一、对网络安全的概述
网络安全指网络系统中的硬件、软件以及系统中的数据受到保护,不因偶然或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全包括,网络设备安全、网络软件安全和网络信息安全。凡是涉及到网络上信息保密性、完整性、可用性、可认证性、可控性和可审查性的相关理论和技术都是网络安全研究的范畴。这六个特性的含义概括如下:
保密性:确保信息不被泄露或呈现给非授权的人。
完整性:信息在传输和存储的过程中不丢失、不被修改和破坏。
可用性:确保合法用户不会无缘故地被拒绝访问信息和资源。
可认证性:包括对等实体认证和数据源点认证两个方面。
可控性:对信息的内容及传播具有可控制力。
可审查性:出安全问题时提供依据和手段。
二、对二进制安全的概述
二进制安全,是网络安全领域两大技术方向之一,指的是在传输数据时,保证二进制数据的信息安全,也就是不被篡改、破译等,如果被攻击,能够及时检测出来。
这个方向主要涉及到软件漏洞挖掘、逆向工程、病毒木马分析等工作,涉及操作系统内核分析、调试与反调试、反病毒等技术。因为这些技术经常都是与二进制的数据打交道,所以久而久之用二进制安全来统称这个方向。
此方向的研究在网络安全中是最复杂,也是难度最高的,是一个比较偏向于底层的方向,因此对学习者的计算机基础要求较高,需要大量的时间和精力深入学习。但该方向相对而言就业面狭窄,门槛也较高,因此岗位仅仅存在于几个头部的甲方互联网公司(如腾讯、阿里等)的安全实验室,以及部分乙方安全公司(如 360、深信服等)中,主要从事安全研究、病毒分析和漏洞分析等工作。
Web安全主要包括两方面:1. 私密性:个人资料不被非法获取和利用,仅在拥有授权情况下可以进行访问;2. 可靠性:个人资料不会丢失、不会损坏、不被篡改。
Web安全更偏向于“实战”,因此对技术在广度上有更高的要求,从网络硬件设备、网络通信协议、网络服务(Web、邮件、文件、数据库等)、到操作系统、攻击手法等等都需要了解。
Web安全方向的工作有下面几个方向:
1.安全服务,俗称乙方,这是最主要的一个方向,为甲方公司提供安全能力支持,如渗透测试,产品安全检测等。
2.安全能力建设,俗称甲方,国内稍微有点规模的公司都有自己的SRC(安全应急响应中心),也就是有自己的安全团队。
3.维护国家网络安全,也就是国家队。
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式,已经成为全球范围网络安全圈流行的竞赛形式。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。
CTF竞赛模式具体分为以下三类:
1.解题模式:在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。
2. 攻防模式:在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,也比体力(因为比赛一般都会持续48小时及以上),同时也比团队之间的分工配合与合作。
3. 混合模式:结合了解题模式与攻防模式的CTF赛制,比如参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。
在CTF中主要包含Web、Pwn、Reverse、Crypto、Misc5个大类的题目,有些比赛会根据自己的侧重点单独添加某个分类,例如移动设备(Mobile), 电子取证(Forensics)等,近年来也会出来混合类型的题目。
五、对OWASP Top 10(2021)的概述
OWASP:开放式Web应用程序安全项目(Open Web Application Security Project),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识,不过OWASP每四年发布一次,现在最新的OWASP Top 10是2021年的,名单如下:
Top1、失效的访问控制:失效的访问控制,也叫越权,指的是在未对通过身份验证的用户,实施恰当的访问控制。攻击者可以利用这一漏洞,访问未经授权的功能或数据。
Top2、加密机制失效:上升一位到第二位,以前称为“敏感数据泄露”。敏感数据泄露更像是一种常见的表象问题而不是根本原因,这项风险重点是与加密机制相关的故障。
Top3、注入:通常是指,将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。
Top4、不安全设计:这是2021的一个新类别,侧重于设计和体系结构缺陷相关的风险,呼吁更多的使用威胁建模、安全设计模式和参考体系结构。
Top5、安全配置错误:安全配置错误是比较常见的漏洞,由于操作者的不当配置(默认配置,临时配置,开源云存储,http标头配置,以及包含敏感信息的详细错误),导致攻击者可以利用这些配置获取到更高的权限,安全配置错误可以发生在各个层面,包含平台、web服务器、应用服务器、数据库、架构和代码。
Top6、易受攻击和过时的组件:由于现在的服务器都需要使用很多的组件,组件(例如:库、框架和其他软件模块)运行和应用程序相同的权限。如果使用含有已知漏洞的组件,这样的攻击可以造成严重的数据丢失或服务器接管。使用含有已知漏洞的组件的应用程序和API,可能会破坏应用程序防御、造成各种攻击并产生严重影响。
Top7、认证和授权失败:通俗地说,该漏洞会导致攻击者使用用户的用户名和密码进行填充,从而入侵系统。
Top8、软件和数据完整性故障:这是一个新增的类型,指的是在不验证完整性的情况下做出与软件更新、关键数据和CI/CD管道相关的假设。
Top9、安全日志记录和监控失败:指的是在没有日志记录和监控,将无法检测到漏洞,此类故障会直接影响可见性、事件报警和取证。
Top10、服务器端请求伪造:一旦web应用程序在获取远程资源时没有验证用户提供的URL,就会出现ssrf缺陷。它允许攻击者强制应用程序发送一个精心构造的请求到意外的目的地,即使是在有防火墙,VPN获其他类型的网络访问控制列表保护的情况下。
3987
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
