精华内容
下载资源
问答
  • 信息安全工程师参考资料(一)

    万次阅读 2018-09-04 18:05:50
    目前信息安全的研究包括密码学、网络安全、信息系统安全、信息内容安全、信息对抗等方向 网络空间是所有信息系统的集合,网络空间安全的核心是信息安全。网络空间安全学科是研究信息的获取、存储、传输、处理等领域...

    第一章 信息安全基础知识

    1.1 信息安全研究方向

    目前信息安全的研究包括密码学、网络安全、信息系统安全、信息内容安全、信息对抗等方向

    网络空间是所有信息系统的集合,网络空间安全的核心是信息安全。网络空间安全学科是研究信息的获取、存储、传输、处理等领域中信息安全保障问题的一门学科。

    1.2 信息安全理论基础

    信息安全理论基础包含的学科如下:

    • 通用理论基础
      • 数学:包含代数、数论、概率统计、组合数学、逻辑学等知识
      • 信息理论:包含信息论、控制论、系统论
      • 计算理论:包含可计算性理论、计算复杂性理论
    • 特有理论基础
      • 访问控制理论:包含各种访问控制模型、授权理论
      • 博弈论:一些个人、团队、组织面对一定的环境条件,在一定的规则约束下,依靠掌握的信息,同时或先后,一次或多次,从各自允许选择的行为或策略中进行选择并实施,并各自取得相应结果或收益的过程
      • 密码学:研究编织密码和破译密码的技术科学

     1.3 信息安全方法论

    网络安全方法论是研究解决安全问题的方法,具体内容有理论分析、逆向分析、实验验证、技术实现

    1.4 信息系统安全层次

    信息系统安全可以划分为四个层次,具体如表1-4-1所示

    层次属性说明
    设备稳定性设备一定时间内不出故障的概率
    设备安全设备可靠性设备一定时间内正常运行的概率
    设备可用性设备随时可以正常使用的概率
    数据秘密性数据不被未授权方使用的属性
    数据安全数据完整性数据保持真实与完整,不被篡改的属性
    数据可用性数据随时可以正常使用的概率
    政治健康
    内容安全合法合规
    符合道德规范
    行为秘密性行为的过程和结果是秘密的,不影响数据的秘密性
    行为安全行为完整性行为的过程和结果可预期,不影响数据的完整性
    行为的可控性可及时发现、纠正、控制偏离预期的行为

    1.5 信息安全管理

    信息安全管理是维护信息安全的体制,是对信息安全保障的进行指导、规范的一系列活动和过程。信息安全管理体系是组织在整体或特定范围内建立的信息安全方针和目标,以及所采用的方法和手段所构成的体系。改体系包含**密码管理、网络管理、设备管理、人员管理。

    1.5.1 密码管理

    密码技术是保护信息安全的最有效手段,也是保护信息安全的最关键技术。各国政府相应出台了各种密码管理政策用于控制密码技术、监控密码市场等。目前我国密码管理的相关机构是国家密码管理局,全程国家商用密码管理办公室。

    国家出台密码相关的主要政策有《商用密码管理条例》(中华人民共和国国务院第273号令,1999年10月7日发布)、《电子认证服务密码管理办法》、《证书认证系统密码及其相关安全技术规范》《商用密码科研管理规定》《商用密码产品生产管理规定》和《商用密码产品销售管理规定》《可信计算密码支撑平台功能与接口规范》《IPSec VPN技术规范》。

    《商用密码管理条例》相关的重要规定如下:

    第二条 本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。

    第三条 商用密码技术术语国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。

    第四条 国家密码管理委员会及其办公室(以下简称国家密码管理机构)主管全国的商用密码管理工作。

    1.5.2 网络管理

    网络管理是对网络进行有效而安全的监控、检查。网络管理的任务就是检测和控制。OSI定义的网络管理功能有性能管理、配置管理、故障管理、安全管理、计费管理。

    注意:详细的网络管理知识参见SNMP部分

    1.5.3 设备管理

    设备安全管理包括设备的选型、安装、调试、安装与维护、登记与使用、存储管理等。设备管理相关标准有:《电子计算机机房设计规范》(GB50173-9)、《计算站场地技术条件》(GB2887-89)、《计算站场地安全要求》(GB93361-88)。

    1.5.4 人员管理

    人员管理应该全面提升管理人员的业务素质、职业道德、思想素质。网络安全管理人员首先应该通过安全意识、法律意识、管理技能等多方面对审查:之后对所有相关人员进行适合的安全教育培训。

    安全教育对象不仅仅包含网络管理员,还应该包含用户、管理者、工程实施人员、研发人员、运维人员等。

    安全教育培训内容包含法规教育、安全技术教育(包含加密技术、防火墙技术、入侵检测技术、漏洞扫描技术、备份技术、计算机病毒防御技术和反垃圾邮件技术、风险防范措施和技术等)和安全意识教育(包含了解组织安全目标、安全规定与规则、安全相关法律法规等)。

    1.6 ISO安全体系结构

    ISO制定了国际标准ISO7498-2-1989《信息处理系统开放系统互连基本参考模型 第2部分安全体系结构》。该标准描述了开放系统互联(OSI)的基本参考模型,为协调开发现有的与未来系统互连标准建立起一个框架。其任务是提供安全服务于有关机制的一般描述,确定在参考模型内部提供服务与机制的位置。图1-6-1给出了开放体系互连安全体系结构示意图。

    Lily_Screenshot_1535951021

    ISO的开放系统互连安全体系结构包含了安全机制、安全服务、OSI参考模型,并明确了三者之间的逻辑关系。

    • 安全机制:保护系统免受攻击、侦听、破坏及恢复系统的机制
    • 安全服务:加强数据处理系统和信息传输的安全性服务,利用一种或多种安全机制阻止安全攻击。
    • OSI参考模型:开放系统互连参考模型,及常见的七层协议体系结构

    网络安全体系结构借鉴了开放系统互连安全体系结构,具体如图1-6-2所示Lily_Screenshot_1535951342

    网络安全体系包含三部分内容:协议层次、系统单元、安全服务。

    • 协议层次:TCP/IP协议
    • 系统单元:该安全单元能解决哪些系统环境的安全问题。
    • 安全服务:该安全单元能解决哪些安全威胁

    1.7 信息安全风险管理

    系统外部可能造成的损害,称为威胁;系统内部可能造成的损害,称为脆弱性。系统风险则是威胁利用脆弱性造成损坏的可能性。

    1.7.1 风险评估

    风险评估就是依据评估标准,利用评估的方法、技术和工具,全面评价系统中威胁、脆弱点以及带来风险大小的评估。在项目管理理论中,风险评估在风险分析和风险监控中常常用到。

    对信息系统进行风险评估,首先要确保评估和分析的内容、范围应该覆盖整个信息系统的体系。系统体系包含:系统基本情况分析、系统安全状况调查、系统安全组织、政策分析、系统弱点漏洞分析等。

    风险评估的流程如下:

    1. 确定资产:确定信息系统资产,明确资产价值
    2. 脆弱性和威胁分析:分析项目的脆弱性和威胁,评估发生概率及损失
    3. 指定应对方案:提出各种应对手段和解决办法
    4. 决策:评估影响、排列风险、制定决策
    5. 沟通与交流
    6. 方案实施

    风险评估的方法有定性风险评估、定量风险评估、定量与定性结合的风险评估

    • 定性风险评估:评估、汇总风险发生的概率和影响,并对风险进行排序
    • 定量风险评估:定量分析已识别风险对项目的整体影响
    • 定量与定性相结合的风险评估:常用的方法有层次分析法,核心是将决策者的经验判断进行量化,并提供定量的决策依据。层次分析法的基本步骤是系统分解、构造判断矩阵、层次总排序

    1.7.2 风险管理

    风险管理的目的是提高积极风险发生的概率和影响,降低消极风险的发生概率和影响。项目管理中定义的风险管理包含如下过程:

    1. 规划风险管理:决定如何进行、规划和实施项目风险管理活动
    2. 识别风险:识别并记录影响项目的风险
    3. 定性风险评估:评估、汇总风险发生的概率和影响,并对风险进行排序
    4. 定量风险评估:定量分析已识别风险对项目的整体影响
    5. 风险控制:指定具体的积极、消极风险应对方案。减少风险的方法如下:避免风险(例如:隔离重要计算机避免受攻击)、转移风险(例如:外包服务、购买保险)、减少威胁(例如:安装杀毒软件)、减少脆弱性(例如:安装系统补丁)、减少威胁可能的损害、检测意外事件
    6. 风险监控:整个项目过程中,跟踪已知风险,识别新风险,实施风险应对、评估风险有效性。

    一般可通过以下途径达到降低风险的目的:

    • 避免风险:通过改变项目计划,排除风险起源,改变风险目标避免风险,取消项目。例如,对重要设备进行网络隔离,避免攻击。
    • 转移风险:将部分或者全部风险连同应对的责任转移到他方身上。例如,对高风险业务进行外包、保险、担保等。
    • 减少威胁:降低风险概率到可接受范围。例如,部署杀毒软件或者反木马软件,减少系统被攻击的机会
    • 减少脆弱性:常用的方法有系统安装补丁,修复漏洞,减少系统的脆弱性
    • 减少威胁可能的影响:例如制定业务持续性计划,把灾难造成的损失降到最低
    • 检测并响应和恢复意外事件:例如,使用网管软件检测系统性能和故障,当发现问题是进行相应的响应

    在实时风险控制后,仍然会存在风险,称为剩余风险风险接受是一个对剩余风险进行确认评价、接受的过程。

    展开全文
  • 修复 iPhone X H5 底部安全区域定位按钮下内容穿透 BUG 今日,开发了一个 h5 项目,其中有部分页面使用了底部按钮,采用的是相对于浏览器窗口定位的样式制作的。 但是在 iPhone X 上面,出现了在按钮下方,居然有...

    修复 iPhone X H5 底部安全区域定位按钮下内容穿透 BUG

    今日,开发了一个 h5 项目,其中有部分页面使用了底部按钮,采用的是相对于浏览器窗口定位的样式制作的。

    但是在 iPhone X 上面,出现了在按钮下方,居然有页面穿越的情况,这就尴尬了。对于我这种不用 iPhone 的人来说,说了一句 mmp 然后就得去解决这个问题。

    iPhone X 安全区域的问题

    找到这张图片。一般来说,顶部的安全区域问题,可以交给浏览器解决,但是底部的,就需要我们自己来解决了。

    首先,我尝试一种简单的解决方案,就是给底部的按钮,加一个向下的投影,类似这样的代码:

    .bottom_button {
      box-shadow: 0 34px #fff
    }

    天真的我以为,投影这种东西,是不占文档流的,因此,也就不影响其他的手机,在 iPhong X 有向下的区域,直接就遮盖上了不就可以了么?

    哈哈,我实在是太天真了,事实无情的打了我的脸。

    于是,我又尝试用一个伪元素去向下定位,妄想解决这个问题,又一次被现实给彻底的教育了。

    哎,搜索了一下,找到了对应的解决方案,尝试一下,果然解决,但是说得有点啰嗦,下面直接给我的最终代码。

    解决 iPhone X H5 安全区域的问题

    首先,需要给网页设置 meta,如下设置:

    <meta name="viewport" content="width=device-width,initial-scale=1,maximum-scale=1,user-scalable=no,viewport-fit=cover">

    重点是 viewport-fit 这个参数,设置为 cover 表示,内容展示到安全区域外。

    contain: The viewport should fully contain the web content. 可视窗口完全包含网页内容

    cover: The web content should fully cover the viewport. 网页内容完全覆盖可视窗口

    auto: The default value, 同contain的作用

    好,现在我们的按钮已经下去了,但是,其被屏幕下方的一个条条给挡住了,这当然不行。我们继续解决。

    由于 iPhone X 是一个特殊的机型,其分辨率特别特殊,所以,我们可以用媒体查询来定位到我们的网页是否在 iPhone X 中运行,因此,我们代码如下:

    @media only screen and (device-width: 375px) and (device-height: 812px) and (-webkit-device-pixel-ratio: 3) {
        /* 这代表IPX */
        /* 目前这种设备像素比 和 尺寸是很“奇葩”、特殊的,基本可以确定是 IPX */
    }
    
    @media only screen and (width: 812px) and (height: 375px) and (-webkit-device-pixel-ratio: 3) {
        /* 这代表IPX的横屏模式 */
        /* 针对 IPX 横屏单独处理 */
    }

    好,我们就可以直接在这里写了。我们的页面不会出现横屏的状态,因为是内嵌,App 本身禁止横屏了。所以,只需要第一段代码。

    如果我们的页面只有一个底部的按钮,自然现在问题就解决了,单独去写一下即可。但事实是,我们页面中可能有多处使用了这样的按钮,每个都需要写,还是感觉有点累。

    因此,我写了这样的一个 class

    .fix_iphonex {
      @media only screen and (device-width: 375px) and (device-height: 812px) and (-webkit-device-pixel-ratio: 3) {
        padding-bottom: rem(34);
      }
    }

    然后,在需要解决的按钮内,这样调用:

    @extend .fix_iphonex;

    嗯,感谢 sass!

    参考资料: https://segmentfault.com/q/1010000012293245?sort=created

    本文由 FungLeo 原创,允许转载,但转载必须保留首发链接。

    展开全文
  • 网络安全技术(第4版)复习资料整理

    千次阅读 多人点赞 2018-06-28 11:17:58
    第一章:1、2017年6月1日,《网络安全法》开始实施。2、网络安全5大基本要素:保密性、完整性、可用性、可控性、不可否认性。3、计算机网络面临的威胁:(1)主动攻击:终端、篡改、伪造(2)被动攻击:截获、窃取。...

    第一章:

    1、2017年6月1日,《网络安全法》开始实施。

    2、网络安全5大基本要素:保密性、完整性、可用性、可控性、不可否认性。

    3、计算机网络面临的威胁:

    (1)主动攻击:终端、篡改、伪造

    (2)被动攻击:截获、窃取。

    4、网络脆弱性的原因:

    (1)开放的网络环境(网络用户可以自由访问网站,不受时间和空间约束,病毒等有害信息可以在网络快速扩散)。

    (2)协议本身脆弱性(网络传输离不开协议,二这些协议在不同层次、不同方面都存在漏洞)。

    (3)操作系统漏洞(系统设计存在缺陷、系统源代码存在漏洞、用户配置不正确造成的安全问题)。

    (4)人为因素(安全意识薄弱)。

    5、2015年6月11日增设网络空间安全一级学科。

    6、信息安全的四个阶段:

    (1)通信保密阶段(1959年,香农发表《保密通信的信息理论》将密码学纳入科学轨道,1976年Diffie和Hellman提出公钥密码体制,1977年,美国公布《国家数据加密标准DES》)。

    (2)计算机安全阶段(1983年,美国国防部出版《可信计算机系统评价准则》)。

    (3)信息技术安全阶段(1993-1996年,美国国防部提出《信息技术安全通用评估标准》,即CC标准)。

    (4)信息保障阶段(各国提出信息安全保障体系)。

    7、DMZ区:

    (1)概念:DMZ区,即非军事化区。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,该缓冲区是位于企业内部网络和外部网络之间的小网络区域。

    (2)访问权限:内网可以访问外网,内网可以访问DMZ区,外网不可以访问内网,外网可以访问DMZ区,DMZ访问内网有限制,DMZ不能访问外网(SMTP除外)。

    第二章:

    1、搜索引擎:

    Intitle:搜索范围限定在网页标题

    Site:搜索范围限定在特定站点中

    Inurl:搜索范围限定在url链接中

    Filetype:搜索范围限定在指定文档格式中

    Link:搜索某个链接的反向链接

    例:filetype:xlsintitle:学院

               inurl:login.php title:公司

               intitle:index of /images

    2、常见端口:

    21:ftp                               443:https

    22:ssh                              1433:ms sql server

    23:telnet                           1521:oracle

    25:smtp                            3306:mysql

    53:dns                              3389:rdp

    80:http                             8080:proxy

    110:pop3

    161:snmp

    3、nmap扫描:

    -sP (Ping扫描):仅对主机进行ping扫描(主机发现),输出做出响应的主机列表,无进一步测试。

    -sT(TCP 全连接扫描):调用socket函数connect()连接到目标主机,完成一次完整的三次握手过程,如果目标端口处于开放状态,connect()成功返回。

           -sS  (TCP 半连接扫描):扫描器向目标主机发送SYN数据包,如果应答为RST包,那么说明目标端口关闭,如果应答为SYN+ACK包,那么说明该端口处于监听状态,此时向目标主机传送一个RST包来停止连接。

           -sU  (UDP扫描):发送空的(没有数据)UDP报头到目标端口,如果返回ICMP端口不可达(代码3),该端口关闭,如果返回其他ICMP不可达错误,表明该端口被过滤(filtered)。

           -sF(TCP FIN扫描):扫描器向目标主机发送FIN包,当FIN包到达关闭的端口,数据包被丢弃,同时返回RST包,若到达打开的端口,数据包被求其且不返回数据包。

    4、死亡之ping:ping -t -l 65500

    原理:利用ip数据包头部的数据长度进行攻击,通过发送大于65536字节的ICMP包使对方操作系统崩溃。通常我们不可以发送大于65536字节的ICMP包,但可以把报文分割成片段,然后再目标主机上重组,最终导致目标主机缓冲区溢出。

    5、SYN洪水(简答,5分)

    原理:客户端向服务器发送SYN请求数据包,服务器发送SYN+AKC数据包对客户端进行响应,在服务器发送响应数据包后,将会等待一段时间以接收来自客户端的确认数据包,此时,服务器与客户端建立连接所需的资源一直被占用。SYN洪水就是利用在这段时间内向服务器发送大量SYN请求而不作ACK确认的方式,使大量连接处于等待状态,最终导致服务器资源被耗尽。

    第三章:

    1、计算机病毒的定义:计算机病毒,指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

    2、计算机病毒是程序。

    3、计算机病毒的分类(按宿主分类):

    (1)引导性病毒:引导型病毒隐藏在ROM BIOS中,先于操作系统,依托的环境是BIOS中断服务程序。引导型病毒利用操作系统的引导模块放置在某个固定位置,并且控制权的转交方式是以物理地址为依据,而不是操作系统引导区的内容为依据。因此,病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或更换,待病毒程序被执行后,将控制权交给真正的引导区内容,使这个带病毒的系统看似正常运转,病毒却已隐藏在系统中伺机传染、发作。

    (2)文件型病毒:文件型病毒主要以可执行文件为宿主,一般感染扩展名为“.com””.exe”和”.bat”等可执行文件。文件病毒通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序,再执行宿主程序,看起来一切正常。然后,病毒驻留内存,伺机传染其他文件或直接传染其他文件。

    (3)宏病毒:宏病毒主要以MicrosoftOffice的“宏”为宿主,寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,并能通过DOC文档以及DOT模板进行自我复制及传播。

    3、引导型病毒和文件型病毒区别:

    (1)文件型病毒是病毒藏在文件里,执行可执行文件时发作。

    (2)引导型病毒是病毒藏在硬盘的引导扇区里,系统启动时发作。

    4、世界上出现的第一个病毒:

    Brain,由巴基斯坦两兄弟为了保护软件著作权制作的引导型病毒。

    5、中国出现的第一个病毒:小球病毒。

    6、蠕虫病毒和普通病毒的区别:


     7、计算机的四大组成部分:

    (1)感染标志:计算机病毒在感染前,需要先通过识别感染标志判断计算机系统是否被感染。若判断没有被感染,则将病毒程序的主体设法引导安装在计算机系统,为其感染模块和破坏表现模块的引入、运行和实施做好准备。

    (2)引导模块:实现将计算机病毒程序引入内存,并使得传染和表现模块处于活动状态。引导模块需要提供自我保护功能,避免在内存中的自身代码不被覆盖或清除。计算机病毒程序引入内存后,为传染模块和表现模块设置相应的启动条件,以便在适当的时候或合适的条件下激活传染模块或者出发表现模块。

    (3)感染模块:

    1感染条件判断子模块:根据引导模块设置的传染条件,判断当前系统环境是否满足传染条件。

    2传染功能实现子模块:如果传染条件满足,则启动传染功能,将计算机病毒程序附加在其他宿主程序上。

    (4)破坏模块

    1激发控制:当病毒满足某一条件,病毒发作。

    2破坏操作:不同病毒由不同的操作方法,典型的恶性病毒是疯狂拷贝、删除文件等。

    8、病毒的防护(简答题、填空题):

    (1)特征代码法(文件特征代码、内存特征代码):当病毒公司收集到一种新的病毒时,就会从这个病毒程序中街区一小段独一无二而且足以表示这种病毒的二进制代码,来当作扫描程序辨认此病毒的依据,而这段独一无二的二进制代码,就是所谓的病毒特征码。分析出病毒特征码后,并集中存放于病毒代码库文件中,在扫描的时候将扫描对象与特征代码库比较,如果为何,则判断为感染上病毒。

    (2)特征代码法优点:检测准确、可识别病毒名称、误报率低、依据检测结果可做杀毒处理。

    (3)特征代码法缺点:速度慢、不能检测多形性病毒、不能对付隐蔽性病毒、不能检测未知病毒。

    第四章:

    1、密码学五元组:

    (1)明文:m      明文空间:M

    (2)密文:c       密文空间:C

    (3)密钥:k

    (4)加密函数:E

    (5)解密函数:D

    2、对称密码和非对称密码的区别(填空题):对称密码加密和解密使用的密钥一样,非对称密码加密和解密使用的密钥不一样。

    3、仿射密码:

    (1)例题:密文UCR由仿射函数9x+2(mod 26)加密的,求明文。

    (2)解答:由仿射密码解密函数:m=Dk1,k2(c)=((c-k2)*k1-1)mod26,其中,k1=9,k2=2。

    求k1在mod26条件下的逆元:

    N=A*a(0)+r(0)

    A=r(0)*a(1)+r(1)

    r(0)=r(1)*a(2)+r(2)

    r(n-1)=r(n)*a(n+1)+0

    其中N=26,A=k1=9;

     

                  a(n)   a(n-1) …        a2                 a1                a0

    b(-1)   b(0)    b(1)   …     b(n-2)       b(n-1)       b(n)

     

    26=9*2+8;

    9=8*1+1;

    8=1*8+0;

    由上面公式:b-1=1,b0=1*1=1,b1=1+b0*2=bn

    由于商的个数为偶数,所以,k1在mod26条件下的逆元为:3

    所以:m=Dk1,k2(c)=((c-k2)*3)mod26

    U=20,C=2,R=17

    所以,m(U)= Dk1,k2(20)=2=C

      m(C)= Dk1,k2(2)=0=A

      m(R)= Dk1,k2(17)=19=T

    明文为:CAT

    4、playfire密码:

    (1)例题:明文this is playfire cipher 密钥:can you get the cipher,求密文。

    (2)解答:由题中条件,构造playfire密钥矩阵:


    将明文拆分成两个一组:th isis pl ay fi re ci ph er

    通过密钥矩阵及playfire加密规则,得到密文:hu fc fc rk no sf lr uf dg rl

    5、vigenenre密码:

    (1)例题:m=VIGENENRE,k=HELLO,求密文。

    (2)解答:由vigenenre密码计算公式:c=Eki(m)=(m+ki)mod26 (i=1、2、3、4、5)

       H=7,E=4,L=11,O=14,所以,k1=7,k2=4,k3=11,k4=14

       V=21,I=8,G=6,E=4,N=13,R=17

       c(V)= Ek1(V)=(21+7)mod26=2=C

       c(I)= Ek2(I)=(8+4)mod26=12=M

       c(G)= Ek3(G)=(6+11)mod26=17=R

       c(E)= Ek4(E)=(4+11)mod26=15=P

       c(N)= Ek5(N)=(13+14)mod26=1=B

    c(E)= Ek1(E)=(4+7)mod26=15=P

       c(N)= Ek2(N)=(13+4)mod26=17=R

       c(R)= Ek3(m)=(17+11)mod26=12=M

    c(E)= Ek4(E)=(4+11)mod26=15=P

    密文为:CMRPBPRMP

    6、RSA密码(给出p、q、e,求x):

    (1)例题:给出p=7,q=17,e=5,求x

    (2)解答:

      1n=p*q=119

      2Φ(n)=(p-1)*(q-1)=96

      3选取公钥e,使得gcd(e,Φ(n))=1,题目已经选取e=5

      4计算私钥d:使得(d*e)modΦ(n)=1,即(d*e)=k*96+1

      5取k=4,计算得d=77

      公开(n,e)=(119,5),将d保密。明文:m=19

      加密:c=memod(n)=195mod(119)=66

      解密:m=cdmod(n)=6677mod(119)=19

    7、逆元的含义:模n意义下,1个数a如果有逆元x,那么除以a相当于乘以x。

    8、DES的密钥输入的时候是64为,在做了第一次压缩之后,变成56位。

    9、摘要算法:MD5算法输出散列值128位,sha算法输出的散列值为160位。

    10、数字信封:数字信封是指发送方使用接收方的公钥来加密对称密钥后所得的数据,数字信封是用来确保对称密钥传输安全性的技术。

    11、数字签名:数字签名指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据,数字签名是用来确保发送者对发送的信息不可否认的技术。

    12、完整加密的加密解密流程:

      

    13、PKI四大组成部分:

    (1)权威认证机构(CA):担任用户公钥证书的生成和发布或CRL的发布职能。

    (2)注册机构(RA):1进行证书申请者的身份认证,2向CA提交证书申请请求,3验证接收到的CA签发的证书,并将之发放给证书申请者。4必要时,协助证书作废过程。

    (3)证书:符合一定格式的电子文件,用来识别电子证书持有者的真实身份。

    (4)终端实体:1初始化(注册),2证书密钥更新,3证书撤销/废止/更新请求。

    14、PKI中,数字证书包含的内容:

    (1)包含姓名、地址、公司、电话号码、Email地址…与身份证上的姓名、地址等类似。

    (2)包含证书所有者的公钥。

    第五章:

    1、实体鉴别方法:

    (1)实体所知(知识、口令、密码)

    (2)实体所有(身份证、信用卡、钥匙、智能卡、令牌等)

    (3)实体特征(指纹,笔迹,声音,手型,脸型,视网膜,虹膜)

    2、访问控制的实现:

    (1)访问控制列表(ACL):客体被主体访问的权限。

     

    (2)访问控制矩阵(ACM):

    行:主体(用户)

    列:客体(文件)

    矩阵元素:规定了相应用户对应于相应的文件被准予的访问许可、访问权限。

      

    (3)访问控制能力列表(ACCL):主体可访问客体的权限。


    3、防火墙发展历程:


    4、防火墙体系结构:

    (1)双宿主主机体系结构:双宿主主机位于内部网和Intelnet之间,一般来说,使用一台装有两块网卡的堡垒主机作防火墙。这两块网卡各自与受保护的内部网和外部网相连,分别属于内网两个不同的网段。

     

    (2)被屏蔽主机体系结构:屏蔽主机防火墙易于实现,由一个堡垒主机屏蔽路由器组成。堡垒主机被安排在内部局域网中,同时在内部网和外部网之间配备了屏蔽路由器,在这种体系结构中,通常在路由器上设置过滤规则,外部网络必须通过堡垒主机才可以访问内部网络中的资源,并使这个堡垒主机成为从外部网络唯一可以直接到达的主机,对内部网络基本控制策略由安装在堡垒主机上的软件决定,确保内网不被未被授权的外部用户攻击。

     

    (3)被屏蔽子网体系结构:屏蔽子网防火墙由一个防火墙和两个路由器构成屏蔽子网。与被屏蔽主机体系结构相比,被屏蔽子网体系结构添加了周边网络,在外部网络与内部网络之间加上了额外的安全层。

      

    5、防火墙原理:

    (1)包过滤防火墙:包过滤防火墙在网络层实现数据的转发,包过滤模块一般检查网络层、传输层内容,包括下面几项,

    ① 源、目的IP地址;

    ② 源、目的端口号;

    ③ 协议类型;

    ④ TCP报头的标志位。

    (2)代理防火墙:在一台代理设备的服务器和客户端之间建立一个过滤措施,就成了“应用代理”防火墙。这种防火墙实际上是一台小型的带有数据“检测、过滤”功能的透明代理服务器,但是并不是单纯的在一个代理设备中引入包过滤技术,而使用“应用协议分析”技术。

    (3)状态检测防火墙:状态检测防火墙通过一种被称为“状态监视”的模块,在不影响网络安全正常工作前提下,采用抽取相关数据的方法,对网络通信的各个层次实行监测,并根据各种过滤规则做出安全决策。

    (4)复合型防火墙:复合型防火墙采用自适应代理技术,初始的安全检测仍然发生在应用层,一旦安全通道建立后,随后的数据包就可以重新定向到网络层,并可以根据用户定义的规则,动态“适应”传送中的数据流量。

    第七章:

    1、SQL注入流程:

    (1)判断环境,寻找注入点,判断网站后台数据库类型。

    (2)根据诸如参数类型,在脑海中重构SQL语句原貌,从而猜测数据库中的表名和列名。

    (3)在表名和列名猜解成功后,在使用SQL语句,得出字段的值。


    展开全文
  • 网络安全学习资料总汇

    千次阅读 多人点赞 2017-03-03 17:07:26
    不过内容详细,看看上面的其他书籍或者了解一下汇编和C语言知识再啃这个比较合适。 4、稍偏门类安全类  1. 无线:《无线网络黑客攻防》,详细介绍包括但不限于无线网络,无线蓝牙等无线攻防技术...

    1、Web security 


    1. 《http权威指南》【图灵出品】:  深入理解web http/https协议 ,了解超文本传输协议是如何进行传输和编译的。

    2. 《javascript权威指南》:淘宝前端团队翻译,深入了解前端js变量,注释,函数,表达式等,学习xss必备书籍。还提及了jquery类库。

    3. 《xss跨站脚本攻击与防御》: 学习xss基础必备。也是目前国内唯一一本专门介绍xss技巧的书籍.

    4. 《白帽子讲web安全》:  阿里安全专家吴瀚清处女作,大佬级黑客ucloud创始人季昕华做序,已成为web安全从业人员入门必看学习书籍。

    5. 《web前端黑客技术揭秘》: 主要包含Web 前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash 安全、DOM 渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都是研究前端安全的人必备的知识点。

    6. 《代码审计:企业级web安全代码架构》配合《细说php》最佳:  阿里巴巴安全专家尹毅的新书

    7. 《kali linux&back track渗透测试实践》【图灵出品】

    8.《sql注入攻击与防御》:   详细的介绍了sql盲注等各种注入技巧。web安全入门必看。

    9. 《网络扫描技术揭秘》: 出版已超过三年的老书,主要介绍网络扫描技术。如:分布式扫描,高速扫描等。

    10. 《python黑帽子》 : 作者根据自己在安全界,特别是渗透测试领域的几十年经验,向读者介绍了Python 如何被用在黑客和渗透测试的各个领域,从基本的网络扫描到数据包捕获,从Web 爬虫到编写Burp 扩展工具,从编写木马到权限提升等.

    11. 《黑客技术攻防宝典:web安全篇》:  看第一遍的时候可能看不懂讲的什么,主要看目录,一本普及面非常广阔的知识性图书,但是每个知识点概括不会很详细。也很值得收藏。

    2、Mobile security  


    1)  android security:

    1. 《andriod软件安全与逆向分析》:  大非虫原创处女作,通俗易懂涉及面广。不管新手老手都适合看。全书主要讲解Android 环境搭建,Android组件,Android软件安全测试之法。

    2. 《android安全攻防指南》: 众多大牛推荐…自然是不少干货为白帽子提供了漏洞发现、分析和利用的使用工具。在详细介绍android操作系统工作原理和总体安全架构后,研究了如何发现漏洞,为各种系统部件开发利用,并且进行应对。移动设备管理者、安全研究员、android应用程序开发者和负责评估android安全性的顾问都可以在本书中找到必要的指导和工具。

    3. 《andriod安全攻防实战》: 

    4. 《andriod安全技术揭秘与防范》:  一本新书,红衣教主推荐

    5. 《android系统安全和反汇编实战》  

    2) ios security:

    1. 《ios应用安全攻防实战》:如何保障自己的应用数据安全?本书提供一些用于防御常见攻击方法的方式。

    2. 《黑客攻防技术宝典ios实战篇》:国际大牛之作,介绍iOS应用漏洞挖掘方式,模糊测试技巧。

    3. 《ios取证实战》:  

    4. 《ios应用逆向工程》:  国内iOS老手杜总的力作,充分介绍iOS 安全机制,iOS反汇编技巧。

    5. 《移动应用安全》:  主要从Android iOS windows mobile三个方向谈及安全知识。

    6. 《移动终端安全关键技术与分析》:   唯一一本讲移动终端安全的书籍,纯知识性。 

    3、Bin or Reverse Engineering 

    1. 《intel微处理器》:看雪坛友推荐


    2. 《逆向工程核心原理》: 韩国翻译过来的逆向书籍,深入浅出各种反汇编大法。调试大法,上钩大法。介绍利用各种工具。特别适合入门。

    3. 《加密与解密》: 看雪论坛创始人锻钢著作,经典之经典。主要介绍软件逆向,调试。反汇编,加壳脱壳等技术。

    4. 《挖0day》: 八进制核心成员编写,测试方法基本过期。但是对于软件特性,漏洞挖掘思路绝对脑洞一开。

    5. 《有趣的二进制》:不仅仅是书有趣,作者也是个有趣的人~一本由日文翻译过来的二进制安全书籍,翻译的非常仔细,仔细到调试工具里的弹窗文字都要翻译注释下来。基础书籍,事宜入门。也学学岛国的安全技术吧

    6. 《模糊测试 强制发掘安全漏洞的利器》:  超经典书籍。里面介绍的挖掘方法基本过期。但是技术思路和全书介绍的不少fuzz工具绝对值得收藏。

    7. 《汇编语言》: 了解汇编语言,寄存器,地址布局,汇编指令,数据段是件对逆向工程有好处的事儿~

    8. 《格蠹汇编 软件调试案例锦集》:  全书通篇介绍作者软件调试实战。没有一点水货~也不扯淡。学软件调试就看这个了。

    9. 《软件调试》: 上面那本书的姊妹篇,同一个作者。


    10. 《逆向工程实战》: 这本书一上来就分析栈操作和函数调用,对于新手来说不建议直接就啃。不过内容详细,看看上面的其他书籍或者了解一下汇编和C语言知识再啃这个比较合适。

    4、稍偏门类安全类 


    1. 无线:《无线网络黑客攻防》,详细介绍包括但不限于无线网络,无线蓝牙等无线攻防技术。了解什么是wpa,什么是cowpatty,mdk3。介绍  Auth Flood攻击 Deauth Flood攻击 Association Flood攻击 Disassociation Flood攻击RF Jamming攻击和各种漏洞测试方法。

    2. 《揭秘家用路由0day漏洞挖掘技术》:  够详细,连指令表都有。从路由器web。客户端,以及硬件安全方面介绍,介绍了各种测试方法,利用方式,扫描技术。

    3. 内核: 《内核漏洞的利用与防范》 ,不是很好理解的一本书,毕竟内核漏洞也不是想挖就挖的到的……

    4. 浏览器:《web之困》,这是一本不介绍漏洞,也不讲测试的经典书。全原理式讲解浏览器安全的前世今生~

    5. 数据安全:《数据驱动安全》,360某安全团队翻译过来的…大数据时代,当然用数据说话…只是对照着英文版发现有一丢丢的翻译错误。

    6. 云计算安全:《信息安全技术 云计算服务安全指南》。

    7.  tools books:《metasploit渗透测试指南》、《wireshark2数据包分析实战》、《ida pro权威指南》 《kali linux渗透测试的艺术》、《github入门与实践》、《fiddle调试权威指南》、《计算机安全超级工具集》、《雷神的微软平台宝典》。

    5、linux 类 


    1. 《linux内核源码剖析》上/下 : 几乎把Linux开源的每一段代码,每一条函数都拿出来分析。所以分成两本比较厚的书。了解Linux内核源码,操作原理就选这个了。

    2. 《鸟哥的linux私房菜》:  Linux安装到使用,搭建到指令。最最基础的Linux学习用书

    3. 《linux内核完全注释》《ram linux内核源码剖析》

    4. 《linux内核设计与实现》: 出版超过3年的经典书籍。从Linux内核进程,内核线程,调度,系统调用,中断和异常处理等方面概述了Linux内核的设计与实现原理。

    5. 《tcp/ip详解》:描述了属于每一层的各个协议以及它们如何在不同操作系统中运行。作者用lawrence berkeley实验室的tcpdump程序来捕获不同操作系统和tcp/ip实现之间传输的不同分组。对tcpdump输出的研究可以帮助理解不同协议如何工作。

    6、IT思维 

    1. 《我的互联网方法论》: 周鸿祎的龙头之作。他讲的方法其实就是他的产品理念

    2. 《增长黑客》:书名写着“黑客”讲的主题却是营销,用大数据说明如何利用“黑客”为自己增值。适合创业者看~

    3. 《德鲁克全书》:这本书本跟IT无关,但是里面的故事大多发生在互联网公司,并且适合创业者或者管理者阅读。一种把员工当成客户(上帝)的思维,层出不穷的管理体系理念。非常棒的管理思维。

    4. 《谷歌是如何运营的》:想运营好自己的公司或者部门,可以先从这里参考或者一下学习一下谷歌是怎么做的。

    5. 《乔布斯传》:乔布斯是我一直的偶像,真正的偶像。他的产品理念和创新思维绝对一流。不管是技术员,管理员,运维,CEO,都值得看看。

    6.  《腾讯传》  话说马化腾,道言张小龙。讲QQ,谈微信!

    7、优质的学习资源 
    1. 知乎周刊:http://zhuanlan.zhihu.com/

    2. 码农周刊:http://weekly.manong.io/

    3. Pycoder's Weekly:http://pycoders.com/archive/

    4. Hacker News:News:https://news.ycombinator.com/

    5. 合天网安实验室:http://www.hetianlab.com

    6. Startup News:http://news.dbanotes.net/

    7. 极客头条:http://geek.csdn.net/

    8. InfoQ:http://www.infoq.com/cn

    9. Stack Overflow:http://stackoverflow.com/

    10. GitHub:GitHub:https://github.com/

    11. FreeBuf:http://www.freebuf.com/

    12. csdn博客:blog.csdn.net

    13. 博客园:www.cnblogs.com

    14. 雷锋网:leiphone.com

    15. 吾爱破解:52pojie.cn

    16. 看雪论坛:bbs.pediy.com

    17. 绿盟科技博客:http://blog.nsfocus.net/

    18. E安全:http://www.easyaq.com/

    19.360播报:bobao.360.cn

    20. 游侠安全网 http://www.youxia.org

    8、第三方漏洞平台 


    1. 补天漏洞响应平台 ((https://butian.360.cn/ ): 自称是全球最大的漏洞平台,拥有上万名白帽子,对通用型漏洞奖金略高,1kb=3rmb。

    2. 漏洞盒子(漏洞盒子(https://www.vulbox.com/ ): freebuf创办。

    3.  Sobug 众测平台(众测平台(https://sobug.com/ ): 冷 焰创办。

    4. sebug漏洞库(sebug漏洞库(https://www.sebug.net/ ):一家以收集poc或exp为奖励的平台,据说挺赞的。

    5. 比戈大牛(http://www.bigniu.com ): 新平台,以收购android bin漏洞为主,奖励很丰厚。

    6. 阿里云盾先知计划( http://xianzhi.aliyun.com/ ):只收通用漏洞 最高奖金50w。


    9、企业SRC 

    1. 网易安全中心 ( http://aq.163.com  ):五块钱都可以换…

    2. 腾讯安全应急响应中心 (  http://security.tencent.com/):据说是全中国最好的SRC。

    3.  阿里巴巴安全应急响应中心(阿里巴巴安全应急响应中心(https://security.alibaba.com/ ):有钱任性,平台负责人是个高颜值帅哥。

    4. 新浪安全应急响应中心(http://sec.sina.com.cn/): 

    5 . 百度安全中心(http://sec.baidu.com/):  奖励不是很高,作为bat却排在了最后。

    6. 京东安全应急响应中心( http://security.jd.com/ ):奖励在步步提升了,并且和asrc一样有流动全国沙龙巡演。

    7. 360安全应急响应中心 (http://security.360.cn/ ): 月排名奖金真的很吸引人!

    8. 1号店安全应急响应中心( http://security.yhd.com/  ): 

    9. 金山安全应急响应中心(http://sec.kingsoft.com/ ): 小气小气小气小气小气....

    10 . 携程安全应急响应中心(http://sec.ctrip.com/ ):  商城礼品略少正在逐步改善…

    11.  去哪儿安全应急响应中心 ( http://security.qunar.com/ ):  

    12. 搜狗安全应急响应中心( http://sec.sogou.com/):  1安全币=1RMB。

    13. 小米安全中心(小米安全中心(https://sec.xiaomi.com/ ): 奖金不多,也不算少,直接打钱的src.

    14 . 联想安全应急响应中心( http://lsrc.lenovo.com/index.htm):  奖金正在逐步提升,不时翻倍.

    15.  深信服安全响应中心(http://security.sangfor.com.cn ):  奖励直接发京东卡的。

    16 . 魅族安全响应中心 ( http://sec.meizu.com/ ):  一币=10rmb,meizu pro5才280个币。

    17.   安全狗(http://security.safedog.cn ):公告形式排名,运营比较温柔~

    18.  迅雷( http://safe.xunlei.com ):不了解…

    19.  欢聚时代安全应急响应中心( http://security.yy.com ) :奖励略少…

    20.  平安集团安全应急响应中心( http://security.pingan.com ):直接以钱作为奖励方式,一个getshell大概4000块,积分比较狠。几十万来的。

    21.   唯品会安全应急响应中心( http://sec.vip.com/ ):也算个良心src了,不过有个缺点就是,只以唯品卡为奖励方式,没满10的暂存。还挺不错。毕竟新生src。

    22.  苏宁安全应急响应中心( http://security.suning.com/ssrc-web/index.jsp ): 有个审核有点帅……………一个币=5rmb,商城目前未上线,不过快了。

    23.   滴滴打车安全应急响应中心(http://sec.didichuxing.com/ ): 刚上线…排行榜都木有
    展开全文
  • 微信小程序内容接入安全检测接口

    千次阅读 2020-04-08 00:32:03
    最近微信小程序代码审核不通过,原因是未将用户的头像和网名做内容接入安全,根据修改指引: 一、什么服务或功能的小程序是UGC小程序? 小程序中的功能或服务中,涉及用户将自己自定义编辑的文字、图片、音频、...
  • 网络安全技术复习资料

    千次阅读 2019-06-28 12:30:06
    一、填空题: 网络安全的目标是在计算机网络的信息传输、存储与处理的整个... TCP/IP网络安全管理体系结构,包括 分层安全管理 、 安全服务与机制 和系统安全管理3个方面。 入侵检测的一般步骤有 信息收集 、数据...
  • MTK芯片资料大全,联发科各个型号的芯片资料都有:  别的不说了,直接上图可能会清楚一点:  这些资料都是各位小伙伴分享而收集起来的,不敢说说全部的mtk芯片资料都有,但是大部分都在这里了,型号也不少,需要...
  • 高通芯片型号资料大全,资料快速下载。上次发布了一篇MTK芯片型号资料大全,资料文件下载,现在再来更新一篇高通版本的。高通由于一些原因,其芯片资料更是难找,相信很多工程师er都有过刻骨铭心的经历,那么这篇...
  • MTK芯片型号资料大全,资料文件下载 联发科MTK芯片型号资料 MTK的芯片型号有很多,包括却不限于下面的这些型号,而一般我们需要下载这些资料,工具,源码等都需要费一番功夫去找,现在我就把自己的一些经验...
  • 上周六,去参加了看雪举办的第五届安全开发者峰会 ​观看了来着各个大厂的各位大佬的议题 11位演讲嘉宾带来了10个安全主题演讲, 每一个都非常精彩! 第一位演讲嘉宾来自于字节跳动,对于大佬的演讲,我...
  • 一、网络安全等级保护测评过程概述 网络安全等级保护测评工作过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评相关方之间的沟通与洽谈应贯穿整个测评过程。每一项活动有...
  • MySQL安全你不知道的事

    万次阅读 多人点赞 2020-11-30 11:35:49
    总结 安全存在于系统的方方面面,涉及安全的都是大事,今天主要聊的是MySQL安全的那些事,主要包括MySQL服务器安全,数据库安全以及数据安全,聊完之后发现安全的东西还蛮多,这些能够让我们对MySQL安全有更加深刻...
  • 这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件...
  • 小迪安全——概念名词

    千次阅读 2021-12-09 17:02:25
    概念名词 域名 1、什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成...4、域名发现对于安全测试意义 DNS 1、什么是DNS 2、本地HOSTS与DNS的关系 3、CDN是什么,与DNS的关系 4、常见的DNS.
  • java实现微信小程序内容安全检测

    千次阅读 2019-07-19 19:24:00
    公司小程序审核多次不过,沟通后确认是用户ugc没有做内容安全检测; 小程序的内容安全 1.imgSecCheck 图片检测 a.图片智能鉴黄:涉及拍照的工具类应用(如美拍,识图类应用)用户拍照上传检测;电商类商品上架图片...
  • 为了响应国家政策和法规,贯彻《数据安全法》在数据安全技术与合规方面的人才培养号召,帮助从业人员更全面的掌握数字安全的知识和技能,并扩展《个人信息保护法》与隐私计算的知识和技能,云安全联盟大中华区重磅...
  • 常见六大Web安全攻防解析

    千次阅读 多人点赞 2019-06-26 12:42:19
    在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法。 想阅读更多优质原创文章请猛戳...
  • 为什么StringBuilder是线程不安全的?

    万次阅读 多人点赞 2020-09-17 17:58:21
    在前面的面试题讲解中我们对比了String、StringBuilder和StringBuffer的区别,其中一项便提到StringBuilder是非线程安全的,那么是什么原因导致了StringBuilder的线程不安全呢? 原因分析 如果你看了StringBuilder或...
  • 英文为Certified Information Security Professional (简称CISP),CISP系经中国信息安全产品测评认证中心(已改名中国信息安全测评中心)实施国家认证。注意:CISP是强制培训的。如果想参加CISP考试,必须要求出具...
  • 校验一张图片是否含有违法违规内容。 应用场景举例: 图片智能鉴黄:涉及拍照的工具类应用(如美拍,识图类应用)用户拍照上传检测;电商类商品上架图片检测;媒体类用户文章里的图片检测等; 敏感人脸识别:用户头像...
  • 网络空间安全——总结

    千次阅读 2020-03-12 17:41:36
    课程内容安排: 安全法律法规 物理设备安全 网络攻防技术 恶意代码及防护 操作系统安全 无线网络安全 数据安全 信息隐藏 隐私保护 区块链 物联网安全 密码学基础 网络空间安全概念由来 欧洲信息安全局:网络空间...
  • 计算机三级信息安全知识点

    万次阅读 2021-03-26 19:23:04
    信息系统安全可以划分以下四个层次:设备安全,数据安全(三要素),内容安全,行为安全 保护、检测、响应(PDR)策略是确保信息系统和网络系统安全的基本策略 进程与cpu的通信是通过共享存储器系统、消息传递系统、管道...
  • 这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意...
  • 这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹...
  • **   安全对一些涉及到直接的金钱交易或个人隐私相关的应用的重要性是不言而喻的。...市场上一些主流的app虽然多少都做了一些安全防范,但由于大部分app不涉及资金安全,所以对安全的重视程度不够;而且由
  • 服务器安全篇【ssh安全

    千次阅读 2018-02-11 11:54:23
    中午吃饭时才注意到腾讯云给我发了很多安全提示(惨无人性啊,一元一个月学生机都有人入侵,根据提示ssh端口再被爆破),上服务器看了下history,记录被清除了,根据腾讯的安全提示找到了相应可疑病毒文件,本地...
  • 什么是web安全测试

    千次阅读 2020-05-08 20:58:54
    2005年06月,CardSystems,黑客恶意侵入了它的电脑系统,窃取了4000万张信用卡的资料。 2011年12月,国内最大的开发者社区CSDN被黑客在互联网上公布了600万注册用户的数据;黑客随后陆续公布了网易、人人、天涯、...
  • 【信息安全技术】期末复习考点汇总

    千次阅读 多人点赞 2020-10-20 18:27:42
    这里是小啊呜的学习课程资料整理。好记性不如烂笔头,今天也是努力进步的一天。一起加油进阶吧! 在这里插入图片描述 一、选择&判断题 测试卷整理合集 截至2020/10/20 共计10份测试卷。 02密码与隐藏技术测试卷: 02...
  • 信息安全入门——web安全介绍

    千次阅读 2021-11-13 20:17:42
    web安全顾名思义,就是web服务的安全,web服务通常由服务器、中间件、插件、内容构成,而攻击者就是通过某种特殊的手段已达到拿下web服务器为目的。 web安全每年都会由国际组织“开放式web应用程序安全项目(owasp...
  • ISO 26262是针对汽车电子/电气系统的功能安全标准,涉及汽车电子电气系统的整个安全生命周期及其管理过程;其最终目的便是确保“安全”,避免因汽车电子/电气系统故障而导致的不合理风险。 提供了一个安全生命...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 305,383
精华内容 122,153
关键字:

安全内容资料大全