![](https://img-blog.csdnimg.cn/20201014180756724.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全知识
文章平均质量分 58
loughsky
这个作者很懒,什么都没留下…
展开
-
ip欺骗与盗用原理
IP欺骗的原理 IP欺骗的技术比较复杂,不是简单地照猫画老虎就能掌握,但作为常规攻击手段,有必要理解其原理,至少有利于自己的安全防范,易守难攻嘛。假设B上的客户运行rlogin与A上的rlogind通信:1. B发送带有SYN标志的数据段通知A需要建立TCP连接。并将TCP报头中的sequence number设置成自己本次连接的初始值ISN。2. A回传给B一个带有SY转载 2015-11-05 17:22:21 · 1077 阅读 · 0 评论 -
关于伪基站的攻击
在2G时代,GSM制式和IS95制式其鉴权都采用的是单向鉴权,也就是只有基站对手机鉴权,而手机不会对基站鉴权。当手机工作在2G制式的时候,当伪基站的信号强度大于基站信号强度时,手机就会接入到伪基站。手机一旦接入到伪基站,伪基站就可以做很多事情。伪造手机号码向终端发送短信、拨打电话截获手机的流量在网络制式中:4G网络,强制要求手机与终端双向认证,因此不会有伪基站的原创 2015-10-19 19:33:18 · 3943 阅读 · 0 评论 -
关于安全强度与易用性冲突
在开始做信息安全的时候,总是希望自己所做的系统越安全越好,这也导致了系统安全功能越来越多,也越来越难用,与UI交互团队,与其它功能单位的冲突也越来越多,系统的安全推动也越来越困难。是不是越安全越好,安全需要做到什么程度?首先安全是有代价的,安全关注的是必然性,而软件、产品的开发关注的是可能性,因此安全与产品的研发存在根本的冲突。一个好的安全设计,可以缓解产品开发与安全的冲突,但不能从根原创 2015-10-22 11:25:49 · 1028 阅读 · 0 评论 -
身份认证之密码存储
在系统中用户的密码如何保存,一直是一个难点,找到几篇论述清楚的文章,记录在这里。http://blog.jobbole.com/61872/http://drops.wooyun.org/papers/1066原创 2015-10-21 19:21:54 · 459 阅读 · 0 评论 -
安全的本质
一个产品、一个软件、一项技术发明出来之后,有的人可以拿它做好事,有的人可以拿它做坏事。所以技术本身没有善恶,有善恶的是用它的人。电话发明出来的时候,是为了人们之间的沟通,可有的人拿它做骚扰电话、电话诈骗。武器发明出来,为了是进攻,有的人也哪它做防卫。所以IT信息中的安全,我认为是确保事物按照我们所期望的方向发展,确保一种在设计之初所期望的秩序,保证不会被恶意使用。安全是原创 2015-11-07 20:26:08 · 1283 阅读 · 0 评论 -
常见的HTTPS攻击方法
0x00 背景研究常见的https攻击方法Beast crime breach,并针对https的特性提出一些安全部署https的建议。针对于HTTPS的攻击,多存在于中间人攻击的环境中,主要是针对于HTTPS所使用的压缩算法和CBC加密模式,进行side-channel-attack。这几类攻击的前置条件都比较苛刻,且都需要受害主机提交很多次请求来收集破译关键数据的足转载 2015-10-26 11:05:33 · 823 阅读 · 0 评论 -
操作系统等保标准与CC标准的关系
操作系统等保标准:GB/T 20272 操作系统系统安全技术该标准要求主要来自于 信息安全等级保护标准 17859 和 CC标准:GB/T 18336。在操作系统等保标准中,其包括下列章节自主访问控制等保->自主访问控制强制访问控制等保->强制访问控制标记等保->标记身份鉴别等保和CC->身份鉴别原创 2015-10-27 17:09:51 · 2415 阅读 · 0 评论 -
安全操作系统的一些设计原则
一般来说,安全体系主要包括以下四方面内容:(1). 详细描述系统中安全相关的所有方面,包括系统提供的所有安全服务和保护系统自身安全的所有安全措施;(2). 在一定抽象层次上描述各个安全相关模块之间的关系;(3). 提出指导设计的基本原理;(4). 提出开发过程的基本框架及对应于该框架体系的层次结构; 一般来说,安全体系结构又可以分为四类,分别是:抽象体系、通用体系、逻辑原创 2015-10-27 16:14:00 · 6729 阅读 · 0 评论 -
自主访问控制和强制访问控制
在Linux操作系统:一提到自主访问控制,人们想到的是基于属主、属组的读写执行的访问控制体系。一提到强制访问控制,人们想到的是Selinux,基于Se的策略控制主体对客体的访问。自主访问控制、强制访问控制,是一种安全策略,不能将其与具体的安全实现划等号。即使我们使用基于属主、属组的安全机制,也同样能够实现强制访问控制。什么是自主访问控制、强制访问控制?自主访问控原创 2015-10-28 19:35:19 · 20950 阅读 · 0 评论 -
安全的层次
什么是安全?安全是指不受威胁、没有危险、危害、损失。人类的整体与生存环境资源的和谐相处,互相不伤害,不存在危险、危害的隐患, 是免除了不可接受的损害风险的状态。在IT领域为什么会存在安全威胁?人类发明一项东西,用在好的人手里,可以造福人类;用在坏人的手里,则可以祸害人类。东西没有善恶,有善恶的是后面的人。同样在IT领域,其既可以用来提高人类的沟通、生产效率,也可以被恶意份子原创 2015-11-16 14:01:40 · 1798 阅读 · 0 评论