关于对称加密算法,以下为正确叙述
1、加密方和解密方可以使用不同的算法
2、加密密钥和解密密钥可以不同
3、密钥管理非常简单
4、对称加密的密钥可以不同,但是可以通过简单的转换
对称加密的算法
指加密和解密使用相同密钥的加密算法。对称加密算法用来对敏感数据等信息进行加密,常见的算法包括DE3、3DES、AES、DESX、等
DES(Data Encryption Standard)数据加密标值,速度较块,适用于加密大量数据的场合。
3DES(Triple DES )使基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高
AES(Advanced Encrytion Standard)高级加密标准,是下一代的加密算法标准,速度快,安全级别高
非对称加密算法
指加密和解密使用不同密钥的加密算法,也称公钥加密。假设两个用户要加密交换数据,双方交换公钥,使用时一方用对方的公钥加密,另一方即可用自己的私钥解密。常见的非对称加密算法:RSA、DSA(数据签名用)、ECC(移动设备用)
REA:由RSA公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件快的长度也是可变的
DSA:数字签名算法,是一种标准的DSS(数字签名标签)
散列算法
散列是信息的提炼通常其长度要比信息小的多,且为一个固定长度。加密性强的散列一定不是可逆的,这就意味着通过散列结果,无法推出任何部分的原始信息。任何输入信息的变化,哪怕仅一位,都将导致散列结果的明显变化,这称之为雪崩效应。散列还应该是防冲突的,即找不出具有相同散列结果的两条信息。具有这些特性的散列结果就可以用于验证信息是否被修改。
Hash算法
特别的地方在于它是一种单向算法,用户可以通过Hash算法对目标信息生成一段特定长度的唯一的Hash值,却不能通过这个Hash值重新获得目标信息。因此Hash算法常用在不可还原的密码存储、信息完整性校验等。
对称算法加密与非对称算法的比较:1.由于非对称加密算法的运行速度比对称加密算法的速度慢很多,当我们需要加密大量的数据时,建议采用对称加密算法,提高加解密速度。
2.对称加密算法不能实现签名,因此签名只能非对称算法。
3.由于对称加密算法的密钥管理是一个复杂的过程,密钥的管理直接决定着他的安全性,因此当数据量很小时,我们可以考虑采用非对称加密算法。
网页挂马
攻击在正常的页面插入一段代码,用户在打开该页面的时候,这段代码被执行,可能会下载并运行木马程序,主动被控制。
原理:作为网页挂马的散布者,其目的是将木马下载到用户本地并进一步执行,当木马得到执行后,就意味着会有更多木马被下载,且进一步被执行。这样就进入一个恶性的循环,从而使用户的电脑遭到攻击和控制。
常见方法
1、将木马伪装为页面元素,木马则会被浏览器自动下载到本地
2、利用脚本运行的漏洞下载木马
3、利用脚本运行的漏洞释放隐含在网页中的木马
4、将木马伪装成缺失组件,或和缺失的组件绑定在一起,如flash播放器。这样即达到下载的目的,下载的组件又会被浏览器自动执行
5、通过脚本运行调用某些com组件,利用其漏洞在载木马
6、在渲染页面内容的过程中,利用格式溢出释放木马,如ani格式溢出漏洞
检测方式
1、特征匹配:将网站挂马的脚本按脚本病毒进行检测,但是网页脚本变形方式、加密方式比传统的PE格式病毒更为多样,检测起来更为困难
2、主动防御:当浏览器要进行某些动作时,做出提示,如下载了某插件的安装包,会提示是否运行。比如浏览器创建暴风影音播放器时,提示是否允许进行,大多数允许进行,大多数情况下用户点击是,网页木马因此会执行会
3、检查父进程是否为浏览器,这种方法很容易被躲过且会有很多插件造成误报
防御措施
1、对开放上传的网站,一定要进行身份认证,并只允许信任的人使用上传程序
2、保证所使用程序及时地更新
3、不要在前台网页加注后台管理程序登录页面的连接
4、时常备份数据等文件,但是不要把备份数据放在程序默认的备份目录下
5、管理员的用户密码与账户一定要具有复杂性
6、IIS中禁止目录的写入和执行功能,可以有效地防止asp木马
7、在服务器、虚拟机控制面板设置执行权限选择中,将有上传权限的目录取消asp的运行权限
8、创建一个robots.txt上传到网页的根目录,Robots能有效地方法利用 搜索引擎窃取信息的还骇客。
3、服务器发送cookies的时候,可以设置HTTP-Only参数,目的是
cookies中设置了HTTPOnly属性,那么通过js脚本将无法读取到cookies信息,这样做有效的防止了XSS攻击,窃取cookies的内容,这样就增加了cookies的安全性
什么是XSS
XSS全称Cross SiteScript跨站脚本攻击,是web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所有容易被忽略其危险性。启远迎是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
4、访问控制能够有效地防止对资源的非授权访问,一个典型的访问控制规则
访问控制技术,指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。意指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。
访问控制的目的是限制访问主体对客体的访问,从而保障了数据资源的有效使用和管理。
访问控制包括三个要素:主体、客体和控制策略。
5、ARP欺骗发生在OSI模型的第几层
1.ARP协议:ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。
2.ARP协议的基本功能:通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
3、ARP攻击的局限性:ARP攻击仅能在局域网进行,无法对外网进行攻击。
4、ARP攻击的攻击原理:ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
6、恶意代码的检测技术有哪些
恶意代码或恶意软件主要是指以危害信息的安全等不良意图为目的的程序,它们一般潜伏在受害者的计算机系统中实施破坏或窃取信息。
检测分析恶意代码的分析有主要两种:静态分析(通过反编译得到二进制源码,从源码中得到有用的信息进行分析)、动态分析(通过实际运行动态病毒代码得到实际的反应,来分析)
恶意代码的清除:清除恶意代码是指尽量在保全被感染程序功能的情况下移除恶意代码或使其失效,清除工具或人员一般需要了解相关恶意代码的感染机制。
恶意代码的预防:恶意代码的预防是指抵御恶意代码的传播和感染,它的方法主要是切断传播和感染的途径或破坏他们实施的条件。
7、缓冲区溢出是指当计算机向缓冲区内填充数据时超过了缓冲区本身的容量,溢出的数据覆盖了合法的数据,可能导致程序运行失败、系统崩溃、系统被恶意控制等
缓冲区溢出原理:缓冲区是一块连续的计算机内存区域,可保存相同数据类型的多个实例。缓冲区可以是堆栈(自动变量)、堆(动态内存)和静态数据区(全局或静态)。在C/C++语言中,通常使用字符数组和malloc/new之类内存分配函数实现缓冲区。溢出指数据被添加到分配给该缓冲区的内存块之外。缓冲区溢出是最常见的程序缺陷。
8、sql注入
SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。
扫一扫
2497
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
