精华内容
下载资源
问答
  • 网络安全学习路线是怎样的?

    千次阅读 2021-08-02 20:10:13
    近几年网络安全事件层出不穷,相信大家哪怕没遇到过,但也听过不少了吧。如服务器遭受入侵被黑,用户帐号被盗;被钓鱼、勒索病毒等,这些一旦发生,对企业而言都是不小的打击。因此,网络安全不容忽视,同时随着...

    为什么要学习安全?

           近几年网络安全事件层出不穷,相信大家哪怕没遇到过,但也听过不少了吧。如服务器遭受入侵被黑,用户帐号被盗;被钓鱼、勒索病毒等,这些一旦发生,对企业而言都是不小的打击。因此,网络安全不容忽视,同时随着时代的不断发展,公司对于运维及网络工程师要求也越来越严格。未来越来越吃香的一定是技能方向广的复合型人才。网络安全可以说是一条非常好的发展道路。

           今年两会期间,全国政协委员,360集团创始人、董事长周鸿祎提交了关于网络安全行业特殊人才的提案,为广大白帽子人员争取更好的待遇。

           据统计,目前的技术人员只能填满不到1%的缺口!这种供求不平衡直接反映在安全渗透工程师的薪资上,简单来说就是:竞争压力小,薪资还很高。

           学习网络安全,其实最重要的是如何能更好的防守与攻击。想要往开发系统上面发展,那就学C语言;想要做些厉害的桌面软件,那就学C++;如果往跨平台的企业级应用发展,那就学Java。所以选择一个适合自己的学习方向,是非常重要的,因为这将决定你接下来到底该如何学习。就像你要买鸿星尔克,结果你走进了耐克的店里,这肯定是买不到你想要的优质国货嘛!

    1.网络安全的优势


           网络安全现在都上升到国家层面了,近几年各国网络安全时间频发,各种黑产。
    国家在大力发展这行,跟着大方向走准没错!

     

    2、学完网络安全能干什么
     

           网络安全虽然说还有很多人不是很了解,但是网络安全的影响力随着时代的发展,已经超越了那些前辈。目前已经有Web安全工程师,渗透测试,等级保护,代码审计等等。。
    应用可谓是非常广。

    3、网络安全的薪资待遇

           网络安全目前已经上升到了国家战略级别,这个领域产生了大量的安全技术岗位需求,就连普通二、三线城市的安全工程师都达到了10-20万的年薪,更别提北、上、广、深这样的一线大城市。这不比你6/7K的工资香吗?

    4、网络安全的行业前景

           随着5G时代的到来,网络安全上升到了国家战略高度,不多BB,永远跟党走。
     

    网络安全该如何学习?

               其实学习的方法是因人而异的,可以根据自己选择的方向来调整。

    下面分享一些我个人的一些学习建议:

    1、选择好学习目标

           只有知道了自己的学习方向,才明白自己学习网络安全是要达到什么目的,这样才能让自己学习思路更清晰。像网络爬虫、web安全、渗透测试、应急响应、自动化运维、代码审计等这些领域,你对哪个感兴趣,就往哪方面去深耕,只有用心钻研,才能获得与这个领域相匹配的能力!
     

    2、制定学习计划

     我个人是把网络安全学习分成了基础、高级、大师3个学习阶段:

    基础阶段主要学习:Linux基础、系统管理、命令管理、目录知识、文件管理、网络基础、网络协议、HTML、CSS、PHP编程基础、MYSQL等等。

    高级阶段主要学习: Web应用程序基础、信息安全、漏洞扫描、SQL注入攻击技术、XSS跨站、上传绕过验证、文件包涵漏洞、CSRF攻击技术、远程代码执行漏洞、XXE原理利用防御、编辑器漏洞、暴力猜解、暴验证码安全、逻辑漏洞、业务安全问题

    大师阶段主要学习: SHELL、脱壳与逆向、区块链、免杀等等

           看到这么多要学的,是不是开始头晕眼花了?其实现阶段的你,只需要了解这些是未来要学习的就好了,后面跟着计划一步一步的学,也并没有多困难。

    3、基础一定要扎实  

          有道是万丈高楼平地起,只有地基牢固了,才能建起万丈高楼(作为转行人员,深受基础不够扎实的苦)。所以学习网安也是一样,只有把基础知识学扎实了,才能让你更好的理解后面的知识,才能在这个领域深耕下去。所以下面这些基础一定要熟练掌握:

    4、多动手实操

          实践是检验理论的唯一方式,根据你在学习期间掌握的理论知识,进行实践操作,这样才能了解你的真实能力,才能知道  自己在学习中,有哪些知识掌握不够。

     &  最后送大家一个网安学习思维导图

     

    本文导图/网安资料领取

    展开全文
  • 什么是网络安全 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。具有保密性、完整性、可用性、可控性、...

    什么是网络安全

    网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。具有保密性、完整性、可用性、可控性、可审查性的特性。​(PS:网络借鉴参考,大家都懂

    网络安全工程师的定义

    首先,我们来看看网络安全工程师的定义:指遵照信息安全管理体系和标准工作,防范黑客入侵并进行分析和防范,通过运用各种安全产品和技术,设置防火墙、防病毒、IDS、PKI、攻防技术等。同时进行安全制度建设与安全技术规划、日常维护管理、信息安全检查与审计系统帐号管理与系统日志检查等的人员。

    从这个定义中,我们能清楚的看到从事网络安全工作需要掌握的技能。这些知识和技能不是一朝一夕就能修成正果的。需要注意的是:计算机知识与网络安全息息相关,学校学习的计算机基础知识是进阶到网络安全学习的基石,因为网络安全工程师是网络安全众多分支中的一条路径,所以,必须要把计算机知识这个根基打牢,这样,后期在学习或应用中,才能在网络安全众多分支中自如切换。所以,首先要打击一下急于求成的心态,抛弃那些标榜“宝典”、“诀窍”、“XX天从入门到精通”的书籍或教程,踏踏实实的系统学习每一项理论和技能才是正道。

    网络安全行业分类、技能需求

    根据不同的安全规范、应用场景、技术实现等,安全可以有很多分类方法,在这里我们简单分为网络安全、Web安全、云安全、移动安全(手机)、桌面安全(电脑)、主机安全(服务器)、工控安全、无线安全、数据安全 等不同领域。下面以个人所在行业和关注点,重点探讨 网络 / Web / 云这几个安全方向。

    ① 网络安全

    [网络安全] 是安全行业最经典最基本的领域,也是目前国内安全公司发家致富的领域,例如启明星辰、绿盟科技、天融信这几个企业(“老三大” )。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN网关(IPsec/SSL)、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。通过以上网络安全产品和技术,我们可以设计并提供一个安全可靠的网络架构,为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。

    大的安全项目(肥肉…)主要集中在以政府/国企需求的政务网/税务网/社保网/电力网… 以运营商(移动/电信/联通)需求的电信网/城域网、以银行为主的金融网、以互联网企业需求的数据中心网等。以上这些网络,承载着国民最核心的基础设施和敏感数据,一旦泄露或者遭到非法入侵,影响范围就不仅仅是一个企业/公司/组织的事情,例如政务或军工涉密数据、国民社保身份信息、骨干网络基础设施、金融交易账户信息等。

    当然,除了以上这些,还有其他的企业网、教育网等也需要大量的安全产品和服务。网络安全项目一般会由网络安全企业、系统集成商、网络与安全代理商、IT服务提供商等具备国家认定的计算机系统集成资质、安全等保等行业资质的技术单位来提供。

    [技能需求]

    • 网络协议:TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…

    • 主流网络与安全设备部署:思科/华为/华三/锐捷/Juniper/飞塔、路由器/交换机、防火墙、IDS/IPS、VPN、AC/AD…

    • 网络安全架构与设计:企业网/电信网/政务网/教育网/数据中心网设计与部署…

    • 信息安全等保标准、金土/金税工程… ……

    [补充说明]

    • 不要被电影和新闻等节奏带偏,战斗在这个领域的安全工程师非常非常多,不是天天攻击别人写攻击代码写病毒的才叫做安全工程师;

    • 这个安全领域研究的内容除了defense(防御)和security(安全),相关的Hacking(攻击)技术包括协议安全(arp中间人攻击、dhcp泛洪欺骗、STP欺骗、DNS劫持攻击、HTTP/VPN弱版本或中间人攻击…)、接入安全(MAC泛洪与欺骗、802.1x、WiFi暴力破解…)、硬件安全(利用NSA泄露工具包攻击知名防火墙、设备远程代码执行漏洞getshell、网络设备弱口令破解.. )、配置安全(不安全的协议被开启、不需要端口服务被开启…)…

    • 学习这个安全方向不需要太多计算机编程功底(不是走研发路线而是走安全服务工程师路线),更多需要掌握常见安全网络架构、对网络协议和故障能抓包分析,对网络和安全设备能熟悉配置;

    ② Web安全

    Web安全领域从狭义的角度来看,就是一门研究[网站安全]的技术,相比[网络安全]领域,普通用户能够更加直观感知。例如,网站不能访问了、网站页面被恶意篡改了、网站被黑客入侵并泄露核心数据(例如新浪微博或淘宝网用户账号泄露,这个时候就会引发恐慌且相继修改密码等)。当然,大的安全项目里面,Web安全仅仅是一个分支,是需要跟[网络安全]是相辅相成的,只不过Web安全关注上层应用和数据,网络安全关注底层网络安全。

    随着Web技术的高速发展,从原来的[Web不就是几个静态网页吗?]到了现在的[Web就是互联网],越来越多的服务与应用直接基于Web应用来展开,而不再仅仅是一个企业网站或论坛。如今,社交、电商、游戏、网银、邮箱、OA…..等几乎所有能联网的应用,都可以直接基于Web技术来提供。

    由于Web所承载的意义越来越大,围绕Web安全对应的攻击方法与防御技术也层出不穷,例如WAF(网页防火墙)、Web漏洞扫描、网页防篡改、网站入侵防护等更加细分垂直的Web安全产品也出现了。

     

    [技能需求] Web安全的技能点同样多的数不过来,因为要搞Web方向的安全,意味初学者要对Web开发技术有所了解,例如能通过前后端技术做一个Web网站出来,好比要搞[网络安全],首先要懂如何搭建一个网络出来。那么,Web技术就涉及到以下内容:

    • 通信协议:TCP、HTTP、HTTPs

    • 操作系统:Linux、Windows

    • 服务架设:Apache、Nginx、LAMP、LNMP、MVC架构

    • 数据库:MySQL、SQL Server、Oracle

    • 编程语言:前端语言(HTML/CSS/JavaScript)、后端语言(PHP/Java/ASP/Python)

    ③ 终端安全(移动安全/桌面安全)

    移动安全主要研究例如手机、平板、智能硬件等移动终端产品的安全,例如iOS和Android安全,我们经常提到的“越狱”其实就是移动安全的范畴。而近期爆发的危机全球的Windows电脑蠕虫病毒 - “WannerCry勒索病毒”,或者更加久远的“熊猫烧香”,便是桌面安全的范畴。

    桌面安全和移动安全研究的技术面都是终端安全领域,说的简单一些,一个研究电脑,一个研究手机。随着我们工作和生活,从PC端迁移到了移动端,终端安全也从桌面安全迁移到移动安全。最熟悉不过的终端安全产品,便是360、腾讯、金山毒霸、瑞星、赛门铁克、迈克菲McAfee、诺顿等全家桶……

    从商业的角度看,终端安全(移动安全加桌面安全)是一门to C的业务,更多面向最终个人和用户;而网络安全、Web安全、云安全更多是一门to B的业务,面向政企单位。举例:360这家公司就是典型的从to C安全业务延伸到to B安全业务的公司,例如360企业安全便是面向政企单位提供安全产品和服务,而我们熟悉的360安全卫士和杀毒则主要面向个人用户。

    ④ 云安全

    [云安全] 是基于云计算技术来开展的另外一个安全领域,云安全研究的话题包括:软件定义安全、超融合安全、虚拟化安全、机器学习+大数据+安全….. 目前,基于云计算所展开的安全产品已经非常多了,涵盖原有网络安全、Web安全、移动安全等方向,包括云防火墙、云抗DDOS、云漏扫、云桌面等,国内的腾讯云、阿里云已经有相对成熟的商用解决方案出现。

    云安全在产品形态和商用交付上面,实现安全从硬件到软件再到云的变革,大大减低了传统中小型企业使用安全产品的门槛,以前一个安全项目动辄百万级别,而基于云安全,实现了真正的按需弹性购买,大大减低采购成本。另外,云时代的安全也给原有行业的规范和实施带来更多挑战和变革,例如,托管在云端的商用服务,云服务商和客户各自承担的安全建设责任和边界如何区分?云端安全项目如何做信息安全等保测评?

    网络安全职位分类、招聘需求

    ① 安全岗位

    以安全公司招聘的情况来分,安全岗位可以以研发系、工程系、销售系来区分,不同公司对于安全岗位叫法有所区分,这里以行业常见的叫法归类如下:

    • 研发系:安全研发、安全攻防研究、逆向分析

    • 工程系:安全工程师、安全运维工程师、安全服务工程师、安全技术支持、安全售后、渗透测试工程师、Web安全工程师、应用安全审计、移动安全工程师

    • 销售系:安全销售工程师、安全售前工程师、技术解决方案工程师

    【网络安全是2021年的趋势,也是国家所倡导】

     

    进入正题,接下来,我们来分享一下如何由浅入深循序渐进get网络安全技能和如何系统而全面的学习网络信息安全的学习资料

     

    小编专门整理了一套有关网络安全学习的视频教程,扫码添加备注“网络安全”即可免费获取!

    不管你是零基础小白,开发,转行,进阶 都会有你所需要的

     

     

     

    展开全文
  • 工控网络安全学习路线

    千次阅读 2021-09-26 12:29:55
    对于我国而言,工业控制系统安全所面临的重要问题是自主可控的问题,我国在工控领域对国外设备和技术的依赖程度强。据中国产业信息研究网调查统计结果显示,全国5000多个重要的工业控制系统中,95%以上的工控系统...

    工业背景
    对于我国而言,工业控制系统安全所面临的重要问题是自主可控的问题,我国在工控领域对国外设备和技术的依赖程度强。据中国产业信息研究网调查统计结果显示,全国5000多个重要的工业控制系统中,95%以上的工控系统操作系统均采用国外产品;在我国的工控系统产品上,国外产品已经占领了大部分市场,如PLC国内产品的市场占有率不到1%,工业中用到的逻辑控制器95%是来自施耐德(法国)、西门子(德国)、发那科(日本)等的国外品牌。
    以扬州市为例,自2014年1月起,在全市范围内启动重点行业重要工业控制系统基本情况调查,统计显示,全市24个企业共计1213个重点工业控制系统,主要分属化工、电力行业和城市公用事业服务领域。德国西门子公司生产的可编程控制器(PLC)和我国浙江浙大中控公司生产的分布式控制系统(DCS)在扬州市工业企业应用广泛,其中德国西门子公司生产的可编程控制器占全部调查企业工业控制系统总数的87%,占全部调查企业可编程控制器应用总数的95%以上。
    工业控制系统(以下简称工控系统)是国家基础设施的重要组成部分,也是工业基础设施的核心,被广泛用于炼油、化工、电力、电网、水厂、交通、水利等领域,其可用性和实时性要求高,系统生命周期长,是信息战的重点攻击目标。目前,我国在工业控制系统网络安全技术研究以及产业发展等相关领域处于快速发展阶段,防护能力和应急处置能力相对较低,特别是关键部位工控系统大量使用国外产品,关键系统的安全性受制于人,重要基础设施的工控系统成为外界渗透攻击的目标。

    法律层面
    目前我国已经将关键基础设施的信息网络安全纳入了《中华人民共和国网络安全法》。
    其中第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
    (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
    (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
    (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
    (四)采取数据分类、重要数据备份和加密等措施;
    (五)法律、行政法规规定的其他义务。

    其中第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

    工控网络安全特点
    首先,工控网络安全是关键基础设施的一部分,而且是关键部分。关键基础设施包含公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。其中能源、交通、水利等行业都有工业控制系统,随着“互联网+”、“中国制造2025”等国家政策的发布,工业控制系统与传统的IT网络、与互联网的互联互通已经势不可挡,这其中的网络安全问题尤其突出。

    工控网络包含多种多样的工艺场景,目前流行的智能制造、智慧工厂、智慧城市、智慧水利、智慧电厂等新型技术都属于工控网络安全范畴。新技术、新网络、新方向都将带动这些行业发展,但这其中的网络、信息、数据的安全就成为了新的研究方向。
    其次,工控网络安全触及到生活的每个角落,伴随着物联网的到来,各行各业的数据都将被采集、处理、汇总。一旦发生网络安全事件,将是牵一发而动全身的效果。有过黑客或者渗透经验的人就会知道,暴露出来的网络安全事件都只是冰山一角,当网络安全事件被揭露的时候,伴随着的是内部的数据都已经被偷窥一空了。
    最后,工控网络安全是一个多学科,多技术,多领域的交叉门类。本身工控行业的基础专业是自动化专业,自动化专业就是一个多学科的交叉专业,它涉及计算机专业,电气电子专业、仪表专业、通信专业和信息专业等内容。工控网络涉及多个行业,如能源、交通、水利等。多技术包含控制技术、工艺技术、信息技术、网络技术、通信技术、存储技术等等。

    工控网络安全概述
    “工控”即“工业控制”,工业控制系统(ICS,Industrial Control System)是一类用于工业生产的控制系统的统称,它包含PLC控制系统(PLC,Programmable Logic Controller)、分布式控制系统(DCS,Distributed Control System)、监视控制与数据采集(SCADA,Supervised Control And Data Acquisition)系统等。PLC控制系统是单用PLC互相连接构成的控制系统,PLC与PLC之间采用松散的连接方式,难以做出协调的高精度控制,主要应用于小型生产过程,如灌装流水线、邮件分发流水线等。分布式控制系统(DCS)也被称为集散控制系统,用于大规模的连续过程控制,适用于测控点数多、精度高且反应速度快的工业现场,如发电、炼油厂、污水处理、化工等。数据采集与监视控制系统(SCADA),国内也称之为组态监控软件,主要实现广域环境的生产过程和事物管理,其大部分具体控制工作还需要依赖现场环境的控制设备,主要应用于电力系统、输油管道和轨道交通等。

    工业控制系统可简单划分为过程控制网络和现场控制网络两部分。过程控制网络中部署多种关键工业控制组件,通过SCADA服务器(MTU)与远程终端单元(RTU)组成远程传输链路。

    过程控制网络向下与现场控制网络相连接。现场总线的控制和采集设备(PLC或RTU)一方面将现场设备状态传送到过程控制网络,另一方面还可以自行处理一些简单的逻辑程序,完成现场控制网络的大部分控制逻辑功能,如控制流量和温度、读取传感器数据等。

    过程控制网络向上与企业信息网络相连接。在企业信息网络中,企业资源计划(ERP)服务器和制造执行系统(MES)服务器与工业控制系统紧密相连。

    在企业信息网络中,邮件、Web、ERP等业务都需要与互联网相连接,而MES需要与工业控制系统相连接,以获得生产过程的各种数据,并下达生产任务。各种病毒和木马就是利用这个通道进入企业信息系统,进而进入到工业控制系统中,这已经成为工业控制系统的主要安全威胁来源。随着信息技术的快速发展,工业控制系统中的无线连接、移动存储介质(U盘)、远程维护和升级等新兴技术和应用的广泛使用,为工业控制系统引入了更多的安全风险。

    工控网络安全学习内容
    1、行业特性
    传统信息系统旨在利用计算机、互联网技术实现数据处理与信息共享,而工业控制系统旨在利用计算机、互联网、微电子以及电气等技术,使工厂的生产和制造过程更加自动化、效率化、精确化,并具有可控性及可视性,它强调的是工业自动化过程及相关设备的智能控制、监测与管理。

    2、工业控制设备
    传统信息系统是通过互联网协议组成的计算机网络;而工业控制系统是PLC、RTU、DCS、SCADA等工业控制设备及系统组成的多层次网络。

    3、工业控制操作系统
    传统信息系统通用使用的操作系统,如Windows、UNIX、Linux等,防护功能相对强大;而工业控制系统广泛使用嵌入式操作系统,如VxWorks、uCLinux、WinCE等,并有可能根据需要进行功能裁减或定制。

    4、网络协议
    传统信息系统主要使用TCP/IP栈(应用层协议HTTP、FTP、SMTP等);而工业控制系统一般直接使用专用的通信协议或规约(OPC、Modbus、DNP3等),或者将其作为TCP/IP的应用层使用。

    5、工业实时通信
    传统信息系统要求相对较低,信息传输允许延迟,多数系统能容忍短暂的、有计划的系统维护;而工业控制系统要求较高,不能轻易停机和重启恢复。

    6、工控安全事件
    信息系统中不可预料的中断可能会造成任务损失,但已逐渐有较为成熟的故障响应方案;而工业控制系统中不可预料的中断会造成经济损失或环境灾难,故障的应急响应方案还很不成熟。

    7、工控安全维护
    信息系统采用通用系统,兼容性较好,软硬件升级较容易,软件系统升级也较为频繁;而工业控制系统使用专有系统,兼容性差,软硬件升级较困难,一般很少进行系统升级。

    工控网络安全学习路线
    上面提到的工控网络安全是一个多学科、多技术、多领域的交叉内容。当作为初学者想开始学习,逐渐学习及深入学习时,工控网络安全是一个深深的陷阱。里面包含的内容实在是太多了,这里仅仅展示工控网络安全的冰山一角,还希望大家一起学习,一起交流,一起探讨,一起进步。
    首先,作为安全从业者必须要掌握的基本技能:编程语言。建议从汇编、C/C++到Python的学习路线。
    其次,要学习《计算机网络原理》,掌握基本的网络通信技术。
    自动化方面,要学习《可编程逻辑控制器(PLC)》,掌握基础的自动化设备原理。
    最后体系化的学习,是在前三个基础之上,对于工控网络安全的基础内容的学习。推荐的学习路线为-自动化软件-协议解析-固件分析-漏洞挖掘。
    自动化软件:自动化软件分为编程软件、组态软件(SCADA软件)、实时数据库等自动化方面的软件。可按照行业、厂家进行分类,深入了解后,在进行跨厂家,跨行业的进行深度学习。
    协议解析:协议解析分为基础协议和私有协议两大类。协议又可分为控制协议和通信协议两个层面。通常所要将的协议包含控制内容及通信两部分。协议分析还可以按照链路层协议和应用层协议进行学习。应用层的协议较为通用性强一些。
    固件分析:与传统的固件分析较为相似,但工业控制系统广泛使用嵌入式操作系统,所以协议内容更多的倾向嵌入式操作系统的固件进行分析。
    漏洞挖掘:最为高阶的学习内容,通过前面学习的基础基本就可进入此阶段了,综合利用上述内容对工业控制系统中的设备,软件,网络等内容进行渗透测试。

    在这里插入图片描述

    展开全文
  • 不折腾的网络安全,和咸鱼有什么区别 目录 二、 前言 三 、同源策略  3.1 什么是同源策略  3.2 为什么需要同源策略 四 、XSS  4.1 概览  4.2 介绍  4.3 防御 五 、CSRF  5.1 概览  5.2 介绍  5.3 防御 六、 ...

    前言

    不折腾的网络安全,和咸鱼有什么区别

    目录

    二、 前言
    三 、同源策略
     3.1 什么是同源策略
     3.2 为什么需要同源策略
    四 、XSS
     4.1 概览
     4.2 介绍
     4.3 防御
    五 、CSRF
     5.1 概览
     5.2 介绍
     5.3 防御
    六、 SQL 注入
    七 、流量劫持
     7.1 DNS 劫持
     7.2 HTTP 劫持
    八 、浏览器网络安全
    九、 浏览器系统安全
    十 、参考文献

    浏览器安全可以分为三大块:

    Web 页面安全
    浏览器网络安全
    浏览器系统安全

    image.png

    Web 世界是开放的,任何资源都可以接入其中,我们的网站可以加载并执行别人网站的脚本文件、图片、音频、视频等资源,甚至可以下载其他站点的可执行文件。

    但是 Web 世界不能绝对自由,例如打开一个银行站点,不小心又打开一个恶意站点:

    • 修改银行站点的 DOM、CSSOM 等信息;
    • 在银行站点内部插入 JavaScript 脚本;
    • 劫持用户登录的用户名和密码;
    • 读取银行站点的 Cookie、IndexDB 等数据;
    • 甚至还可以将这些信息上传至自己的服务器,这样就可以在你不知情的* * 情况下伪造一些转账请求等信息。

    所以,在没有安全保障的 Web 世界中,我们是没有隐私的,因此需要安全策略来保障我们的隐私和数据的安全。

    这就引出了页面中最基础、最核心的安全策略:同源策略(Same-origin policy)。

    【一>所有资源获取<一】
    1、200份很多已经买不到的绝版电子书
    2、30G安全大厂内部的视频资料
    3、100份src文档
    4、常见安全面试题
    5、ctf大赛经典题目解析
    6、全套工具包
    7、应急响应笔记
    8、网络安全学习路线

    三、 同源策略

    3.1 什么是同源策略

    所谓 源,可以指 URL。

    简单 来看某个 URL 组成;
    https://github.com/LiangJunrong/document-library

    名称举例
    协议http、https
    域名github.com、jsliang.top
    端口80、443

    其中,如果 URL 上未标明端口,那么 http 默认是 80 端口,https 默认是 443 端口。

    而所谓的同源,是指 协议、域名、端口 一致的情况下,才属于同源。

    浏览器默认两个相同的源之间是可以相互访问资源和操作 DOM 的。两个不同的源之间若想要相互访问资源或者操作 DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。

    对于上面的 URL,我们判断下同源情况:

    https://github.com/LiangJunrong/document-library

    URL是否同源原因
    http://github.com协议不同
    https://github2.com域名不同
    https://github.com:80/LiangJunronghttps 默认端口为 443
    https://money.github.com多级域名和主域名一致

    3.2 为什么需要同源策略

    同源策略主要表现在 DOM、Web 数据和网络这三个层面。

    第一个,DOM 层面
    同源策略限制了来自不同源的 JavaScript 脚本对当前 DOM 对象读和写的操作。

    当你在 A 页面,通过 的形式打开 B 页面,经过下面 2 行代码可以将 A 页面的内容给隐藏掉:

    let pdom = opener.document;
    pdom.body.style.display = "none";
    

    这就是同源情况下 DOM 的一个操作。

    而不同源的是无法操作的。

    第二个,数据层面
    同源策略限制了不同源的站点读取当前站点的 Cookie、IndexDB、LocalStorage 等数据。

    由于同源策略,我们依然无法通过 B 页面的 opener 来访问 A 页面中的 Cookie、IndexDB 或者 LocalStorage 等内容。

    第三个,网络层面
    同源策略限制了通过 XMLHttpRequest 等方式将站点的数据发送给不同源的站点。

    四、 XSS

    4.1 概览
    本章目标:看到下面概览可以大略描述说出 XSS 攻击、XSS 攻击类型以及 XSS 防御措施。

    • XSS 攻击类型
      1、存储型
      2、反射型
      3、文档型
    • XSS 防范措施
      1、输入检查
      2、利用 CSP
      3、利用 HttpOnly

    4.2 介绍

    XSS(Cross Site Script)跨站脚本攻击。指的是攻击者向网页注入恶意的客户端代码,通过恶意的脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。

    image.png

    例如:

    • 可以窃取 Cookie 信息。恶意 JavaScript 可以通过 document.cookie 获取 Cookie 信息,然后通过 XMLHttpRequest 或者 Fetch 加上 CORS 功能将数据发送给恶意服务器。恶意服务器拿到用户的 Cookie 信息之后,就可以在其他电脑上模拟用户的登录,然后进行转账等操作。

    • 可以监听用户行为。恶意 JavaScript 可以使用 addEventListener 接口来监听键盘事件,比如可以获取用户输入的***等信息,将其发送到恶意服务器。黑客掌握了这些信息之后,又可以做很多违法的事情。
      可以通过修改 DOM 伪造假的登录窗口,用来欺骗用户输入用户名和密码等信息。

    • 可以在页面内生成浮窗广告,这些广告会严重地影响用户体验。
      注入恶意脚本分 3 种方式:

    存储型:即攻击被存储在服务端,常见的是在评论区插入攻击脚本,如果脚本被储存到服务端,那么所有看见对应评论的用户都会受到攻击。例如 2015 年喜马拉雅的专辑名称允许用户编写

    反射型:攻击者将脚本混在 URL 里,服务端接收到 URL 将恶意代码当做参数取出并拼接在 HTML 里返回,浏览器解析此 HTML 后即执行恶意代码。例如 Q 群或者邮件中发送恶意链接,用户点击恶意链接,然后解析 URL 执行恶意代码。

    DOM 型:攻击者通过各种手段将恶意脚本注入用户的页面中。例如通过网络劫持(WiFi 路由器劫持、本地恶意软件劫持等)在页面传输过程中修改 HTML 页面内容。

    image.png

    4.3 防御

    防御 XSS 攻击:

    输入检查:对输入内容中的 script 和 等标签进行转义或者过滤
    设置 httpOnly:设置此属性可防止 JavaScript 获取 Cookie,只能在 HTTP 请求过程中使用 Cookie
    开启 CSP 白名单:即开启白名单,可阻止白名单以外的资源加载和运行

    image.png

    五、 CSRF

    5.1 概览

    本章目标:看到下面概览可以大略描述说出 CSRF 攻击、CSRF 攻击方式以及 CSRF 防御措施。

    • CSRF 攻击方式

    1、利用用户的登录状态,并通过第三方的站点来做一些坏事
    2、自动发 GET 请求
    3、自动发 POST 请求
    4、诱导点击发送 GET 请求

    • CSRF 防范措施

    1、验证 Token
    2、验证 Referer
    3、验证 Samesite

    5.2 介绍

    image.png

    CSRF 攻击(Cross-site request forgery)即跨站请求伪造。

    是一种劫持受信任用户向服务器发送非预期请求的攻击方式,通常情况下,它是攻击者借助受害者的 Cookie 骗取服务器的信任,但是它并不能拿到 Cookie,也看不到 Cookie 的内容,它能做的就是给服务器发送请求,然后执行请求中所描述的命令,以此来改变服务器中的数据,也就是并不能窃取服务器中的数据。

    CSRF 攻击就是黑客利用用户的登录状态,并通过第三方的站点来做一些坏事。

    打开攻击者提供的页面后,攻击者有 3 种方式实施 CSRF 攻击:

    ** 方法一:自动发起 Get 请求**

    <!DOCTYPE html>
    <html>
      <body>
        <h1>黑客的站点:CSRF 攻击演示</h1>
        <img src="https://jsliang.top/index.html?user=hacker&number=100">
      </body>
    </html>
    

    黑客将转账的请求接口隐藏在 img 标签内,欺骗浏览器这是一张图片资源。

    当该页面被加载时,浏览器会自动发起 img 的资源请求,如果服务器没有对该请求做判断的话,那么服务器就会认为该请求是一个转账请求,于是用户账户上的 100 块就被转移到黑客的账户上去了。

    ** 方法二:自动发起 POST 请求**

    <!DOCTYPE html>
    <html>
    <body>
      <h1>黑客的站点:CSRF 攻击演示</h1>
      <form id='hacker-form' action="https://jsliang.top" method=POST>
        <input type="hidden" name="user" value="hacker" />
        <input type="hidden" name="number" value="100" />
      </form>
      <script>
        document.getElementById('hacker-form').submit();
      </script>
    </body>
    </html>
    

    在页面中构建了一个隐藏的表单,该表单的内容就是极客时间的转账接口。

    当用户打开该站点之后,这个表单会被自动执行提交;当表单被提交之后,服务器就会执行转账操作。

    因此使用构建自动提交表单这种方式,就可以自动实现跨站点 POST 数据提交。

    ** 方法三:引诱用户点击链接**

    <div>
      <img width=150 src=http://images.xuejuzi.cn/1612/1_161230185104_1.jpg>
      </div>
    <div>
      <a href="https://jsliang.top?user=hacker&number=100" taget="_blank">
        点击下载美女照片
      </a>
    </div>
    

    传说中的色诱,或者 “点击即送 100w 元” 之类的。

    5.3 防御

    防御 CSRF 攻击:

    验证 Token:浏览器请求服务器时,服务器返回一个 token,之后每个请求都需要同时带上 token 和 Cookie 才会被认为是合法请求
    验证 Referer:通过验证请求头的 Referer 来验证来源站点,但请求头很容易伪造
    设置 SameSite:设置 Cookie 的 SameSite,可以让 Cookie 不随跨站请求发出,但浏览器兼容不一

    六 \SQL 注入

    已有代码:

    <form action="/login" method="POST">
      <p>Username: <input type="text" name="username" /></p>
      <p>Password: <input type="password" name="password" /></p>
      <p><input type="submit" value="登陆" /></p>
    </form>
    

    后端的登录语句:

    let querySQL = `
      SELECT *
      FROM user
      WHERE username='${username}'
      AND psw='${password}'
    `;
    

    // 接下来就是执行 sql 语句…
    攻击者输入的信息是:

    用户名:jsliang’ OR 1 = 1 –
    密码:随意,例如 123456
    预想输入和现在输入变成:

    SELECT * FROM user WHERE username='jsliang' AND psw='123456'
    SELECT * FROM user WHERE username='jsliang' OR 1 = 1 --' AND psw='xxxx'
    

    我们先拆解这条 SQL 语句,避免有些小伙伴看不懂:

    SELECT:查找
    *:所有信息
    FROM:来源于某个表(From xxx)
    user:用户表
    username=‘xxx’:用户名是 xxx
    AND:和
    OR:或
    –:注释,跟我们 JS 的 // 一样
    所以上面代码的意思是:

    第一条:查找 user 表,其中 username 为 jsliang,并且密码是 123456
    第二条:查找 user 表,其中 username 为 jsliang,或者 1 = 1
    这样,第二条的 SQL 查询条件就必定是真的啦,我们就可以登录这个账号了。

    这就是 SQL 注入。

    怎么预防?这里我们不理会,属于后端需要注意的范畴。

    当然后端可能要求前端帮忙防范,比如用户名不能包含 -、_ 等~

    image.png

    七 流量劫持

    流量劫持基本分两种:DNS 劫持 和 HTTP 劫持,目的都是一样的,就是当用户访问 github.com 的时候,给你展示的并不是或者不完全是 github.com 提供的 “内容”。

    7.1 DNS 劫持

    DNS 劫持,也叫做域名劫持。

    当用户通过某一个域名访问一个站点的时候,被篡改的 DNS 服务器返回的是一个恶意的钓鱼站点的 IP,用户就被劫持到了恶意钓鱼站点,然后继而会被钓鱼输入各种账号密码信息,泄漏隐私。

    这类劫持:

    要不就是网络运营商搞的鬼,一般小的网络运营商与黑产勾结会劫持 DNS
    要不就是电脑中毒,被恶意篡改了路由器的 DNS 配置,基本上做为开发者或站长却是很难察觉的,除非有用户反馈。

    7.2 HTTP 劫持

    HTTP 劫持主要是当用户访问某个站点的时候会经过运营商网络,而不法运营商和黑产勾结能够截获 HTTP 请求返回内容,并且能够篡改内容,然后再返回给用户,从而实现劫持页面。

    轻则插入小广告,重则直接篡改成钓鱼网站页面骗用户隐私,就好比 jsliang 访问某 XXDN 网站,会出现 Google 广告,实际上问了其他人的是不会有这个的。

    能够实施流量劫持的根本原因,是 HTTP 协议没有办法对通信对方的身份进行校验以及对数据完整性进行校验。如果能解决这个问题,则流量劫持将无法轻易发生。

    所以防止 HTTP 劫持的方法只有将内容加密,让劫持者无法破解篡改,这样就可以防止 HTTP 劫持了。

    HTTPS 是基于 SSL 协议的安全加密网络应用层协议,相当于 HTTP + SSL,可以很好地防止 HTTP 劫持。

    image.png

    八 、浏览器网络安全

    HTTP 在传输过程中的每一个环节,数据都有可能被窃取或者篡改,这也意味着你和服务器之间还可能有个中间人,在通信过程中的一切内容都在中间人的掌握中。

    使用 HTTP 传输的内容很容易被中间人窃取、伪造和篡改,通常我们把这种攻击方式称为中间人攻击。

    具体来讲,在将 HTTP 数据提交给 TCP 层之后,数据会经过用户电脑、WiFi 路由器、运营商和目标服务器,在这中间的每个环节中,数据都有可能被窃取或篡改。

    比如用户电脑被黑客安装了恶意软件,那么恶意软件就能抓取和篡改所发出的 HTTP 请求的内容。

    或者用户一不小心连接上了 WiFi 钓鱼路由器,那么数据也都能被黑客抓取或篡改。

    九 、浏览器系统安全

    浏览器本身的漏洞是单进程浏览器的一个主要问题,如果浏览器被曝出存在漏洞,那么在这些漏洞没有被及时修复的情况下,黑客就有可能通过恶意的页面向浏览器中注入恶意程序。

    其中最常见的攻击方式是利用缓冲区溢出,不过需要注意这种类型的攻击和 XSS 注入的脚本是不一样的。

    XSS 攻击只是将恶意的 JavaScript 脚本注入到页面中,虽然能窃取一些 Cookie 相关的数据,但是 XSS 无法对操作系统进行攻击。
    通过浏览器漏洞进行的攻击是可以入侵到浏览器进程内部的,可以读取和修改浏览器进程内部的任意内容,还可以穿透浏览器,在用户的操作系统上悄悄地安装恶意软件、监听用户键盘输入信息以及读取用户硬盘上的文件内容。

    image.png

    渲染进程需要执行 DOM 解析、CSS 解析、网络图片解码等操作,如果渲染进程中存在系统级别的漏洞,那么以上操作就有可能让恶意的站点获取到渲染进程的控制权限,进而又获取操作系统的控制权限。

    基于此,在渲染进程和操作系统之间建一道墙,即便渲染进程由于存在漏洞被黑客攻击,但由于这道墙,黑客就获取不到渲染进程之外的任何操作权限。

    将渲染进程和操作系统隔离的这道墙就是安全沙箱。

    展开全文
  • 废话不多说,先上一张图镇楼,看看网络安全有哪些方向,它们之间有什么关系和区别,各自需要学习哪些东西。 【一>所有资源获取<一】 1、200份很多已经买不到的绝版电子书 2、30G安全大厂内部的视频资料 3、...
  • 一图尽览安全学习路线(2021版网络空间安全学习路线图) 清晰PNG大图或PDF文件请到公众号“麟学堂”看2021版网络空间安全学习路线图或者关注领取下载。 B站对这个图视频讲解在“麟学堂-张妤”,链接为:...
  • 将陆续推出包括学习路线图、书籍推荐图、认证路线图、资源分布图等系列及相关视频讲解。 更多精彩原创文章,请持续关注麟学堂公众号。 B站“麟学堂-张妤”有专门针对性视频讲解及历次干货分享活动,欢迎关注。 01 ...
  • 摘自:渗透测试学习 零基础新手的第一步应该是: Web前后端基础与服务器通信原理 的了解。(所指前后端:H5、JS、PHP、SQL,服务器指:WinServer、Nginx、Apache等) 第二步:当下主流漏洞的原理与利用 此时才应该是...
  • 网络安全学习路线: 想学习网络安全专业的知识,想当黑客,但是不知道该从哪里开始学。 我给你一个路线! 清晰图片和资料!
  • 党高度重视网络安全,作出一系列重大决策部署,提出了“没有网络安全就没有国家安全”的要求,推动互联网安全事业不断得到重视和发展。 进入九月中旬,我们国家又一次的迎来了“网络安全宣传周”。 即:9月14日至20...
  • 在工信部《网络安全产业高质量发展三年行动计划》中,明确要求:到2023年我国网络安全产业规模超过2500亿元,同时未来10年网络安全行业将保持25%以上的增速,10年后我国网络安全市场规模将超过1.4万亿元。...
  • 信息安全学习路线

    千次阅读 2021-04-02 15:28:31
    信息安全学习路线 安全人员基本技能 学习安装操作系统(Windows、Vmware/VirtualBox、Ubuntu/Kali) 学习使用搜索引擎(baidu/google语法) 魔法上网(......) 学会提问的智慧 文档编写技巧(word,ppt,markdown) 浏览器...
  • 可以这么说,未来10年都将是网络安全人才就业的黄金期。 截至2018年8月,网民规模已达8.02亿人,连家里的老人都开始用起了智能手机。 然而互联网的开放性和安全漏洞带来的风险也无处不在,最普遍的像账号被盗...
  • 【千锋】网络安全学习笔记(一)

    千次阅读 2021-11-13 18:24:59
    子网掩码 局域网通讯规则:同一个局域网中,所有的IP必须在同一网段中才可以相互通讯 IP地址分为两部分:网络位(所属网段),主机位(在该网段的名称) 子网掩码:与255对应的数字为网络位,与0对应的数字为主机位 ...
  • 网络安全之渗透实战学习

    万次阅读 多人点赞 2021-10-27 20:28:33
    4、网络安全基础入门、Linux、web安全、攻防方面的视频(2021最新版) 5、网络安全学习路线(告别不入流的学习) 6、ctf夺旗赛解析(题目解析实战操作) burp编码爆破 打开网页,弹出Basic Authorization认证 抓包...
  • 整体来说漏洞扫描等简单安全工作已经比较熟练,网络安全等技术术语也有一定涉及;虽然日常与运维和网络沟通较少,但日常沟通相比于2019有所提升。同时2020年也出现一个小插曲,7月一直教我技术的同事离职对我今年...
  • 随着计算机网络在社会生活各个领域的广泛应用,网络安全问题越来越成为人们关注的焦点。下面是学习啦小编收集整理的计算机网络工程师学习路线指南,希望对大家有帮助~~计算机网络工程师学习路线指南工具/原料坚持方法...
  • 本次写的是一篇如何通过针对性系统学习Web安全或者说如何能成为一名渗透测试人员(有疑问或者错误的地方还望大家多多指正)。 相信大家每学习一样东西的时候都是存在一种很迷茫的心态(包括我自己),上网找视频找...
  • 网络安全人才发展路线 最近有同学在后台留言,0基础怎么学网络安全?0基础可以转行做网络安全吗?以前也碰到过类似的问题,想了想,今天简单写一下。 我的回答是先了解,再入行。 具体怎么做呢? 首先,你要确定学习...
  • 不同于Java、C/C++等后端开发岗位有非常明晰的学习路线,网路安全更多是靠自己摸索,要学的东西又杂又多,难成体系。 网络安全分支 其实在网络安全这个概念之上,还有一个更大的概念:信息安全。 工作岗位主要有...
  • 最近有同学问我,网络安全学习路线是怎么样的? 废话不多说,先上一张图镇楼,看看网络安全有哪些方向,它们之间有什么关系和区别,各自需要学习哪些东西。 在这个圈子技术门类中,工作岗位主要有以下三个方向: ...
  • 网络安全学习方向。

    千次阅读 2021-04-29 09:09:07
    黑客或网络安全学科,起源计算机科学,但又不止于计算机,还涉及社会工程学、心理学、信息战等多个领域,学习曲线属于典型的「入门易 精深难」。 进入这个圈子之前,相信聪明的你已经积累了很多关于「如何学习」「...
  • 一、网络安全学习普法(心里有个数,要进去坐几年!) 1、了解并介绍《网络安全法》 2、《全国人大常委会关于维护互联网安全的决定》 3、《中华人民共和国计算机信息系统安全保护条例(2011 年修正)》 4、《中华...
  • 前言      近几年通过市场反应,能看得出来,招聘车联网安全专家非常难,不是懂车的不懂安全,就是懂安全的不懂车,高薪都很难招到合适...IOV安全学习拓扑图 大致分为云端、APP端、车端 ...
  • 作者:华章尹老师来源:大数据DT(ID:hzdashuju)网络安全行业热火朝天,但我们很少看到这个领域相关职业路线的规划,这一方面是由于这个行业还比较年轻,还没有完全建立职业路径,另一方...
  • 过去的2020年是不同寻常的一年。这一年,新基建成为中国经济热词、疫情黑天鹅事件突袭,好坏之间,企业数字化转型得以全面提速。但从安全角度来看,这也意味着安全态势变得更加复杂,安全的范畴也变...
  • 感谢您3年的陪伴,我是二进制安全领域优质博主鸿渐之翼,同时我也是Go语言的爱好者,一个文人墨客,平常喜欢在CSDN上发关于网络安全领域的文章,比如漏洞分析与复现。后期我会更进更多关于软件安全与测试的文章,...
  • 网络安全漏洞深度剖析

    千次阅读 2021-10-16 16:23:05
    2021年7月13日,美国微软威胁情报中心发布安全公告[1],文中指出黑客利用Serv-U 0day对极少数美国军工部门成功进行了攻击,同日Serv-U母公司solarwinds也发布安全公告[2],并针对最新大版本发布了补丁[3]。...
  • [重点难点] 网络安全机制 [教学方法] 讲授 [上 机] [课 时] 4 第二章 物理与环境安全 [目的要求] 通过本章教学,要求学生了解物理与环境对网络安全的影响,学习如何防护和保护设备的正常运行。 [教学内容] 物理与...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 29,040
精华内容 11,616
关键字:

网络安全学习路线