这次的免费证书是全球顶级安全协会ISC出的网络安全CC认证(有证书、有Credly可领徽章,有题库),大名鼎鼎的CISSP认证就是他家出的,可见这张证书有多权威。
原价200刀(1360元),用小李哥的免费考试码CC1M12312023可以免费考。这门考试有题库,小李哥无偿送给大家,需要题库请私聊小李哥领取。
这是小李哥今年目前报考过的含金量最高的安全类免费证书,本证书属于基础级证书,不需要特别多的基础就可以过。适用于对安全没有任何背景,或者想深入学习/转行网络安全的小伙伴。该认证还包括免费备考课程,通过一点也不难。内容涵盖了基本的安全/网络安全/IT/权限管理的基本概念。大家在检测自己安全知识的同时还可以拿一张证。
1️⃣ISC2是什么组织?
ISC2叫国际信息系统安全认证联盟,是全球最大的网络、信息、IT安全认证会员制组织,主要为信息安全人士提供教育与认证服务
2️⃣证书名字是什么,需要费用吗?
证书名字为Certified in Cybersecurity(CC),考试是完全免费的!入门级证书,适用于无背景的在校学生/转行IT/IT专业人士。
3️⃣考试形式是怎么样的?
1)考试闭卷,有题库
2)题目数:100
3)通过分数: 700/1000 70%
4)考试时常: 2小时
5) 考试平台:OnVUE
4️⃣我该如何报名免费考试?
▶️首先在浏览器搜索ISC2 CC考试,点击进入红框链接
▶️ 进入证书主页,拉到中间位置,按照红框中教程创建ISC2账号、填写ISC2候选人申请表(额外送一张下图免费证书)
▶️ 由于ISC为会员制,每年年末需要缴纳50刀会费(第一年不用交,可以直接顺利拿到免费证书)
▶️ 大家点击红框进入CC考试主页
▶️ 并点击登录OnVUE账户
▶️ 按照下图的流程,进入OnVUE账户选择CC考试,在支付页面输入免费考试码就可以免费考了!
5. 常见网络攻击:
文末小李哥也为大家分享一些网络安全的基础知识,来通过介绍OWASP常见的网络攻击,帮助大家理解代码漏洞,并利用CodeGuru修复。
1. Injection
import sqlite3
from flask import request
def removing_product():
productId = request.args.get('productId')
str = 'DELETE FROM products WHERE productID = ' + productId
return str
def sql_injection():
connection = psycopg2.connect("dbname=test user=postgres")
cur = db.cursor()
query = removing_product()
cur.execute(query)
解决办法:
We detected a SQL command that might use unsanitized input. This can result in an SQL injection. To increase the security of your code, sanitize inputs before using them to form a query string.
修复后的代码:
import sqlite3
from flask import request
def removing_product():
productId = sanitize_input(request.args.get('productId'))
str = 'DELETE FROM products WHERE productID = ' + productId
return str
def sql_injection():
connection = psycopg2.connect("dbname=test user=postgres")
cur = db.cursor()
query = removing_product()
cur.execute(query)
2. 路径遍历
@app.route('/someurl')
def path_traversal():
file_name = request.args["file"]
f = open("./{}".format(file_name))
f.close()
修复建议: Potentially untrusted inputs are used to access a file path. To protect your code from a path traversal attack, verify that your inputs are sanitized.
修复后的代码:
@app.route('/someurl')
def path_traversal():
file_name = sanitize_data(request.args["file"])
f = open("./{}".format(file_name))
f.close()
3. 弱加密算法
def risky_crypto_algorithm(password):
salt = get_random_bytes(16)
keys = PBKDF2(password, salt, 64, count=1000000,
hmac_hash_module=SHA1)
修复建议:The `PBKDF2` function is using a weak algorithm which might lead to cryptographic vulnerabilities. We recommend that you use the `SHA224`, `SHA256`, `SHA384`,`SHA512/224`, `SHA512/256`, `BLAKE2s`, `BLAKE2b`, `SHAKE128`, `SHAKE256` algorithms.
修复代码:
from Crypto.Protocol.KDF import PBKDF2
from Crypto.Hash import SHA512
def risky_crypto_algorithm(password):
salt = get_random_bytes(16)
keys = PBKDF2(password, salt, 64, count=1000000,
hmac_hash_module=SHA512)
在亚马逊云科技上,利用Amazon CodeGuru Reviewer 的安全检测功能就可以自动检查代码中的漏洞,并在代码审查中提供可行的建议。CodeGuru Reviewer 的安全功能可以应用到 DevSecOps 中,我们需要再自动化软件开发生命周期的早期解决安全问题。CodeGuru 自动检测并有助于防止难以发现的安全漏洞,加速应用开发工作流中的 DevSecOps 过程。