网络安全

导读 数据成本是困扰业务增长的老大难问题，分解来看可分为获取成本、应用成本、运营成本、安全成本等等，而安全成本可谓是让企业深恶痛绝。一份报告显示，数据泄露损失最高可以占到企业年收入的5%。更令人关注的是，数据泄露不止是短期损失。 数据成本是困扰业务增长的老大难问题，分解来看可分为获取成本、应用成本、运营成本、安全成本等等，而安全成本可谓是让企业深恶痛绝。一份报告显示，数据泄露损失最高可以占到企业年收入的5%。更令人关注的是，数据泄露不止是短期损失。 互联网飞速发展引发的数据大爆炸可谓是一把“双刃剑”，在带来经济效益、促进社会发展的同时，也使得数据隐私面临更大风险。 全球互联网用户每天总计发送电子邮件2940亿封、发送推文5亿条、在Facebook创建数据多达4PB。同时，每天发送WhatsApp消息达到650亿条。该报告同时预测明年全球数据总量将增长10倍，达到44ZB。 过去5年数据泄露成本上升了12%，目前数据泄露的平均成本已达到392万美元。这样的数据损失显然不是一般企业能够承受的，尤其是中小企业。 据Gartner估算，服务宕机一分钟带来的损失可超过5600美元，并且这个数字正在不断攀升。源自恶意网络攻击的数据泄露不仅是引发数据泄露事件最常见的根本原因，所造成的代价也更惨重。恶意数据泄露平均给调研中的受访企业带来445万美元的损失

今天记录工作中遇到的接口存在的安全漏洞 1.XSS漏洞本质是攻击网站用户，攻击的方式是让恶意的javascript在用户的浏览器里执行，攻击效果可能是多种多样，比如盗取用户信息、用户访问劫持。 攻击者可以向网站注入恶意的javascript代码，当受害用户访问这个javascript代码，攻击就发生了。 2.测试过程 在接口参数中加入跨站脚本>\"'><script>alert('xss')</script>，可以直接在返回包中返回并在当前页面中执行。 3.xss防范措施 防范xss攻击视不同的场景，有多种防御方法，本质还是输出编码，大部分情况下将用户的输入转义为html格式就可以 （1）、 对输出的数据进行安全编码 （2）、如果内容输出在html中只需要传入需要编码内容即可 来源： https://www.cnblogs.com/free-1124/p/11911045.html

本文节选自： https://www.antiy.cn/doc/market/201204.pdf 安天实验室 肖新光 互联网用户泛隐私安全 热点问题回顾与浅析 2012年发表 免费模式与传统安全价值的冲突 过去我们探讨隐私时，往往用微技术化观点或泛道德观点来考虑这个问题，缺少对这种隐私威胁 风起云涌的原因上的价值链的探讨。一种状态的迅速发展或者恶化，必然有其经济链条支持。过去， 安全研究者更关注以恶意代码为主要工具来进行活 动的地下经济产业链。但从前面的案例来看，聚合和挖掘用户隐私同样是合法产业的动力之源，因此我们需要思考其内在规律和崛起的原因。 作为互联网行业“必读本”的《免费——商业 的未来》一书介绍了这种新兴“免费”商业模式是 一种建立在电脑字节基础上的经济学。这种趋势正 在催生一个庞大的新经济。这本书列举了较多的商 业现象，但对价值链的规则挖掘并不深入。书里只 是介绍了一种“引导性促成销售模式”，如广告商 获得被免费内容吸引的消费者的姓名和电子邮件地 址或与这些消费者相关的信息等等，但并没有提到 安全工作者对这种模式产生安全隐忧，更不用说如 何打消这种隐忧了。 我们可以看一下这种免费模式的演进构成。一 般来看，不管是免费的应用还是免费的客户端，若 被用户采纳并非是由于价格因素，而是来自用户体 验。例如Gmail（谷歌提供的电子邮件服务），大家

1、安全电子邮件 　　安全威胁：垃圾邮件，诈骗邮件，邮件炸弹，电子邮件传播病毒。 　　安全需求：机密性，完整性，身份认证（不能被冒名顶替），抗抵赖性（数字签名）。 　　电子邮件的特性：单向性和非实时性，因此不能使用隧道加密，只能对邮件本身加密。 　　安全电子邮件原理（其中对(数据和数字签名)用对称加密是为了效率） 　　 　 PEM（Privacy Enhanced Mail）标准：保证邮件加密；消息完整性；发送方认证；防止发送方抵赖，使用较少。 　　PGP（Pretty Good Privacy）标准：免费，可用于windows、unix、军方等、安全性能高，应用较多。 　　　　公钥加密算法：RSA、DSS、Diffie-Hellman 　　　　对称加密算法：CAST、3DES、IDEA 　　　　散列算法：MD5、SHA-1 　　　　在上面原理的基础上添加：压缩、Base64编码、分段等。 　　　　 　　　　 PGP秘钥管理： 　　　　　　安装时，产生秘钥对，公钥放在公钥服务器上，私钥是用用户口令进行保护。 　　　　　　PGP公钥认证机制：PGP公钥可以通过可信的Web认证；通过CA认证；可以通过用户自身去添加认证；用户可以为其他公钥认证担保（第三方保证，和传统的CA有区别）。 　　S/MIME（Secure/multipurpose Internet Mail

1、网络安全威胁 　　破坏网络安全的一些理论方式： 　　　　窃听：窃听信息，在网路通信双方直接进行窃听。 　　　　插入：主动在网络连接中插入信息（可以在message中插入恶意信息） 　　　　假冒：伪造（spoof）分组中的源地址，假冒客户端或服务器。 　　　　劫持：通过移除/取代发送方发或接收方“接管”（take over）连接 　　　　拒绝服务（dos）：阻止服务器为其他用户提供服务。 　　破坏网络安全的一些实践方式： 　　　　映射（mapping）：①探路。②ping命令获取主机地址。③端口扫描（nmap www.insecure.org/nmap/） 　　　　嗅探（sniffing）：在广播介质（共享的以太网或无线网络中），混杂（promiscuous）模式的网络接口卡，可以接受所有经过的分组。（wireshark就是一个分组嗅探软件） 　　　　ip欺骗（spoofing）发送分组的源ip地址可以任意改写。网络攻击中大量使用ip欺骗。（应对策略，入口过滤：路由器不转发源ip地址不属于此网络的分组） 　　　　DOS拒绝服务攻击：向接受方恶意泛洪（flood）分组，淹没（swamp）接受方（即耗尽接受方的资源）。 　　　　DDOS分布式拒绝服务攻击：入侵网络中的主机，构建僵尸网络（肉鸡），发动僵尸网络同时攻击目标服务器。 　　　　反射式DDOS攻击：控制僵尸网络，选择反射服务器

作为一个技术人员，确实真的有必要花心思去关注安全。工作大家给我的反馈是关注Bug质量，关注性能，确确实实忽略的这一块 要加油，要加油，要加油(此文用于已了解作为复习而用） 什么是XSS攻击（跨站脚本攻击）？ XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。 这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。 XSS 利用的是用户对指定网站的信任 现状：跨站脚本攻击（XSS），是目前最普遍的Web应用安全漏洞。 XSS 分类 根据攻击的来源，XSS 攻击可分为存储型、反射型和 DOM 型三种。DOM 型 XSS 攻击中，取出和执行恶意代码由浏览器端完成， 属于前端 JavaScript 自身的安全漏洞 ，而其他两种 XSS 都属于服务端的安全漏洞 。 DOM 型 XSS 的攻击步骤： 攻击者构造出特殊的 URL，其中包含恶意代码。 用户打开带有恶意代码的 URL。 用户浏览器接收到响应后解析执行，前端 JavaScript 取出 URL 中的恶意代码并执行。 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作。 哪些场景的攻击场景？ 1)

区块链应用场景有哪些？区块链技术作为一种新型创造信任技术，实现了点对点的价值传递，受到了很多行业的追捧，那么就目前区块链发展来看，区块链可以应用的行业有哪些呢？ 区块链应用场景-行业 保险 通过区块链技术改善客户参与度的一个关键点在个人数据。客户一旦将其个人信息透露给保险公司就会开始担心个人数据的泄露；而且，客户还会对个人信息多次重复输入而深感不快，这些问题都可以通过客户控制的用于身份验证的区块链来解决。 医疗 一直以来，医疗机构都要忍受无法在各平台上安全地共享数据。数据提供商之间更好的数据合作意味着更精确的诊断，更有效的治疗，以及提升医疗系统提供经济划算的医疗服务的整体能力。区块链技术可以让医院、患者和医疗利益链上的各方在区块链网络里共享数据，而不必担忧数据的安全性和完整性。 银行 银行是一个安全的存储仓库和价值的交换中心，而区块链作为一种数字化的、安全的以及防篡改的总账账簿可以达到相同的功效。 云存储 目前提供云存储的公司大都将客户数据放在中心化的数据库中，这提高了黑客盗取信息的危害性。区块链云存储方案允许去中心化的存储。 学术界 如果更多的学校开始采用公开透明的学历证书、成绩单和文凭，可能更容易解决学历欺诈的问题，更不用说时间和成本的节约，并避免人工检查和减少纸质文件。 汽车租赁和销售 去年宣布合伙使用区块链建立一个概念证明来简化汽车租赁过程，并把它建成一个“点击，签约

数据防泄漏系统 的发展，减少了国内数据泄露事件的发生，保护了个人信息安全，企业信息安全，保密级数据安全等互联网时代发展的重点关注话题，国内信息化步伐的加快，改变了传统的办公以及发展模式，互联网、电脑、信息化已基本完成了与企业（无论是制造行业、设计行业、医疗、化工行业等等）进行了完美的融合，并且基于信息化技术的发展，也带动了企业的进步和发展。 信息化的脚步虽然为企业带来的发展的便利，但信息化也存在这一定的数据隐私保护的安全问题，如果来实现对企业数据安全的管控对于企业的发展来说至关重要，而在这样的环境下，企业需要一套数据防泄漏系统来加强对内部数据文件的管控。目前国内的数据防泄漏解决方案，已经具有了良好及稳定的发展，并为国内的数据安全提供了有效的保护，从根源上尽量减少数据泄露事件的再次上演。 一、加强电子文件在使用中的安全保护 电脑、笔记本成为企业办公不可或缺的组成部分，企业在日常的办公、以及以客户关于产品或者某个设计方案的沟通中都会使用到电脑，电脑不仅是沟通以及办公的重要成分，同时也是企业数据存储的核心地方。 对于企业来说，要正确合理的掌握企业在日常发展中存在的利弊以及企业管理过程中存在的数据安全隐患也要及时的进行调整，其实对于企业数据安全管控这块，国内目前已经有了很好的解决方案，实用性强的数据防泄漏系统，不仅能够加强企业对内部数据安全的管控，同时能够提高工作效率，保证数据安全！ 二

数据信息安全对我们每个人都有很重要的意义，特别是一些敏感信息，可能一些类似于收货地址、手机号还没引起大家的注意。但是最直白的，银行卡、姓名、手机号、身份证号，如果这些信息被黑客拦截到，他就可以伪装成你，把你的钱都取走。那我们该怎么防止这样的事情发生？报文加密解密，加签验签。 我害怕什么 我害怕卡里的钱被别人取走 我害怕转账的时候，报文被黑客拦截到，篡改信息转到别人的账户。 我害怕我的敏感信息被有心人获取 做一笔游戏充值，半个小时就收到各种游戏广告，我并不能抵挡诱惑 我要做什么 交易报文不被篡改 防止报文被篡改，需要对报文进行验签操作。 敏感信息不被读取 防止报文被读取，则需要将敏感信息加密。 公钥和私钥 公钥和私钥，加密解密和加签验签。加解密用来保证数据安全，加签验签用来证明身份。 商户生成一对公私钥(商公，商私)，商户会把公钥给银行；银行也会生成一对公私钥(银公，银私)，银行会把公钥给商户。也就是说：商户有银行的公钥，自己的公钥和私钥。银行有商户的公钥，自己的公钥和私钥 加密解密保证数据安全： 商户使用自己公钥加密，银行没有商户私钥解不开报文，排除 商户使用自己的私钥加密，银行使用商户公钥解密。理论上可行，然而会出现这种情况，商户和银行1，2，3都使用相同的公私钥，那么自己私钥加密后发送给银行1的报文，被银行2截取到也可以被解密开，违背了我们加密的目的--保证数据安全，排除。

渗透测试基础 知识科普 脚本（asp ,php, jsp) html(css,js,html) HTTP协议 cms(B/S) MD5 肉鸡 抓鸡 Webshell 漏洞 一句话【木马】 提权 后门 跳板 旁站入侵 C段入侵 扫描1-255 全部网段的网站CMS情况 选择自己擅长入侵的CMS，这样才能更快速的实现C段入侵 扫描1-255全部网段的端口开放情况 先查询端口，选择自己擅长提权的网站来入侵，痛过端口提权 使用到的工具椰树，阿D网络工具包、 黑盒测试 黑盒测试不同于黑客入侵，并不等于黑站。黑盒测试考验的是综合的能力（OS、Datebase、Script、code、思路、社工） 白盒测试 ：相对于黑盒测试，白盒测试基本是从内部发起的 灰盒测试：基于白盒测试与黑盒测试之间的一种产物 渗透测试介绍 渗透测试流程 明确目标 确定范围 确定规则 确定需求 信息收集 基础信息 系统信息 应用信息 版本信息 服务信息 人员信息 防护信息 漏洞探测 系统漏洞 Websever漏洞 web应用漏洞 其他服务端口漏洞 通信安全 漏洞验证 自动化验证 手工验证 登录猜测 业务漏洞验证 公开资源的利用 形成报告 按需整理 补充介绍 修补建议 信息整理 获取所需 整理渗透工具 整理收集信息 整理漏洞信息 信息分析 精确打击 绕过防御机制 定制攻击路径 绕过检测机制 攻击代码 信息搜集是关键