![](https://img-blog.csdnimg.cn/20201014180756926.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
网络安全
文章平均质量分 60
CauchyBDS
这个作者很懒,什么都没留下…
展开
-
使用了SSL证书的网站使用CDN时会有哪些问题(一)
内容交付网络(CDN)被广泛部署,以提高网站的性能,可扩展性和安全性。它们最初用于通过将用户重定向到靠近用户的代理服务器(或缓存服务器)来减少Web访问的延迟,以及减轻原始Web服务器的负载。近年来,CDN提供商也开始通过隐藏原始网站并将攻击流量负载分配给多个代理服务器来提供DDoS缓解服务。通过在缓存服务器上部署Web应用程序防火墙,CDN还可以过滤对原始服务器的入侵。使用CDN,Web访问终...翻译 2019-05-02 17:09:39 · 4030 阅读 · 0 评论 -
黑客文化简史
一年一度的哈佛 - 耶鲁足球比赛并没有让很多大学球迷感到兴奋,因为两所学校之间的比赛更多的是知识分子,而不是运动能力。因此,在1982年11月30日,在两队第 99 次会议的第二季度,主要是那两个常春藤盟校的学生和校友在看台上观看。随着球队在哈佛大学第二次达阵后面对,一阵奇怪的声音引起了人群对中场边线的注意。从草皮上跳下来,慢慢地长出来的是一个黑色的气球。随着它继续膨胀,停止游戏,一组字母变得清...翻译 2019-05-09 11:36:09 · 630 阅读 · 0 评论 -
网络安全的诞生与演变
网络安全的诞生与演变我们有科幻小说作家威廉吉布森感谢“网络安全”一词,他对此并不满意。“当我创造它时,我所知道的’网络空间’这个词,它似乎是一个有效的流行语。它似乎令人回味并且基本上毫无意义。它提示某些东西,但没有真正的语义含义,即使对我而言,正如我在页面上看到的那样,“吉布森在2000年的纪录片”没有这些领土的地图“中有些懊恼地说道。虽然它本来没有意义,但“有效的流行语”被证明是轻描淡写的...翻译 2019-05-09 11:37:59 · 3580 阅读 · 0 评论 -
加密——密码学
密码学:通过加密实现信息安全当苹果公司和联邦调查局于2016年初进入该公司时,该公司拒绝解密属于参与圣贝纳迪诺大屠杀的两名恐怖分子之一的iPhone,媒体报道为网络安全领域打开了一扇小窗口,大多数消费者很少看到。在发送重要的企业电子邮件,输入亚马逊订单的信用卡信息或在线管理个人财务时,我们都依赖Apple和其他地方的网络安全专家努力管理的东西:安全加密算法。尽管苹果首席执行官蒂姆库克坚持自己...翻译 2019-05-09 11:40:36 · 217 阅读 · 0 评论 -
系统漏洞基础知识
系统漏洞基础知识系统漏洞也称安全缺陷,这些安全缺陷会被技术高的不等的入侵者所利用,从而达到控制目标主机或造成一些更具破坏性的目的。系统漏洞概述技术所有操作系统的默认安装(Default installation)都没有被配置成最理想的安全状态,即出现了漏洞。漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷,或在编写时产生的错误。某个程序(包括操作系统)在设计时未考虑周全,则这个错误或缺陷将可...原创 2019-05-15 10:35:05 · 5856 阅读 · 0 评论 -
Windows服务器系统入侵流程
(3)IIS漏洞入侵。IIS(Internet Information Server)服务为Web服务器提供了强大的Internet和Internet服务功能。主要通过端口80来完成操作,因为作为Web服务器,80端口总要打开,具有很大的威胁性。长期以来,攻击IIS服务是黑客惯用的手段,这种情况多是由于企业管理者或网管对安全问题关注不够造成的。(4)缓冲区溢出攻击。缓冲区溢出是病毒编写者和特洛伊...原创 2019-05-15 10:39:37 · 2988 阅读 · 0 评论 -
NetBIOS漏洞攻防
NetBIOS(Network Basic Input Output System,网络基本输入/输出系统)是一种应用程序接口(API),系统可以利用WINS服务、广播及Lmhost文件等多重模式,将NetBIOS名解析为相应IP地址,实现信息通信。因此,在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享。因为它占用系统资源少、传输效率高,尤为适于由20~200台计算机组成的小型...转载 2019-05-15 16:33:53 · 3229 阅读 · 1 评论 -
十个能保持网络安全的好习惯
及时更新杀毒软件及防火墙软件请定期下载更新安全软件,以确保您免受新型网络病毒威胁。及时更新互联网浏览器新版本浏览器内置的保护措施可针对虚假网站及病毒侵袭。选择易记而不易被猜到的密码密码中使用字符和数字的组合一般难以被猜到。设置一个有别于您使用其他账号的密码您的汇丰个人网上银行应使用单独的密码。定期更换密码每月更新一次密码是个好习惯。不要向别人透露密码任何一位汇丰银行职员都不...转载 2019-05-12 03:25:23 · 1332 阅读 · 0 评论 -
跨站脚本攻击XSS(Cross-Site Scripting)
XSS可说是网站界第一名常见的攻击模式,恶意的使用者可以将脚本程式码放在网页上让其他使用者执行,任何可以让使用者输入资料的网站,都必须小心这个问题。例如可以将以下的程式贴到网页上:<script>alert('HACK YOU!');</script><img src=javascript:alert('HACK YOU!')><table back...转载 2019-05-12 03:29:09 · 544 阅读 · 0 评论 -
跨站伪造请求CSRF(Cross-site request forgery)
CSRF是说攻击者可以利用别人的权限去执行网站上的操作,例如删除资料。例如,攻击者张贴了以下脚本到网页上:<img src="/posts/delete_all">攻击者自己当然是没有权限可以执行”/posts/delete_all”这一页,但是网站管理员有。当网站管理员看到这一页时,浏览器就触发了这个不预期的动作而把资料删除。要防范CSRF,首先可以从区别GET和POST的H...转载 2019-05-12 03:31:01 · 233 阅读 · 0 评论 -
SQL injection注入攻击
SQL injection注入是说攻击者可以输入任意的SQL让网站执行,这可说是最有杀伤力的攻击。如果你写出以下这种直接把输入放在SQL条件中的程式:Project.where("name = '#{params[:name]}'")那么使用者只要输入:x'; DROP TABLE users; --最后执行的SQL就会变成SELECT * FROM projects WHERE n...转载 2019-05-12 03:34:29 · 461 阅读 · 0 评论 -
大量赋值(Mass assignment)
Mass assignemet是个Rails专属,因为太方便而造成的安全性议题。ActiveRecord物件在新建或修改时,可以直接传入一个Hash来设定属性(这功能叫做Mass assignment),所以我们可以直接将网页表单上的参数直接丢进放进去:def create # 假设表单送出 params[:user] 参数是 # {:name => “ihover”, :emai...转载 2019-05-12 03:36:01 · 1637 阅读 · 0 评论 -
黑客的历史
如今,不同的人对黑客场景有不同的看法。通常,具有相似技能水平的人具有相似的观点。没有官方对黑客的定义,而是群众中的模糊概念。此外,媒体喜欢在全国范围内添加虚假信息以吸引观众的注意力,纯粹是为了金钱。这一切始于20世纪60年代的麻省理工学院,是“黑客”一词的起源,非常熟练的人在FORTRAN和其他较老的语言中练习硬核编程。有些人可能无知地称他们为“书呆子”或“极客”,但到目前为止,这些人是...翻译 2019-05-09 11:28:43 · 1050 阅读 · 0 评论 -
什么是僵尸网络
僵尸网络及其功能甲僵尸网络(简称“机器人网络”)是由感染的计算机网络的恶意软件在一个攻击方的控制之下,被称为“僵尸牧民”。每个在bot-herder控制下的个人机器被称为机器人。从一个中心点来看,攻击方可以命令其僵尸网络上的每台计算机同时执行协调的刑事诉讼。僵尸网络的规模(许多由数百万个僵尸程序组成)使攻击者能够执行以前不可能使用恶意软件的大规模操作。由于僵尸网络仍然受远程攻击者的控制,受感染的...转载 2019-05-01 06:15:06 · 1366 阅读 · 0 评论 -
使用了SSL证书的网站使用CDN时会有哪些问题(二)
概观CDN是一种分布式基础架构,可以有效地向最终用户提供与Web相关的内容。最初,CDN服务用于减少用户访问网站的延迟,并减轻网站原始服务器的负担。最近,CDN提供商还为网站提供新的安全服务,例如DDoS保护和Web应用防火墙(WAF)。CDN通常由遍布全球的大量代理服务器组成。如果网站使用CDN服务,则CDN中的代理服务器的子集将通过pull或push方法复制该网站的内容。当用户访问该网站时...翻译 2019-05-02 17:12:08 · 1192 阅读 · 0 评论 -
使用了SSL证书的网站使用CDN时会有哪些问题(三)
当Https遇到Cdn:问题和挑战虽然HTTPS提供服务器身份验证以及用户和网站2之间的安全通信,但CDN可实现高效的内容交付。两者都在当今的Web服务中发挥着重要作用。但是,我们发现这两种技术无法无缝协同工作。图1描绘了一个概念性视图,说明采用CDN如何通过HTTPS显着改变安全的Web浏览。在图1a中,当用户通过HTTPS访问网站(Alice)时,用户的浏览器(Bob)首先向Alice打招...翻译 2019-05-02 17:14:40 · 1111 阅读 · 1 评论 -
动态网络安全模型的雏形——P2DR模型
P2DR模型是美国ISS公司提出的,他是动态网络安全体系的代表模型,也是动态安全模型的雏形。P2DR模型包括四个主要部分:Policy(安全策略),Protection(防护)、Detection(检测)和Response(响应)。P2DR模型是在整体安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认真、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安...转载 2019-04-28 01:58:49 · 6905 阅读 · 0 评论 -
僵尸网络是什么?
(内容来自网络)僵尸网络(简称“机器人网络”)是由感染的计算机网络的恶意软件在一个攻击方的控制之下,被称为“僵尸牧民”。每个在bot-herder控制下的个人机器被称为机器人。从一个中心点来看,攻击方可以命令其僵尸网络上的每台计算机同时执行协调的刑事诉讼。僵尸网络的规模(许多由数百万个僵尸程序组成)使攻击者能够执行以前不可能使用恶意软件的大规模操作。由于僵尸网络仍然受远程攻击者的控制,受感染的计...转载 2019-05-04 03:36:23 · 2494 阅读 · 0 评论 -
标准SSL握手
以下是使用RSA密钥交换算法时的标准SSL握手:1.客户您好服务器需要使用SSL与客户端通信的信息。这包括SSL版本号,密码设置,特定于会话的数据。2.服务器你好服务器需要使用SSL与客户端通信的信息。这包括SSL版本号,密码设置,特定于会话的数据。3.认证和预主密钥客户端验证服务器证书。(例如,公共名称/日期/发行者)客户端(取决于密码)为会话创建预主密钥,使用服务器的公钥加密,并将...转载 2019-04-29 00:35:05 · 221 阅读 · 0 评论 -
客户端证书与服务器证书有什么区别?
客户或用户身份对某些人来说,提及PKI或“客户证书”可能会让人想起保护和完成客户在线交易的企业形象,但这些证书在我们的日常生活中以各种口味发现; 当我们登录VPN时; 在自动柜员机或银行卡上使用银行卡进入建筑物; 例如,在伦敦市中心使用的Oyster公共交通智能卡中。这些数字证书甚至可以在汽油泵,汽车装配线上的机器人甚至护照上找到。在欧洲大陆和许多所谓的“新兴国家”,客户证书的使用尤其普遍,政...转载 2019-04-29 00:40:30 · 12747 阅读 · 0 评论 -
SSL 术语表
#256-位加密使用密钥长度为 256 位的算法加扰电子文档的过程。密钥越长,强度越大。A非对称密码这是指在加密和解密过程中使用的一对由 2 个密钥组成的密码。在 SSL 和 TLS 领域,我们称之为公钥和私钥。C证书签名请求 (CSR)赛门铁克证书应用的机器可读形式。一个 CSR 通常包含公钥和请求者的可识别名。证书颁发机构 (CA)根据认证操作规则 (CPS) 授权颁发、暂...转载 2019-04-29 01:02:39 · 237 阅读 · 0 评论 -
网络攻击意图定义
攻击意图(Attack Intention)。攻击意图是攻击者终极目标的描述,是攻击者希望达到某种目的得基本设想和打算。攻击目标(Attack Goal)。攻击目标是攻击者愿望的描述,体现为给网络系统造成什么样的后果或者自身达到什么样的目的。攻击意图与攻击者目标之间既有联系,又有区别。攻击意图与攻击目标均是指攻击者的打算和目的,但示意图是指攻击者通过一系列的攻击行为想要实现的最终目标,在实现过...转载 2019-05-01 04:59:38 · 812 阅读 · 0 评论 -
HTTPS有什么好处?
HTTPS 可保护您的网站的完整性。HTTPS 有助于防止入侵者篡改您的网站和用户浏览器之间的通信。 入侵者包括故意进行恶意攻击的攻击者,以及合法但具有侵犯性的公司,如将广告注入网页的 ISP 或酒店。入侵者会利用未受保护的通信欺骗您的用户提供敏感信息或安装恶意软件,或将他们自己的广告插入您的资源中。例如,有些第三方向网站注入可能会损害用户体验和产生安全漏洞的广告。入侵者会利用您的网站和用户...转载 2019-05-01 05:57:48 · 1483 阅读 · 0 评论 -
什么是网络安全?
网络安全的定义网络安全 是指一组用于保护网络,程序和数据完整性免受攻击,破坏或未经授权访问的技术。据福布斯报道,全球网络安全市场预计到2020年将达到1700亿。这一快速的市场增长受到一系列技术趋势的推动,包括不断变化的安全要求的举措,如“自带设备” (BYOD)和物联网(IoT); 快速采用基于云的应用程序和工作负载,将安全需求扩展到传统数据中心之外; 和严格的数据保护任务,如欧盟 通用...转载 2019-05-01 06:12:23 · 5367 阅读 · 0 评论 -
攻击与脆弱性之间的关系
有人提出了著名的AVI故障模型,如下所示,入侵是成功利用系统脆弱性的攻击行为,最终将导致系统安全属性的失效。vulnerabilityattackintrusionfault因此,系统的脆弱性和针对该脆弱性的攻击行为是入侵成功的两个基本要素,而且在入侵过程中,不仅攻击行为与脆弱性之间存在着依赖关系,而且脆弱性之间存在关联性,攻击行为之间存在前后连续性,这为我们研究攻击策略和识别攻击意图提供了依...转载 2019-05-22 04:17:33 · 651 阅读 · 0 评论