网络安全

1、什么是API? 百度百科给出的定义如下： 　　 API（Application Programming Interface，应用程序接口）是一些预先定义的函数，或指软件系统不同组成部分衔接的约定。 目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力，而又无需访问原码，或理解内部工作机制的细节。 　　 通俗的来理解就是提供给用户服务的一种方式，对于我们Java后台开发人员来说，就是我们给前端或者其他项目提供的接口，供他们进行使用。如果API出了问题，那么就不能为用户提供服务了。 　 2、API安全包含几方面的内容？ 　　主要包含三方面内容：信息安全、网络安全、应用安全。 　　　　 信息安全：所有的信息，在它的整个生命周期里（创建-存储-转换-销毁等）应该是受到保护的。（比如使用访问控制技术，加密解密技术等来保证信息是安全） 　　　　 网络安全：数据在进行网络传输的过程中，是安全的。不会被人盗取、串改。不会被未授权的访问接触到不应该接触的信息。（比如使用 防火墙，负载均衡器，反向代理等，https等来保证网络安全） 　　　　 应用安全：程序的设计上如何抵挡各种各样的攻击。（开发测试时需要注意的问题，如何存储管理用户信息，如何校验） 　　　 　　这三个方面综合起来，可以说我们的API是安全的。 3、API安全的目标 　　 机密性（Confientiality）

这是第一个由美国国安局（NSA）所发现并主动提交给微软的安全漏洞。 CVE-2020-0601漏洞位于Window的加密组件CryptoAPI。 CryptoAPI是微软提供给开发人员的Windows安全服务应用程序接口，可用于加密的应用程序，实现数据加密、解密、签名及验证等功能。 由Crypt32.dll提供的Microsoft Windows CryptoAPI无法以正确验证ECC证书的信任链。攻击者可以利用该漏洞伪造受信任的根证书签发证书。ECC椭圆曲线加密（Elliptic curve cryptography）于1985年由Neal Koblitz和Victor Miller分别独立提出的公钥密码算法。 算法见 ANS X9.62, Public Key Cryptography for the Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA). 签名 输入： 待签名的消息 为 M 的 杂凑值转化为域上整数记为 e 。 签名者用户A的 私钥 dA （A的密钥对包括其 私钥 dA 和 公钥 PA =[ dA ] G = ( xA , yA )） 输出： 数字签名 (r,s) 5.4 验签 输入： 待签名的消息 为 M 的 杂凑值转化为域上整数记为 e 。

网络安全 前端不需要过硬的网络安全方面的知识,但是能够了解大多数的网络安全,并且可以进行简单的防御前两三个是需要的 介绍一下常见的安全问题,解决方式,和小的Demo,希望大家喜欢 网络安全汇总 XSS CSRF 点击劫持 SQL注入 OS注入 请求劫持 DDOS 在我看来,前端可以了解并且防御前4个就可以了(小声逼逼:大佬当我没说) XSS Cross Site Scripting 又叫做跨站脚本攻击,本身应该叫做CSS,但是由于CSS被占用,无奈下叫做XSS what is XSS? 我们先从字面意义上看一下,跨站->顾名思义就是我们从一个网站跑到了另外一个网站上,脚本->也就是我们往页面中写了脚本内容,可以理解为写了js代码,那么最后我们对网站造成了攻击 例如: 我们在登录了一个网站之后,一般都会把登录状态保存在cookie中,当我们去访问另外一个网站的时候,就会读取到cookie XSS危害 利⽤虚假输⼊表单骗取⽤户个⼈信息。 利⽤脚本窃取⽤户的Cookie值，被害者在不知情的情况下，帮助攻击者发送恶意请求。 显示伪造的⽂章或图⽚。 简单演示 // 普通 http://localhost:3000/?from=china // alert尝试 http://localhost:3000/?from=<script>alert(3)</script> // 如果可以弹出3

区块链可以用来解决物联网中哪些问题？ 1 解决安全隐患、保护用户隐私 物联网领域目前仍以中心化服务构架为主。以智能家居为例，AI摄像头和智能感应器会监测和收集用户数据，汇总到中央服务器，中央服务器计算后输出信号，控制智能家电做出相应反应，譬如开门、开窗、开灯、开空调等等。 物联网安全性的核心缺陷，主要在于缺乏设备间的信任机制，所有设备都需要和物联网中心的数据进行核对，一旦数据库崩塌，会对整个物联网造成很大的破坏，黑客一旦控制物联网中心就能轻松控制整个物联网。区块链分布式的网络结构提供一种机制，使设备之间保持共识，无需与中心进行验证，这样即使一个或多个节点被攻破，整个网络体系的数据依然是安全可靠的。 2 降低物联网运营成本 在中心化记账结构中，整个物联网记录、处理和存储的信息都会汇总到中央服务器。尽管智能灯具这类使用频率较低的设备上传信息比较少，但智能空气净化器几乎是时时监测、反馈和接受信息，在中央服务器的数据累积难以估量。越庞大的物联网就有越多的节点，最后产生天文数字般的巨量数据，这就对中介中心的存储和计算能力有极高要求，传统服务器往往不堪重负，运营成本极高。另一方面，智能设备的更换频次很低。以智能家居为例，常见物联网设备如智能门锁、智能灯具、智能插板等电器，往往数年一换。这对设备制造商来说是个难题：物联网设备在长期使用后出现的数据冗余和系统负担

CSRF CSRF是Cross Site Request Forgery的缩写，翻译过来就是跨站请求伪造。 跨站：顾名思义，就是从一个网站到另一个网站。 请求：即HTTP请求。 伪造：在这里可以理解为仿造、伪装。 综合起来的意思就是：从一个网站A中发起一个到网站B的请求，而这个请求是经过了伪装的，伪装操作达到的目的就是让请求看起来像是从网站B中发起的，也就是说，让B网站所在的服务器端误以为该请求是从自己网站发起的，而不是从A网站发起的。 CSRF 攻击是黑客借助受害者的 cookie 骗取服务器的信任，但是黑客并不能拿到 cookie，也看不到 cookie 的内容。另外，对于服务器返回的结果，由于浏览器同源策略的限制，黑客也无法进行解析。因此，黑客无法从返回的结果中得到任何东西，他所能做的就是给服务器发送请求，以执行请求中所描述的命令，在服务器端直接改变数据的值，而非窃取服务器中的数据。所以，我们要保护的对象是那些可以直接产生数据改变的服务，而对于读取数据的服务，则不需要进行 CSRF 的保护。 原理 图片来源： CSRF攻击原理以及nodejs的实现和防御 　从上图可以看出，要伪装成从A网站发起请求，必须依次完成两个步骤： 　　1.登录受信任网站A，并在本地生成Cookie。 　　2.在不登出A的情况下，访问危险网站B。 　　 之所以要伪装成从A网站发起

计算机网络第一章概述 第一章 计算机网络概述 1.1 MAC地址 1.2 数据包和数据帧 1.3 OSI参考模型 1.4 故障排错 1.5 OSI参考模型与网络安全 1.6 OSI参考模型与TCP/IP协议 1.7 数据封装过程 1.8 计算机网络性能 第一章 计算机网络概述 1.1 MAC地址 某个网段：13.0.0.0 则对应的子网掩码：255.0.0.0 这表示13是网络部分，后面0.0.0就是主机部分 如果子网掩码是：255.255.0.0 则13.0是网络部分，后面的0.0是主机部分 以此类推 MAC地址：每台电脑或是路由器的每个接口（网卡）都有的物理地址，出厂的时候就设置好了的，全球唯一网站域名通过DNS解析成IP地址 1.2 数据包和数据帧 传送的数据包： 其中传送的物理地址实时更新，记录的是路由器的源接口和目标接口。 1.3 OSI参考模型 应用层 ：所有能产生网络流量的程序 表示层 ：在传输之前是否进行加密、压缩处理，传输的是二进制还是ASCII（出现乱码是表示层出错） 会话层 ：查木马，只要电脑有与外界建立会话，就可以通过cmd窗口，输入netstat -n查看建立的会话，netstat -nb查看建立会话的进程（用管理员身份运行cmd） 传输层 ：可靠传输 不可靠传输 流量控制 纠错 网络层 ：负责选择传输路径，规划IP地址 数据链路层 ：定义帧的开始和结束

腾讯与360 （本文《腾讯与360》转载自中华网财讯频道： http://china.caixun.com ） 腾讯与360 腾讯与360腾讯太强大了，在互联网世界，这只“企鹅”几乎什么都做。就是这种“霸道”，让腾讯背负了无数的骂名，也树立了太多的敌人，这其中就包括360董事长周鸿祎! 　　那么腾讯做了什么让周鸿祎忍无可忍呢?也许这要追溯到360与金山之间的那场冲突。 　　5月下旬，360与金山之间冲突爆发。5月21日，金山公司表示，当天有大量金山网盾的用户向金山软件客服控诉360安全卫士恶意卸载金山网盾。 　　对此，360回应称，金山网盾存在难以卸载、非正常强行注入浏览器导致大量浏览器崩溃、自身漏洞被利用成为木马通道等问题，所以才会让用户在使用360还是使用金山网盾中进行选择。 　　并且，自5月25日开始，周鸿祎持续在微博上炮轰金山，将冲突扩大化，最终导致双方互相提起诉讼。 　　而在360和金山对抗正酣之际，腾讯突然将QQ医生升级至4.0版并更名为QQ电脑管家，新版的功能与360很类似。 　　笔者当时认为，腾讯此举无疑是在背后捅了360一刀，并预见，在不久的将来，腾讯将成为360最大的竞争对手，双方将展开“肉搏战”。 　　时至今日，360与腾讯的隐私大战也印证了这一观点。 　　9月底，360推出隐私保护器，直指腾讯“偷窥”用户隐私，引发与腾讯的正面冲突。 　

原文地址：http://blog.csdn.net/u013777676/article/details/52124298 一、SQL注入漏洞 SQL注入攻击（SQL Injection），简称注入攻击、SQL注入，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。在设计程序，忽略了对输入字符串中夹带的SQL指令的检查，被数据库误认为是正常的SQL指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。 通常情况下，SQL注入的位置包括 ： （1）表单提交，主要是POST请求，也包括GET请求； （2）URL参数提交，主要为GET请求参数； （3）Cookie参数提交； （4）HTTP请求头部的一些可修改的值，比如Referer、User_Agent等； （5）一些边缘的输入点，比如.mp3文件的一些文件信息等。 常见的防范方法 （1）所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口，使用此接口可以非常有效的防止SQL注入攻击。 （2）对进入数据库的特殊字符（’”<>&*;等）进行转义处理，或编码转换。 （3）确认每种数据的类型，比如数字型的数据就必须是数字

随着微软发布漏洞补丁，多家媒体先后报道，但对漏洞描述与官方公开文档有一定出入。微软内部人员称：部分媒体存在选择性说明事实、夸大事实、恶意揣测和发布不负责任的虚假内容的情况。基于此，笔者想和大家客观地梳理一下此次所谓的“微软超级漏洞”。 在微软例行公布的1月补丁更新列表中，有一个漏洞引起了大家的高度关注：一个位于 CryptoAPI.dll 椭圆曲线密码 ( ECC ) 证书的验证绕过漏洞——CVE-2020-0601。 有意思的是，在微软发布公告后，美国国家安全局（NSA）也发布了关于CVE-2020-0601漏洞的预警通告。根据通告可以得知，这个漏洞是由NSA率先独立发现并汇报给微软的（微软在报告中对NSA致谢）。 漏洞介绍 该漏洞位于Windows CryptoAPI(Crypt32.dll)验证椭圆曲线加密算法证书的方式，可能影响信任的一些实例包括（不限于）：HTTPS连接、文件签名和电子邮件签名、以用户模式启动的签名可执行程序。 此外，该漏洞可以让攻击者伪造代码签名证书对恶意可执行文件进行签名，使文件看似来自可信的来源。例如，可以让勒索软件或其他间谍软件拥有看似有效的证书，从而促使用户安装。中间人攻击并解密用户连接到受影响软件的机密信息也是主要的攻击场景之一。 影响范围 目前，支持使用带有指定参数的ECC密钥的证书的Microsoft Windows版本会受到影响

漏洞排查思路： 1.上传漏洞 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”，80%就有漏洞了！ 有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN、中国菜刀上传.　 2.注入漏洞 字符过滤不严造成的 3.暴库:把二级目录中间的/换成%5c　 　 4.'or'='or'这是一个可以连接SQL的语名句.可以直接进入后台。 我收集了一下。类似的还有： 　'or''=' 　" or "a"="a　　 ') or ('a'='a　　 ") or ("a"="a　　 or 1=1--　 ' or 'a'='a 5.社会工程学。这个我们都知道吧。就是猜解。 　 6.写入ASP格式数据库。就是一句话木马〈%execute request("value")%〉 （数据库必需得是ASP或ASA的后缀） 　　 7.源码利用：一些网站用的都是网上下载的源码.有的站长很懒.什么也不改. 比如：默认数据库，默认后台地址，默认管理员帐号密码等 8.默认数据库/webshell路径利用:这样的网站很多/利人别人的WEBSHELL. /Databackup/dvbbs7.MDB /bbs/Databackup/dvbbs7.MDB /bbs/Data/dvbbs7.MDB /data/dvbbs7.mdb /bbs/diy