒充不了这个张三。

    如果在Cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击


    3.越权漏洞

    我们再来看看越权漏洞,在一些系统当中如果存在着多种用户角色,每一种角色有不同的权限。操作业务适合如果权限不严格可能会发生越权漏洞。越权分为垂直越权和平行越权,其产生原因包括:
    1)业务系统存在用户权限验证
    2)对用于的权限验证不严谨
    3)用户能操作不属于自己权限的操作

    平行越权
    在WEB系统中有商城,这个商城中必不可少的就有订单,订单肯定有一个店铺ID,我们通常把它设置为一个自增长的ID,这个ID是一个数字类型。在URL上面如果有一个订单ID就是100,攻击者会尝试100+1,当它ID等于101或者99的时候能否访问到。

    如果能访问到并且这个订单信息不是我的,这个地方就存在着一个漏洞。张三可以看到李四的订单信息,这个时候就存在着越权。张三和李四是平级的用户,他们两个权限是一样,互相可以看到平台信息这叫做平行越权。

    这个有什么危害呢?
    比如说这个网站有漏洞,如果是竞争对手他就可以知道用户在我的平台上下过订单的行为,然后去营销。如果把这个订单ID直接暴露出来,还有一种可能就是竞争对手会根据我们的订单IP的增长量,判断我们的增长量,就知道我们一天到底有多少订单。

    平行越权防御方法:我们查询的时候必须加上当前用户的ID,就是orderID加上UID,这样不会出现张三可以看到李四的订单了。

    垂直越权
    接下来我们再看一下垂直越权,这是一个普通用户进入到后台管理系统中,他的权限就扩大化了。通常这种情况下,后台会集成到更多的控制器来统一管理,但依然有一些邮件会漏掉并没有集成到,就会发生这种情况。

    黑客不会一个一个找,会通过一些扫描器发现漏洞进去。建议不要把自增长ID暴露出来,可以做对称加密或者非对称加密,先转换为一个字母类型,让别人看不到你的数字型的ID是多少。别人就没有办法通过这个加一减一的方式越权,也看不到你的一天业务增长量。

    汤神建议尽量把前台的方法和后台的方法区分开来。越权,其实不仅仅限于展示,我们刚刚看到了这个订单,张三可以看到李四的订单信息是查看,但是有的时候我们修改订单的时候也会出现这个问题,所以在读写的时候都需要注意一下这个越权的问题。


    4.CSRF跨站请求伪造

    CSRF通常会配合XSS使用。服务端错把浏览器发起的请求当成用户发起的请求,会造成XSS问题。比如说我打开了张三的网站,登陆了一个用户信息,李四网站上有一个攻击代码,向张三这个网站发起请求,张三的网站会以为你本人发起的请求,实际上是浏览器发出的请求。
    产生原因为:
    1)服务端错把“浏览器发起的请求”当成“用户发起的请求”
    2)已登录的浏览器,打开恶意网址后,被执行了相应操作

    下图中有一个表单,左边是它的源码,我们可以看到表单每一项都在,但是从安全的角度上考虑它是少了一样东西,没有一些验证码或者TOKEN等等相关信息。服务端如果没有验证这个问题,就会造成这个CSRF的攻击。

    如何检测我们的系统当中是否存在这个CSRF?
    1)去掉token参数尝试能够正常请求
    2)去掉referer是否可以提交成功
    3)是否能用GET提交替代POST提交

    如果以上都存在,那么它就存在CSRF。建议一定要验证Reeferer信息、Token验证、图片验证码等。根据业务安全等级越高,最基础的可以用这个refefe验证,再高一级就是token,再高一级就是图片验证。


    5.支付漏洞

    最后看看支付漏洞。汤神之前看到一个新闻,有一个浙江老板,他想做线上找人做了一个网站,这个网站存在着一些支付漏洞,一周之后他发现这个订单量极速上升,卖了70多万,结果看了一下帐户余额只有几千块钱,报警之后才查到原因,但是货物已经发出去了。

    支付漏洞主要产生的原因包括:
    1)开发者在数据包中传递支付的金额
    2)后端没有对金额做校验或者签名
    3)导致攻击者可以随意篡改金额提交

    造成这些漏洞原因有很多,比如说支付金额是由前端提交的数据,不是后端计算的,而且没有对这个金额做校验,直接信任前端提交的金额,导致这个攻击者可以随即修改这个金额,比如修改为一分钱,这是非常典型的可以随意更改这个金额。
    上面的金额是94元,这个表单里面改为一分钱,最后提交的时候是一分钱,这是非常好的漏洞,也是非常典型的。

    修改数量:

    还有一个问题是数量的限制,一个价格是26元,一个是27元,把这个数量变为负一之后,一提交变为一块钱了。这是之前数据包的漏洞,他充值了一块钱,他发现有一个数据包向网站发送,他就把这个数据包反复重放,就加了好几次,实际上只充值了一块钱。

    如何防范?
    可以限制这个低价购买产品,比如说负数的时候肯定不行,等于零的商品根据业务情况也是需要多注意的。限制免费商品获得金钱和积分的情况,有一些商品免费,但是它可以获得一些积分,那就存在着刷积分的情况。

    最后给出了汤神此次分享的思维导图。

    PS:真心感激自己要学习的知识好多,也有好多大神卧虎藏龙,低调加油,一起进步~


    三.音乐异或解密示例

    接下来复现CSDN“鬼手56”大神的文章,他的网络安全、Crackme、病毒分析、软件逆向等系列文章真心推荐大家学习,包括他开源的项目,他的文章我都准备all in。

    顺便补充我俩的对话,一句“今天最开心的是就是看到你的这条评论”道出了多少程序员的纯真和可爱,分享知识和开源代码的路上,真需要你我的点赞。电脑前的你我,一路同行。

    参考原文:https://blog.csdn.net/qq_38474570/article/details/87878235


    我们打开PC端某音乐客户端,比如想下载周杰伦的“骑士精神”,通常需要提示付费。

    此时点开设置,选中“下载设置”,找到缓存文件目录。
    C:\Users\yxz\AppData\Local\Netease\CloudMusic\Cache\Cache

    双击播放该歌曲,然后按照寻找最新的文件或只保留一首歌,其中后缀名为“.uc”的最大文件就是加密过后的文件。

    接在将文件拖动到010 Editor软件,如下图所示:它是一个加密文件,最多的数据是A3,鬼手大神成果的预测其是加密后的无意义0,通常音频的加密方式不会太复杂,而最简单的异或加密(可逆)。

    接着点开菜单,Tools(工具),将其转换为“十六进制”,进行“二进制异或”操作,修改数据为无符号十六进制,并对A3进行异或即可。

    注意选择无符号(Unsigned Byte)和异或A3。

    异或加密解密:

    A3 ⊕ A3 = 00

    A 01100001  3  00000011
    A 01100001  3  00000011
    0 00000000  0  00000000
    

    文件解密如下所示,其中A3变换为00,解密完之后的字符变得有意义。前三个字节是ID3,这个是MP3文件格式的头部。

    最后将文件重命名为“.mp3”,此时可以听歌了,“骑士精神”走起。

    PS:这是一个简单的加密过程,推荐读者们下载正版歌曲,共同维护版权和绿色网络环境。同时,异或加密音乐已经很多年了,希望这些开发公司优化下加密算法,解决这个漏洞。这篇文章更希望分享加密的过程给读者。


    四.总结

    希望这篇基础性文章对你有所帮助,如果有错误或不足之处,还请海涵。后续将分享更多网络安全方面的文章了,从零开始很难,但秀璋会一路走下去的,加油。

    故人应在千里外,
    不寄梅花远信来。
    武汉第一周学习结束,寄了第一封家书给女神,接下来这几年,应该会写上200来封吧,很期待,也很漫长,但我俩的故事将继续书写。

    未来的路还很长,优秀的人真的太多,我们只有做好自己,不忘初心,享受生活,砥砺前行。明天周末继续奋斗,晚安娜,记得收信。

    (By:Eastmount 2019-07-31 周三晚上7点写于武大 https://blog.csdn.net/Eastmount )


    2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统,并重构作者的所有文章,从零讲解Python和安全,写了近十年文章,真心想把自己所学所感所做分享出来,还请各位多多指教,真诚邀请您的关注!谢谢。

    展开全文
  • PKI 公钥基础设施

    千次阅读 2017-02-05 22:34:33
    PKI概念PKI(Public Key ...PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。 PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI组成 认证中心CA(证书签发) CA是PKI的”核心”,即数字

    PKI概念

    PKI(Public Key Infrastructure)即”公钥基础设施”,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系.
    PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
    PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。

    PKI组成

    1. 认证中心CA(证书签发)

    CA是PKI的”核心”,即数字证书的申请及签发机关。
    CA的核心功能就是”发放”和”管理”数字证书
    CA必须具备权威性的特征,它负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份。
    CA还要负责用户证书的黑名单登记和黑名单发布

    2. X.500目录服务器(证书保存)

    X.500目录服务器用于”发布”用户的证书和黑名单信息,用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。

    3. 具有高强度密码算法(SSL)的安全WWW服务器(即配置了HTTPS的apache)

    Secure socket layer(SSL)协议最初由Netscape 企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。

    4. Web(安全通信平台)

    Web有Web Client端和Web Server端两部分,分别安装在客户端和服务器端,通过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。

    5. 自开发安全应用系统

    自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。完整的PKI包括:
    1) 认证政策的制定,包括
    1.1) 遵循的技术标准
    1.2) 各CA 之间的上下级或同级关系
    1.3) 安全策略
    1.4) 安全程度
    1.5) 服务对象
    1.6) 管理原则和框架等
    2) 认证规则
    3) 运作制度的制定
    4) 所涉及的各方法律关系内容
    5) 技术的实现等

    展开全文
  • 基础设施安全性 1.网络 2.存储 3.主机和操作系统 4.主机访问管理 Kubernetes的安全性 1.etcd 2.Kubernetes集群的访问 3.安全策略 4.工作负载隔离 容器的安全性 1.容器镜像安全 2.容器运行时(Container...
  • 我们也非常关心就是如何对关键信息基础设施来落实《网络安全法》,通过等级保护这样一个基础来保护好关键信息基础设施。等保已经有十年的基础了,等保现在面临新的技术也是在不断的在反思和完善,由于有了《网络安全...
  • 提高微服务安全性的11个方法

    千次阅读 多人点赞 2020-12-21 08:41:47
    目录 为什么选择微服务? 1.通过设计确保安全 OWASP 2.扫描依赖 3.随处使用HTTPS 安全的GraphQL API 安全的RSocket端点 4.使用身份令牌 授权服务器:多对一还是一对一? 在JWT上使用PASETO令牌 5.加密和...
  • 玩转容器安全二 - 容器安全概述

    千次阅读 2020-11-29 16:43:10
    首先就是容器宿主机的安全,在一个企业内部,如果划分了基础运维团队与容器团队(CaaS, Container as a Service 容器即服务),那么容器宿主机的安全性由基础运维团队负责,通常与传统基础设施安全保持一致。...
  • 什么是网络基础设施

    千次阅读 2020-04-20 17:14:08
    什么是网络基础设施?网络基础设施和IT基础设施有何异同?为什么网络基础设施是IT基础设施的重要组成部分?网络基础设施面临的挑战是什么?网络基础设设施可视化解决方案。
  • 网络安全类学习资源

    千次阅读 2020-11-20 21:41:12
    目录分类 媒体社区类 安全公司类 应急响应类 安全团队类 高校社团类 CTF类 个人类 web安全类 网络运维类 安全研发类 二进制安全类 硬件安全类 其他 媒体社区类 媒体、资讯、社区 网络安全和信息化 :- 《网络...
  • PKI公钥基础设施

    千次阅读 2019-03-22 18:13:27
    (一)PKI综述 在深入了解PKI之前,我们需要先理清两个问题,以便对今后的学习有更加全局性的认识和理解。...PKI(Public Key Infrastructure ) 即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够...
  • 安全基础--22--安全测试

    万次阅读 2018-10-04 21:35:37
    一、安全漏洞评估 1、评估方式 自动化扫描:系统层漏洞大部分情况下使用自动化扫描 手工评估:耗时、不全面、技术要求高 2、评估流程 二、安全配置评估 1、安全配置评估分类 评估 说明 基础安全配置评估 在...
  • 第二章 Android Linux 内核层安全 来源:Yury Zhauniarovich | Publications 译者:飞龙 协议:CC BY-NC-SA 4.0 作为最广为人知的开源项目之一,Linux 已经被证明是一个安全,可信和稳定的软件,全世界数千人...
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,他讲计算机信息系统分为5个安全等级。
  • 目录[-]  借助于Spring Security的强大基础配置功能以及内置的认证功能,我们在前面讲述的三步配置是很快就能完成的;它们的使用是通过添加auto-config属性和http元素实现的。 请求是怎样被处理的? 在auto-...
  • 公钥基础设施PKI

    千次阅读 2013-09-04 19:31:00
     PKI是对一整套安全基础设施的通称,这套安全基础设施以公钥密码技术为基础,并遵循一系列标准。加密技术是基础,证书服务是核心。PKI支持集中、自动的密钥管理和密钥分配,不但可以为所有的网络应用提供加密及数字签名...
  • OSI安全体系结构

    千次阅读 2018-11-22 12:20:34
    目录 OSI安全体系结构 数据链路层:点到点通道协议(PPTP),以及第二层通道协议L2TP 网络层:IP安全协议(IPSEC) 传输层:安全套接字层(SSL)和传输层安全协议TLS 会话层:SOCKS代理技术 应用层:应用程序代理 ...
  • 全国计算机信息安全技术

    千次阅读 2019-06-11 21:31:45
    考试大纲  基本要求  1. 了解信息安全保障工作的总体思路和基本实践方法  2....  3.... 4.... 了解信息系统安全设施部署与管理基本技术  6. 了解信息安全风险评估和等级保护原理与方法  7....
  • 常见信息安全威胁与经典案例

    千次阅读 2020-04-15 18:35:05
    文章目录震网病毒威胁发展历程安全威胁分类网络安全威胁应用安全威胁数据传输与终端安全威胁 震网病毒 威胁发展历程 安全威胁分类 网络安全威胁 应用安全威胁 数据传输与终端安全威胁 ...
  • 黑客如此猖獗,应该采取什么... 企业要建立自己的计算机安全系统,也应根据自己单位的实际情况来选择安全级别,选择相应的软硬件设施和资金投入。对于已经建立了企业内部网络的用户,根据其在Internet上开展业务量的多
  • 信息安全保证技术框架(Information Assurance Technical Framework:IATF)将计算机信息系统分为:本地计算环境区域边界、网络和基础设施、支撑基础设施。 本地计算环境:服务器、客户端及其上面的应用(如打印服务...
  • Android安全开发之安全使用HTTPS

    千次阅读 2016-10-08 16:50:01
    为了保护用户的信息安全、保护自己的商业利益,减少攻击面,我们需要保障通信信道的安全,采用开发方便的HTTPS是比较好的方式,比用私有协议要好,省时省力。
  • 安全基础--21--安全运维

    万次阅读 多人点赞 2018-10-04 21:12:15
    一、安全运维-网络 1、IP地址相关 IP地址属于网络层地址,用于标识网络中的节点设备。 IP地址由32bit构成,每8bit一组,共占用4个字节。 IP地址由两部分组成,网络位和主机位。 IP地址分类: 类别 网络位 子网...
  • 公钥基础设施 PKI 技术与应用发展

    千次阅读 2014-08-29 09:22:15
    简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,...
  • 2019中国信息安全自主可控行业政策盘点及网络安全行业分析一、盘点中国信息安全自主可控行业政策法规二、中国网络安全行业产品分类全景图**三、国产化信息技术网络安全自主可控行业现状深度剖析****1、信息战凸显...
  • 需要网络安全制度汇编请下载网络安全等级保护-信息安全管理制度汇编参考下载,等级保护测评公司,网络安全等级保护测评,等级保护测评机构,等级保护机构 需要加强等网络、信息安全级保护定级备案,网络安全测评及...
  • 安全工程师学习路线

    千次阅读 多人点赞 2018-09-04 18:28:29
    参考1:《安全工程师学习路线》 前言 职位描述 职位要求 学习路线 基本技能 前期安全知识的补充学习 安全工具使用 渗透测试 安全基线检查 应急响应 代码审计 安全边界建设 安全规范 具体参考内容链接...
  • 网络空间安全——总结

    千次阅读 2020-03-12 17:41:36
    系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。 课程重点: 勾勒网络空间安全的框架。 课程内容安排: 安全法律法规 物理设备安全 网络攻防技术 恶意...
  • 网络安全等级保护的过程

    千次阅读 2019-07-19 17:50:27
    文章目录网络安全等级保护的过程一.等级保护定级(1)信息系统安全保护等级(2)信息系统安全保护等级的定级要素(3)定级要素与安全保护等级的关系(4)定级方法a.确定定级对象b.确定定级对象的安全保护等级(5)等级变更二、...
  • 公钥基础设施(PublicKeyInfrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障,因 此,对PKI技术的研究和开发成为目前信息安全领域的热点。 二、组成 一个典型的PKI系统包括...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 30,962
精华内容 12,384
关键字:

安全设施目录