![](https://img-blog.csdnimg.cn/direct/0f0875fb9c444a94aee771239821d654.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
网络安全
文章平均质量分 89
介绍网络安全相关知识理论、技能及业界洞察,分享个人对安全领域的见解。
筑梦之月
10+年网络安全领域大厂工作经验,国际注册信息系统安全专家CISSP证书持有者,研究生国家奖学金获得者,发表多篇SCI论文及专利,专注于SDL、DevSecOps、安全体系构建、安全工具等网络安全垂直知识分享与交流。
展开
-
网络安全领域五大注入攻击类型介绍
SQL注入是最常见的注入攻击类型之一,攻击者通过在输入字段中插入恶意的SQL代码来改变原本的SQL逻辑或执行额外的SQL语句,来操控数据库执行未授权的操作(如拖库、获取管理员信息、获取 WebShell权限等)。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,通常用于窃取用户的会话信息、Cookies等。应用程序包含反射式输入类型时容易出现跨站脚本攻击。比如弹出一个假的窗口骗取用户信息。命令注入攻击允许攻击者在服务器上执行任意命令,通常通过在输入字段中插入系统命令来实现。原创 2024-07-21 21:59:07 · 940 阅读 · 0 评论 -
网络安全常用易混术语定义与解读(Top 20)
没有网络安全就没有国家安全,网络安全已成为每个人都重视的话题。随着技术的飞速发展,各种网络攻击手段层出不穷,保护个人和企业的信息安全显得尤为重要。**然而,在这个复杂的领域中,许多专业术语往往让人感到困惑。为了帮助大家更好地理解网络安全的基本概念和术语,博主整理了20多个常见且容易混淆的专业术语。** 接下来,让我们一起深入探讨这些术语,掌握它们的真正含义!原创 2024-07-21 20:42:04 · 1020 阅读 · 0 评论 -
护网正当时 | 某知名网络安全公司的官网竟变成了一张静态图片,还有比这更安全的官网么!
目前该公司最近一个交易日的股市价格为14.99元,期待下周一开市的股价表现。猜猜看此波操作会不会产生蝴蝶效应。也静待知道内幕的同学能分享下信息,如果大家也有一些思考或想法欢迎留言区交流讨论~原创 2024-07-20 23:19:07 · 208 阅读 · 0 评论 -
收藏 | 恶意软件的九大家族介绍
恶意软件(malware)是指被专门设计用于损坏或中断系统、破坏保密性、完整性和/或可用性的软件,我们常说的病毒和特洛伊木马都属于恶意软件。定义范围: 恶意代码是一段具有恶意目的的程序代码片段,可以是一小段脚本、指令序列或单个的指令。恶意软件则是一个更广泛的概念,通常指完整的、可执行的恶意程序。功能完整性: 恶意代码可能只是实现特定恶意功能的一部分代码,不一定能独立运行。而恶意软件通常是一个完整的、能够独立运行并执行一系列恶意操作的应用程序。传播方式: 恶意代码可能嵌入在正常的软件或文件中进行传播。原创 2024-07-19 07:35:52 · 501 阅读 · 0 评论 -
如何构建全生命周期的安全体系架构来确保容器的安全?
容器技术在云原生应用和微服务架构中得到了广泛应用,其轻量、灵活和高效的特点使其成为现代IT环境中的重要工具。然而,尽管容器带来了许多优势,但其安全性问题也不容忽视。接下来跟随博主一起探索如何构建全生命周期的安全体系架构以确保容器的安全。原创 2024-07-15 22:48:05 · 675 阅读 · 0 评论 -
到处都在提数据安全,可什么是数据安全?有哪些相关法律法规和技术国标?
随着大数据、人工智能、区块链、云计算等新技术和产业的快速发展,数字化数据呈指数级增长,数据共享流通、开发利用的诉求愈发强烈。由于这类数据本身存在易于复制、确权困难的特点,数据在快速释放价值的同时,数据的安全风险也与日剧增。根据《中华人民共和国数据安全法》(2021年9月1日实施)的定义,数据安全是指通过采取必要措施对数据进行有效保护和合法利用,以及确保数据在使用过程中的安全性。数据+安全”强调的是数据的合法利用和有效保护间的动态平衡与持续保护。数据存储安全:确保数据在存储过程中不被非法访问、泄露或破坏。原创 2024-07-14 20:01:41 · 865 阅读 · 0 评论 -
护(H)网(W)行动正当时:你对HW知多少,一文带你全面了解护网行动
护网行动是由公安部牵头组织的一系列网络安全攻防演练活动,旨在评估和提升企事业单位的网络安全防护能力。每年的国家级护网行动一般在7、8月左右开始,持续2~3周时间,省级和市级的护网行动则相对短一些。攻防两方的组织:护网行动通常由公安部统一指挥,分为红队和蓝队两方。红队模拟黑客进行网络攻击,而蓝队则负责防守和应对这些攻击。实战攻防演习:每支队伍由3-5人组成,明确目标系统,并不限制攻击路径。进攻方会在一个月内对防守方发动网络攻击,以发现并暴露存在的安全漏洞。漏洞扫描与应急响应。原创 2024-07-12 08:00:16 · 1345 阅读 · 0 评论 -
轻松掌握X.509数字证书全解析,附赠权威详解资料!一读通透,安全之旅从此启程!
我们常见的.pem.pfx后缀的文件就是X.509证书,X.509是最广泛使用的数字证书格式,由X.509标准定义,用于身份验证和加密。在互联网上,如HTTPS、SSL/TLS等安全通信中,服务器通常使用X.509证书来证明其身份。你真得了解X.509证书么?它有哪些字段?分别代表着什么含义?它又有哪些存储格式呢?原创 2024-06-25 07:43:41 · 1371 阅读 · 0 评论 -
网络安全知识全景地图V1.0 - 20240616更新
此全景地图提供了一个大致的框架,是网络安全领域的一个高层次概览,可以帮助个人和组织理解网络安全领域的主题。每个主题都可以进一步细分为更具体的内容,并且随着技术、新威胁及新法律法规和标准的发展,新的主题和工具也会不断出现。因此,保持持续的学习和适应是网络安全专业人员的重要职责,如果你也关注网络安全领域,请关注博主,我们一起跟随并学习、掌握与应用网络安全的前沿技术。原创 2024-06-15 22:10:57 · 1333 阅读 · 0 评论 -
如何看待黑客入侵我们的电脑?会有哪些影响?如何感知及应对?
黑客入侵电脑是一种严重的安全威胁,不仅会对个人,甚至可能对组织造成多方面的影响。我们在日常生活及工作中应该注意防范并能做到及时感知。原创 2024-06-12 22:01:33 · 1572 阅读 · 0 评论 -
静态应用安全测试 SAST 与动态应用安全测试 DAST 有何区别?
由于泄露事件的数量不断增加,各组织日益重视应用安全。他们希望识别应用中的漏洞,并提早降低风险。有两种不同类型的应用安全测试:静态应用安全测试 SAST 和动态分析测试 DAST。这两种测试方法都能识别应用中的安全漏洞,但它们却又截然不同。原创 2024-05-19 22:04:39 · 1221 阅读 · 0 评论 -
OWASP Benchmark | OWASP 基准项目介绍
市面上的静态代码检测SAST工具越来越多,除了业界比较知名的Coverity、Fortify、CheckMax,还有CodeQL、SonarQube、CppCheck等,国内也涌现了一大波检测工具,如鸿渐SAST、奇安信代码卫士、北大Cobot、酷德啄木鸟等,市场上能叫上名的SAST工具约200+种。不同SAST工具检测能力差异较大,比如支持的扫描规则,扫描规则能力。如何有效衡量这些检测工具规则扫描能力,给企业选型SAST工具提供参考,成为了一项业界难题。原创 2024-05-19 09:17:36 · 1072 阅读 · 0 评论 -
一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVE、CWE及其与CVSS之间的关系
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。原创 2024-05-14 21:58:05 · 2188 阅读 · 0 评论 -
NIST权威漏洞库NVD竟存在大量CVE分析积压问题,NVD未来将何去何从,会不会运营中断?安全界纷纷支招
美国国家标准与技术研究院 (NIST) 运营的世界上最全面的漏洞数据库国家漏洞数据库 (NVD) 开始面临漏洞丰富的挑战。根据其自己的数据,NIST 仅分析了今年迄今为止收到的 14,228 个常见漏洞和暴露 (CVE) 中的 4523 个,分析占比不足32%。据了解NIST内部目前正在发生一些神秘的事情,如果此类问题不能迅速解决,可能会对安全研究人员社区和全球所有组织产生重大影响,甚至可能会使许多组织容易受到威胁行为者的攻击。原创 2024-05-14 07:40:00 · 1222 阅读 · 0 评论 -
「 安全设计 」68家国内外科技巨头和安全巨头参与了CISA发起的安全设计承诺,包含MFA、默认密码、CVE、VDP等七大承诺目标
美国网络安全和基础设施安全局(CISA,CyberSecurity & Infrastructure Security Agency)于2024年5月开始呼吁企业是时候将网络安全融入到技术产品的设计和制造中了,CISA于近期发起了安全设计承诺行动,该承诺旨在补充和建立现有的软件安全最佳实践,包括 CISA、NIST、其他联邦机构开发的最佳实践以及国际和行业最佳实践。 CISA 继续支持采用补充措施,以推进安全的设计态势。目前国外主流安全厂商(如Veracode、Sonatype、Qualys)原创 2024-05-12 22:04:41 · 1083 阅读 · 1 评论 -
什么是等保2.0,相对等保1.0有哪些变化,支撑等保2.0的标准文档有哪些?
等保1.0到2.0不仅仅是标准修订、技术升级,其核心更是法律效力的极大提升。等保2.0提出新的技术要求和管理要求,强调“一个中心,三重防护”,关键点包括可信技术、安全管理中心,以及云计算、物联网等新兴领域的安全扩展要求。等保2.0的实施,是我国实行网络安全等级保护制度过程中的一件大事,具有里程碑意义。原创 2024-05-12 13:29:46 · 1035 阅读 · 2 评论 -
一文彻底读懂信息安全等级保护:包含等保标准、等保概念、等保对象、等保流程及等保方案(附:等保相关标准文档)
信息安全等级保护是指根据我国《信息安全等级保护管理办法》的规定,对各类信息系统按照其重要程度和保密需求进行分级,并制定相应的技术和管理措施,确保信息系统的安全性、完整性、可用性。根据等级不同,信息安全等级保护分为一到五级,一级为最低级别,五级为最高级别。等级越高,保护要求越严格,技术和管理措施也相应加强。例如,对于国家机密信息的保护,需要采取更高级别的信息安全等级保护措施,比如使用密码学算法进行数据加密和数字签名验证、限制访问权限、使用安全审计等技术和管理措施。原创 2024-05-10 21:42:39 · 2297 阅读 · 1 评论 -
2024年信安标委发布16项网络安全国家标准:8项为旧标准替代,8项标准为新发布(附标准下载链接)
当前公开发布的标准,在全国标准信息服务平台还尚未收录,暂无公开获取渠道。后续博主会持续跟进,在文章中附上对应的标准文档下载链接。根据2024年4月25日国家市场监督管理总局、国家标准化管理委员会发布的。全国网络安全标准化技术委员会归口的16项国家标准正式发布。原创 2024-05-10 06:50:14 · 1758 阅读 · 2 评论 -
「 网络安全常用术语解读 」漏洞利用预测评分系统EPSS详解
EPSS(Exploit Prediction Scoring System,漏洞利用预测评分系统) 提供了一种全新的高效、数据驱动的漏洞管理功能。EPSS是一项数据驱动的工作,使用来自 CVE 的当前威胁信息和现实世界的漏洞数据。EPSS 模型产生 0 到 1(0 到 100%)之间的概率分数,其中分数越高,漏洞被利用的概率越大。原创 2024-05-06 15:25:19 · 1311 阅读 · 1 评论 -
OWASP 发布开源软件OSS的十大风险,已知漏洞排名第一,首次汇齐了10大类型的攻击案例
Sonatype的研究人员2022年报告了一个通过恶意Python包pymafka(pymafka软件包包含一个Python脚本,用于监视主机并确定其操作系统)进行的供应链攻击,该包被上传到流行的PyPI代码源。该软件包试图通过名称仿冒感染用户,希望寻找合法的"pykafka"软件包的受害者可能会打错查询语句而下载恶意软件。pymakfa包如此命名是希望用户能将其与pykafka混淆,后者是一个在企业中广泛使用的Python的Kafka客户端。Kafka是一个开源的分布式事件流平台,被成千上万的公司使用。原创 2024-05-06 14:52:04 · 1216 阅读 · 0 评论 -
「 网络安全常用术语解读 」通用安全通告框架CSAF详解
通用安全通告框架(Common Security Advisory Framework,CSAF)通过标准化结构化机器可读安全咨询的创建和分发,。CSAF是OASIS公开的官方标准。开发CSAF的技术委员会包括许多公共和私营部门的技术领导者、用户和影响者。CSAF最新版本为2022年11月18日发布的2.0版本。(访问密码: 6277)提供商可以使用CSAF来标准化安全咨询的格式、内容、分发和发现。。原创 2024-05-05 15:39:04 · 1772 阅读 · 0 评论 -
「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解
ICASI在推进多供应商协调漏洞披露方面处于领先地位,引入了通用漏洞报告框架(Common Vulnerability Reporting Format,CVRF)标准,制定了统一安全事件响应计划(USIRP)的原则,帮助创建了多方漏洞协调和披露指南和实践,并建立了一个成功协调多供应商应对众多安全事件的行业领导者信托小组。为了继续取得这些成功,并确保全球社会更广泛的参与,ICASI(Industry Consortium for Advancement of Security on the Internet原创 2024-05-04 23:13:44 · 1157 阅读 · 1 评论 -
「 网络安全常用术语解读 」通用配置枚举CCE详解
CCE列表为安全相关的系统配置问题提供了唯一的标识符,以便通过促进多个信息源和工具之间配置数据的快速准确关联来改进工作流程。原创 2024-05-04 09:42:59 · 1273 阅读 · 0 评论 -
Linux系统安全:从面临的攻击和风险到安全加固、安全维护策略(文末有福利)
Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。PAM是Linux上的可插拨认证模块机制,通过提供一些动态链接库和一套统一的api,将系统提供的服务和该服务的认证方式分开,使得系统管理呐可以根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。umask(默认文件权限666,文件夹777) 为用户创建权限掩码,是创建文件或文件夹时默认权限的基础,用户在创建时,文件的默认权限-掩码的权限就是文件的实际权限。原创 2024-04-23 22:52:08 · 2484 阅读 · 0 评论 -
解读《中华人民共和国网络安全法》:所有IT从业者都应知应懂
随着网络的快速发展,当今社会存在的网络安全问题也是接踵而来:网络入侵、网络攻击等非法活动威胁信息安全;非法获取公民信息、侵犯知识产权、损害公民合法利益;宣扬恐怖主义、极端主义,严重危害国家安全和社会公共利益。为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,2016年11月7日在第十二届全国人民代表大会常务委员会第二十四次会议通过了《中华人民共和国网络安全法》,并于2017年6月开始正式实施。原创 2024-04-16 22:21:05 · 1794 阅读 · 0 评论 -
【解读】保障软件供应链安全:SBOM推荐实践指南(含指南获取链接)
该指南旨在帮助组织快速启动其 SBOM 项目,并有效管理与开源软件相关的风险。开源软件管理;创建和维护公司内部安全的开源存储库;维护、支持和危机管理;SBOM 创建、验证和制品。原创 2024-03-17 11:53:04 · 1568 阅读 · 0 评论 -
解读 | Synopsys发布2024年开源安全和风险分析报告OSSRA
软件供应链管理中,许可证和安全合规性至关重要。开源组件和库可降低风险,但需了解许可证内容。Synopsys 2023年审计发现,超过一半的代码库存在许可证冲突。MIT许可证是最常用的宽松许可证,但也与其他许可证存在不兼容风险。原创 2024-03-15 21:25:16 · 1725 阅读 · 0 评论 -
【解读】NIST网络安全框架CSF 2.0
NIST的网络安全框架(CSF)旨在帮助所有组织(不仅仅是关键基础设施中的组织,以及其最初的目标受众)管理和降低风险。NIST于2024年更新了广泛使用的网络安全框架CSF,发布了CSF 2.0,成为了降低网络安全风险的里程碑式指导文件,点此获取CSF 2.0官方文档(访问密码:6277)。治理是指建立和监控组织的信息安全风险管理战略、期望和政策。治理功能是跨领域的,并提供结果以告知组织将如何在其使命和干系人期望的背景下实现其他五个功能(识别、保护、检测、响应、恢复)的结果并对其进行优先级排序。原创 2024-03-15 08:13:33 · 1854 阅读 · 1 评论 -
大语言模型LLM如何赋能安全?当前有哪些探索与实践?
大模型通过赋能安全,如代码补丁自动生成、安全功能代码生成、恶意代码分析、代码相似性分析、事件关联分析等,来驱动安全。大模型可以基于计算机程序代码作为语料进行预训练或优化训练,从而实现自动化修复安全漏洞、生成安全功能代码等功能。此外,大模型还可以通过自然语言文本自然语言标签、安全功能代码理解、恶意代码分析等手段,实现对安全漏洞的检测和修复。原创 2024-03-11 22:22:12 · 2087 阅读 · 0 评论 -
【解读】OWASP大语言模型应用程序十大风险
OWASP大型语言模型应用程序前十名项目旨在教育开发人员、设计师、架构师、经理和组织在部署和管理大型语言模型(LLM)时的潜在安全风险。该项目提供了LLM应用程序中常见的十大最关键漏洞的列表,强调了它们的潜在影响、易利用性和在现实应用程序中的普遍性。原创 2024-03-09 13:19:01 · 1584 阅读 · 0 评论 -
【解读】OWASP 大语言模型(LLM)安全测评基准V1.0
大语言模型(LLM,Large Language Model)是指参数量巨大、能够处理海量数据的模型, 此类模型通常具有大规模的参数,使得它们能够处理更复杂的问题,并学习更广泛的知识。自2022 年以来,LLM技术在得到了广泛的应用和发展,GPT 系列模型因其惊人的语言生成能力获得世界瞩目,国内外各大厂商也在此领域展开了激烈竞争。2023 年 8 月 15 日,国家六个部委发布的《生成式人工智能服务管理暂行办法》正式施行,。原创 2024-03-09 11:29:58 · 2205 阅读 · 0 评论 -
解读OWASP软件保障成熟度模型SAMM
OWASP软件保证成熟度模型(SAMM)是一个开放的框架,用以帮助组织制定并实施针对组织所面临来自软件安全的特定风险的策略。评估一个组织已有的软件安全实践;建立一个迭代的、权衡的软件安全保证计划;用于证明安全保证计划可带来的实质性改善;定义并衡量组织中与安全相关的措施。SAMM以灵活的方式定义,以使它可被大、中、小型组织应用于任何类型的软件开发中,甚至是一个单一的项目。最初的模型(v1.0版本)由Pravir Chandra编写于2009年。原创 2024-03-03 16:02:31 · 1625 阅读 · 0 评论 -
解读OWASP应用安全验证标准ASVS
OWASP应用安全验证标准,是一份测试应用安全的清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和消费者参考,用于定义、构建、测试和验证安全的应用。当前最新版本是Version 4.0.3, 于2021年10月发布,具体文档可点此下载(访问密码:6277),访问密码6277。ASVS 5.0版本的计划和路线图已经公布,关注博主,后续会持续更新。原创 2024-03-03 08:55:09 · 1583 阅读 · 0 评论 -
OWASP Top 10 详细解读
A01:2021-访问控制破坏从第五位上升。94%的应用程序进行了某种形式的访问控制中断测试。映射到Broken Access Control的34个通用缺陷枚举(CWE)在应用程序中的出现次数比任何其他类别都多。A02:2021-加密机制失效上升一位至第2位。以前称为敏感数据暴露,这是普遍的现象,而不是根本原因。这里重新关注的是与加密相关的故障,这些故障通常会导致敏感数据暴露或系统受损。A03:2021-注入下滑至第3位。原创 2024-02-24 11:55:12 · 1913 阅读 · 0 评论 -
「 CISSP学习笔记 」08. 安全运营
该知识领域涉及如下考点,具体内容分布于如下各个子章节:- 理解并遵守调查- 执行记录和监控活动- 执行配置管理 (CM)(例如,预配、基线、自动化)- 应用基本的安全操作概念- 应用资源保护- 执行事故管理- 执行和维护检测和预防措施- 实施和支持补丁和漏洞管理- 理解并参与变更管理过程- 执行恢复策略- 执行灾难恢复 (DR) 过程- 测试灾难恢复计划 (DRP)- 参与业务连续性 (BC) 计划的制定和演练- 执行并管理物理安全- 解决人员安全问题原创 2024-02-03 21:46:44 · 2075 阅读 · 0 评论 -
「 网络安全术语解读 」通用攻击模式枚举和分类CAPEC详解
常见攻击模式枚举和分类(Common Attack Pattern Enumerations and Classifications ,CAPEC)是一个常见攻击模式的枚举和分类系统。它由MITRE公司开发,以CVE和CWE为基础,提供了公开的常见攻击模式列表和分类,旨在帮助安全专业人员更好地理解和应对常见的攻击模式。CAPEC当前最新版本为3.9,共收录了559种攻击模式,发布于2023年1月24号。原创 2024-01-23 22:19:24 · 1991 阅读 · 0 评论 -
「 网络安全常用术语解读 」网络攻击者的战术、技术和常识知识库ATT&CK详解
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是一个针对现实世界观察总结得到网络攻击者的战术、技术和常识知识库。它由美国网络安全公司MITRE开发,旨在帮助网络安全专业人员更好地了解和应对网络威胁。ATT&CK知识库被用作私营部门、政府以及网络安全产品和服务社区中特定威胁模型和方法的开发基础。ATT&CK当前最新版本为 v14,发布于2023年10月31,后续也会持续更新。原创 2024-01-22 13:00:00 · 1138 阅读 · 0 评论 -
软件供应链安全项目in-toto开源框架详解
intoto提供了一个保护软件供应链的完整性的开源框架,通过验证链中的每个任务都是按计划执行的,仅由授权人员执行,并且构建在传输过程中没有被篡改来完成。in-toto需要项目所有者创建布局。布局列出了软件供应链的步骤序列,以及授权执行这些步骤的专职人员。当专职人员总共执行一个步骤时,收集有关所用命令和相关文件的信息,并将其存储在链接元数据文件中。因此,链接文件提供了建立连续链所需的证据,该连续链可以根据布局中定义的步骤进行验证。原创 2024-01-20 22:30:19 · 1581 阅读 · 0 评论 -
「 网络安全常用术语解读 」杀链Kill Chain详解
早在2009年,Lockheed Martin公司就提出了杀链(Kill Chain)理论,现在也称之为攻击者杀链(Attacker Kill Chain)。杀链其实就是攻击者进行网络攻击时所采取的步骤。。在第1-6步的任何时刻进行成功拦截,都能够实现对目标的保护。Note:这是一个完整的、端到端的过程,故称之为“链”,任何不足都会中断整个过程。原创 2024-01-19 21:35:59 · 2892 阅读 · 1 评论 -
「 CISSP学习笔记 」04. 身份和访问管理
身份和访问管理IAM侧重于授予和撤销访问数据或在系统上执行操作的权限相关问题。原创 2023-12-23 22:52:43 · 1557 阅读 · 0 评论