给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网络安全面试题
绿盟护网行动
还有大家最喜欢的黑客技术
网络安全源码合集+工具包
所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
(1)数据保密性:保证数据内容在传输的过程中不会被第三方查看。就像快递员传递包裹一样,都进行了封装,别人无法获知里面装了什么。
(2)数据完整性:及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西,但他有可能中途掉包,数据完整性就是指如果被掉包,我们能轻松发现并拒收。
(3)身份校验安全性:保证数据到达用户期望的目的地。就像我们邮寄包裹时,虽然是一个封装好的未掉包的包裹,但必须确定这个包裹不会送错地方,通过身份校验来确保送对了地方。
http的优缺点
使用明文传输,容易被中间人攻击。消息完整性检测不足(仅在头部包含了本次传输数据的长度,内容未验证)。有关HTTP协议内容可查看文章网络-http协议学习笔记(消息结构、请求方法、状态码等)
https的优缺点
缺点
- 相同网络环境下,HTTPS 协议会使页面的加载时间延长近 50%,增加 10%到 20%的耗电。此外,HTTPS 协议还会影响缓存,增加数据开销和功耗。
- HTTPS 协议的安全是有范围的,在黑客攻击、拒绝服务攻击和服务器劫持等方面几乎起不到什么作用。
- 最关键的是,SSL 证书的信用链体系并不安全。特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。
- 成本增加。部署 HTTPS 后,因为 HTTPS 协议的工作要增加额外的计算资源消耗,例如 SSL 协议加密算法和 SSL 交互次数将占用一定的计算资源和服务器成本。在大规模用户访问应用的场景下,服务器需要频繁地做加密和解密操作,几乎每一个字节都需要做加解密,这就产生了服务器成本。
优点
- 使用 HTTPS 协议可认证用户和服务器,确保数据发送到正确的客户机和服务器。
- HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,要比 HTTP 协议安全,可防止数据在传输过程中被窃取、改变,确保数据的完整性。
- HTTPS 是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
SSL
SSL(Secure Socket Layer,安全套接字层),用来保障在网络上数据传输的安全,利用数据加密技术,可确保数据在网络上的传输过程中不会被截取,当前版本为3.0。
自从出了POODLE漏洞之后,SSL3.0已经直接定性成不安全的协议版本了。pdf下载链接如下,共4页,可以看一下,漏洞编号为CVE-2014-3566。
《This POODLE Bites: Exploiting The SSL 3.0 Fallback》
TLS
TLS(Transport Layer Security,安全传输层协议)用于在两个通信应用程序之间提供保密性和数据完整性。TLS协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。最新版本为TLS1.3(2018)。
HTTPS过程
四次握手:
- Client Hello:当客户端连接到支持TLS协议的服务器时,要求创建安全连接并给出受支持的密码组合(支持的协议版本、加密密码算法和加密哈希函数、随机数1(Client random)),握手开始。
- Server Hello、Certificate、ServerkeyExchange、Server Hello Done:服务器从列表中选择加密方法,随机数2(Client random),连同数字证书,此证书通常包含服务器的名称、受信任的证书颁发机构(CA)和服务器的公钥,发给客户端。
- Client Key Exchange、Change Cipher Spec、Encrypted Handshake Message:客户端确认其颁发的证书的有效性,使用服务器的公钥加密随机数3(Premaster secret)生成的密钥,并将其发送到服务器
- 服务器使用自己的私钥解密密钥,获得随机数3(Premaster secret)。
利用前面的3个随机数,双方生成用于加密和解密的对称/会话密钥(session key)。
这就是TLS协议的握手,握手完毕后的连接是安全的,直到连接(被)关闭。如果上述任何一个步骤失败,TLS握手过程就会失败,并且断开所有的连接。
浏览器和youtube之间
CA
CA(Certificate Authority,证书的签发机构)是PKI(Public Key Infrastructure,公钥基础设施)的核心,是负责签发证书、认证证书、管理已颁发证书的机关。CA 拥有一个证书(内含公钥和私钥),网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。
Web服务器和证书颁发机构之间
如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
HTTPS真的安全吗???
哪些CA的公钥可以被认可这件事情,是由操作系统为你做的,操作系统在安装的时候会内置可信CA的列表。
Windows系统,Win+R,输入certmgr.msc,可查看系统自带证书。
系统自带证书
浏览器证书
以csdn为例
点击小锁,点击安全连接
点击更多信息
点击查看证书
证书信息内容
在网络安全专栏中有关于xss攻击和csrf攻击的文章,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任,信任链必然有一个根结点,如果什么都不信任,也就没办法通信,而HTTPS则是信任CA、操作系统、浏览器,所以,下载正版的操作系统、浏览器可以相对安全(为什么说相对呢?谁知道Windows会不会摆你一道,比如,斯诺登事件)。
HTTPS抓包与修改
开发者神器库
上方链接不是官网,是这位老哥的CSDN中关于开发者神器库的文章,里面有官网、软件等。
我们进行百度主页的篡改,和CSDN的篡改。
自动代理配置
左侧菜单网络抓包->自动代理设置,选择WLAN。
网卡选择
自动代理设置
设置代理
新版火狐不成功的话,自己手动设置。
添加过滤
添加csdn
代理抓包
首次使用需要下载证书,这是信任链的根节点,代表我们信任这款软件。
(电脑)下载到本地
下载第一个即可
安装证书
本地计算机
安装完成
此时,我们的操作系统已经信任此款软件了。
点击下方"检测到新纪录,点此刷新!"就可以看到如下内容。
百度
过滤的不是很好的话就自行查找
查找
数据包篡改
HTTPS伪造改包->启用百度改为度娘
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!