网络安全的定义
什么是网络安全?
1.国际标准组织引用了ISO-74982中对安全的定义:安全意味着将数据和资源被攻击的可能性降到最低。
2.《计算机信息安全系统保护条例》第三条对包括计算机网络系统在内的计算机信息系统的安全作出了规定:“计算机信息系统的安全保护,应当保障计算机及相关配套设备设施的安全、运行环境的安全、信息的安全、计算机功能的正常发挥,维护计算机信息系统的安全运行。”
3.网络安全本质上是指网络系统中的硬件、软件和数据受到保护,不被意外或恶意攻击破坏、改变或泄露,系统持续、可靠、正常运行,网络服务不间断。广义上讲,所有与网络上信息的保密性、完整性、可用性、可控性和不可否认性相关的技术和理论都属于网络安全的研究领域。
4.欧共体给出的信息安全定义如下:“网络和信息安全可以理解为网络和信息系统在给定安全条件下抵御突发事件或恶意行为的能力。这些事件和行为将危及通过这些网络和系统提供的存储或传输的数据和服务的可用性、真实性和保密性。”
网络安全的基本要素
机密性机密性是指信息不能被非法访问,即未经授权的用户即使获得了信息内容也不能使用。访问控制和数据加密通常用于保证信息的机密性。
完整性完整性是指只有被授权的人才能修改实体或流程,并且可以判断实体或流程是否被修改。通常,访问控制用于防止篡改,算法用于验证信息是否完整。
可用性可用性是对信息资源服务功能和性能可靠性的度量,设计物理、网络、系统、数据、应用和用户等诸多因素是对信息网络整体可靠性的要求。使用访问控制来防止未经授权的用户进入网络。
可控性可控性主要是指对国家信息进行监测和审计,将信息流和行为控制在授权范围内,利用授权机制,控制信息传播的范围和内容,必要时恢复密钥,保证网络资源和信息的可控性。
不可否认性不可否认性是研究安全问题的基础和手段。利用审计、监控、不可抵赖等安全机制,攻击者、破坏者、依附者可以“逃逸”,进一步为网络安全问题提供排查依据和手段,从而实现安全可审计性,一般通过数字签名实现。
网络安全的重要性
随着信息技术的飞速发展和计算机网络的普及,计算机网络已经渗透到政府、军事、文教、金融、商业等诸多领域。可以说网络无处不在。
网络漏洞的原因
开放网络环境
协议本身的脆弱性
操作系统中的漏洞
人为因素
网络安全涉及的内容
人身安全
保证计算机信息系统中各种设备的物理安全是整个计算机信息系统安全的前提
网络安全性
网络安全主要包括局域网和子网安全、数据传输安全、网络运行安全和网络协议安全。
系统安全
包括操作系统安全和数据库系统安全
应用安全
包括应用软件开发平台安全和应用系统安全
管理安全性
网络安全最重要的不是技术手段,而是人的管理
渗透测试简介
什么是渗透测试?
渗透测试是通过模拟恶意黑客的攻击方式来评估计算机网络系统安全性的一种评估方法。这一过程包括从攻击者的可能位置对系统的任何弱点、技术缺陷或漏洞进行主动分析,从这个位置,安全漏洞可以被有条件地主动利用。
渗透试验还具有以下两个显著特点:
渗透测试是一个渐进和深入的过程。
渗透测试是通过选择不影响业务系统正常运行的攻击方式进行的测试。
渗透测试执行标准
第一步。预互动阶段:在预互动阶段,渗透测试团队与客户进行互动讨论,最重要的是确定渗透测试的范围、目标、局限性和服务合同细节。
第二步:情报收集阶段:目标范围确定后,将进入情报收集阶段,渗透测试团队可以尝试利用各种信息源和收集技术,获取更多关于目标组织的网络拓扑、系统配置和安全防御措施的信息。
第三步:威胁建模阶段:在收集到足够的情报信息后,渗透测试团队成员停止敲击键盘,大家聚在一起对获取的信息进行威胁建模和攻击规划。这是渗透测试中一个非常重要但容易被忽视的关键点。
第四步:漏洞分析阶段:确定最可行的攻击通道后,需要考虑如何获取目标系统的访问控制权限,即漏洞分析。
第五步。渗透攻击阶段:渗透攻击是渗透测试过程中最吸引人的环节。在这个阶段,渗透测试团队需要利用他们发现的目标系统的安全漏洞来真正入侵系统并获得访问权限。
第六步。渗透后攻击阶段:渗透后攻击是整个渗透测试过程中最能体现渗透测试团队创造力和技术能力的环节。前面的环节可以说是一步一步完成了非常共同的目标。在这个环节中,渗透测试团队需要根据目标组织的业务运营模式,保护资产形态和安全防御计划的不同特点,自主设计攻击目标,识别关键基础设施,并找到客户组织最有价值的信息和资产,最终尝试保护安全。
第七步。报告编写阶段:渗透测试流程最终提交给客户组织,经批准并成功支付合同款项后获得渗透测试报告。该情报报告体现了渗透测试团队在所有前期阶段获得的关键情报信息、检测发现的系统安全漏洞、成功渗透攻击的过程以及造成业务影响后果的方式。同时要帮助他们从守卫者的角度分析安全防御体系中的薄弱环节和存在的问题,以及修复升级的技术方案。
实际渗透测试过程
1.明确目标:当我们获得一个渗透测试项目时,我们应该首先明确客户要求的渗透测试范围和整个项目时间。
2.信息采集:子域名称、系统版本、架构、真实IP地址、whios查询、历史漏洞查询、指纹识别等。
3.漏洞发现:通过漏检扫描软件人工挖掘常规网页、系统等漏洞。
4.漏洞利用:由浅入深,敲打推开,尽可能将漏洞价值最大化。
5.后渗透:包括内网渗透、权限维护、权限提升、用户哈希读取。这里一定要把握好尺度。
6.报告文档阶段:根据之前测试获得的漏洞和企业需求,编写最终的渗透测试报告。
风险规避
不要攻击ddos等,不要破坏数据测试前重要数据的备份
在执行任何测试之前,您必须与客户沟通,以避免不必要的麻烦
您可以为原始系统生成镜像环境,然后测试镜像环境
明确渗透测试的范围
…
OWASP十大应用安全风险-2017
a1:2017-注入:当不可信数据作为命令或查询的一部分发送到解析器时,会出现诸如SQL注入、NoSQL注入、OS注入和LDAP注入等注入缺陷。攻击者的恶意数据会导致解析器在没有适当授权的情况下执行意外命令或访问数据。
a2:2017-无效身份验证:通常情况下,攻击者通过滥用应用程序的身份验证和会话管理功能,可以破译密码、密钥或会话令牌,或者利用其他开发缺陷临时或永久冒充其他用户。
A3: 2017年-敏感数据披露:许多Web应用程序和API无法正确保护敏感数据,例如财务数据、医疗数据和PII数据。攻击者可以通过窃取修改后的未加密数据来实施信用卡欺诈、身份盗窃或其他犯罪行为。未加密的敏感数据容易被破坏,所以我们需要对敏感数据进行加密,包括传输过程中的数据、存储的数据以及浏览器的交互数据。
A4: 2017-XML外部实体与应用程序具有相同的权限。包含具有已知漏洞的组件的应用程序和API可能会破坏应用程序防御,导致各种攻击并产生严重影响。
A10: 2017年-日志记录和监控不足:缺少或无效事件响应的集成,这使攻击者能够进一步攻击系统,保持连续性或转向更多系统,并篡改、提取或销毁数据。大多数缺陷研究表明,缺陷被检测的时间超过200天,通常由外部检查员检测,而不是由内部流程或监控检测。
渗透测试术语介绍
白帽子:白帽子形容一个积极的黑客。通过技术手段识别计算机系统或网络系统中的安全漏洞,提交给制造商并提出修复方法。
黑帽:走在法律边缘,甚至违法牟利的黑客。
灰帽:介于中黑和白之间,无法具体定义。
肉鸡:是可以随意控制的木偶机、电脑或服务器。
特洛伊木马:用于获取用户权限的一些程序或代码段。
后门:一个非常隐蔽的后门程序,便于二次进入系统。
Shell:命令执行环境,通常称为get shell,意思是获取对方的命令执行环境。
web shell:web入侵的脚本工具,可以在一定程度上控制web服务。
Poc:用于验证漏洞存在的一段代码或程序。
利用漏洞的一段代码或程序。
有效载荷:有效载荷是有效的攻击有效载荷,可以是一段代码,隐藏和秘密发送的信息。
WAF:web应用保护系统,也叫web应用级入侵防御系统。
授权:使用一些手段将低权限升级为高权限,其中高权限一般是管理员或系统权限。
API:高级可持续性攻击是指组织或小团体利用高级攻击手段对特定目标进行长期持续的网络攻击的供给形式。
CMS:内容管理系统,可以理解为网站的模板,集中控制和管理一些功能,使得网站建设更快。
黑盒测试:不了解内部情况的渗透测试或其他测试。
白盒测试:渗透测试或其他测试是在知道内部系统、结构和源代码的情况下进行的。
灰盒试验:黑盒和白盒之间介质的渗透试验或其他试验。
0day:0day漏洞是指负责应用程序的程序员或供应商未知的软件缺陷。没有可用的修补程序,因为漏洞未知。
1day:1day刚发布,但发现政府刚发布的网络上还有很多漏洞。
Nday:Nday已发布0天。
代理人:代理人。一种程序或系统,从客户端接收计算出的流量,并代表客户端与服务器交互。代理可用于在应用程序级别过滤指定的流量或缓存信息以提高性能。许多防火墙依赖代理进行过滤。
脱壳/脱壳:“Shell”是专门负责保护软件免受非法修改或反编译的程序。通常,它在程序之前运行,获得控制权,然后完成保护软件的任务。炮轰是为了保护软件源代码,而炮轰则相反。
Shellcode: shellcode是一段用来利用软件漏洞的代码。Shellcode是一个十六进制的机器代码,之所以得名,是因为攻击者经常得到shell。
捕鲸攻击:捕鲸是鱼叉钓鱼的另一种进化形式。它指的是针对组织高级管理人员和其他高级成员的网络钓鱼攻击。通过个性化电子邮件和专门针对相关目标的攻击。
水坑攻击:顾名思义,在受害者必须经过的道路上设置一个“水坑”。最常见的方式是黑客分析目标的在线活动规则,发现目标频繁访问的网站的弱点,先“攻破”网站,植入攻击代码,一旦目标访问网站,就会被“抓住”。
横向移动:当我们纵向得到一个服务器的许可后,就可以利用这个服务器作为跳板,进行横向扩展的内网攻击。
电信诈骗:是指编造虚假信息,设置骗局,对受害人实施远程非接触式诈骗,通过电话、互联网、短信等方式诱导受害人赚钱或转账的犯罪行为。通常,欺骗的目的是通过冒充他人、伪造和伪造各种法律外衣和形式来达到的。
杀猪盘:网络流行词,电信诈骗的一种,是网络交友诱导的一种股票投资和赌博的诈骗方式。“杀猪盘”是“从业者”给的名字,指的是长期“养猪”的骗局。养的时间越长,骗局就越难。
借记:导出数据库中的数据。
社会工作库:黑客整合私网/公网泄露的用户数据,用于查询或从事社会工作者工作的工具。
库冲突攻击:获取用户的一组账号密码时,尝试使用该账号登录其他网站/应用。
侧站:其他站点可能存在于同一服务器上。
蜜罐:可与情报收集系统关联,用于诱导黑客攻击,从而判断黑客行为,甚至完成对策。
挂马:在别人的网站文件中放入木马或者将代码偷偷放入对方正常的网站文件中,这样观看者就可以赢得这匹马。
网络钓鱼:是“钓鱼”和“电话”的结合。因为黑客的祖先一开始是通过电话作案,所以用的是“Ph”而不是“F”,这就造成了“钓鱼”。然而,如今的“网络钓鱼”攻击利用欺诈性电子邮件和虚假网站进行欺骗,被欺骗的人往往会泄露自己的金融数据,如信用卡号、账户用户名、密码和社会安全号。
Cc攻击:攻击者利用代理服务器生成指向受害主机的合法请求,从而实现DDOS和伪装,即主要利用CCCC攻击页面。
拒绝服务攻击。攻击者无法通过利用漏洞或发送大量请求来访问网络或网站。
DDos攻击:分布式Dos攻击、常见的UDP、SYN、反射放大攻击等。,是由很多肉鸡给你发送一些网络请求信息,导致你的网络被封锁,无法正常上网。
抓鸡:利用漏洞或其他手段,在公网上批量获取易受攻击的主机,变成肉鸡。
C2: C2被称为CommandandControl,常用于APT攻击场景。动词解释表示恶意软件与攻击者交互,名词解释表示攻击者的“基础设施”。
鱼叉攻击:鱼叉攻击将鱼叉钓鱼的形象引入到网络攻击中,主要是指可以让欺骗性邮件看起来更可信,成功概率更高的钓鱼攻击。与撒网式网络钓鱼不同,鱼叉式攻击往往更有针对性,攻击者往往“见鱼就做叉”。
黑产品:互联网黑产品是指以互联网为媒介,以网络技术为主要手段,对计算机信息系统安全、网间管理秩序空乃至国家安全和社会政治稳定带来潜在威胁的违法行为。比如非法数据交易行业。
红队:通常指攻防演练中的进攻队。
蓝队:通常指攻防演练中的防守队。
紫队:攻防演练中新生的一方,通常指主管或裁判。
IDS:入侵检测系统,用于在黑客发起攻击之前检测和拦截攻击。IDS不同于防火墙。防火墙只能屏蔽入侵,而IDS可以在入侵发生之前通过一些信息检测并响应即将到来的攻击或入侵。
Ips: IPS:IPS称为入侵防御系统,即入侵防御系统,旨在及时识别攻击程序或有害代码及其克隆和变种,采取防范措施,提前防范入侵,防患于未然。或者至少充分降低其危害性。入侵防御系统作为防火墙和防病毒软件的补充。
堡基机:通过各种技术手段,对运维人员在网络中的服务器、网络设备、安全设备、数据库等设备上的运行行为进行监控和记录,做到集中报警、及时处理、审核责任。
VPN:虚拟专用网,在公网上建立专用网络,进行加密通信,通过对数据包进行加密,转换数据包的目的地址,实现远程访问。
科学上网:fq,过C级防火墙,访问外网,其实是违法行为。
CTF:在中文里,CTF通常被翻译成赢得国旗的比赛。在网络安全领域,是指网络安全技术人员在技术上竞争的一种竞争形式。
AWD攻防对抗赛:awd模式是一个非常有趣的模式,你需要在一场比赛中打攻守双方,进攻方得分,而输的一方将被扣分。也就是说,当攻击别人的无人机可以获得Flag分数时,别人会被扣除。同时要保护好自己的主持人不被别人打分,防止扣分!
版权归原作者所有。这里只做学习分享。如有不妥,请联系我们删除。