网络安全

一、什么是XSS？怎么发生的？ 　　XSS（Cross site scripting）全称为 跨站脚本攻击 ，是web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本（例如Javascript），当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的。比如获取用户的cookie，导航到恶意网站，携带木马病毒等。 　　 二、XXS漏洞的分类 　　XXS漏洞按照攻击利用手法的不同，有以下三种类型： 　 　类型A，本地利用漏洞： 这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示： 　　　　Alice给Bob发送了一个恶意构造了web的URL。 　　　　Bob点击并查看了这个URL。 　　　　恶意页面中的Javascript打开了一个具有漏洞的HTML页面并将其安装在Bob电脑上。 　　　　具有漏洞的HTML页面包含了在Bob电脑本地域执行的Javascript。 　　　　Alice的恶意脚本可以在Bob的电脑上执行Bob所持有的权限下的命令。 　 　类型B，反射式漏洞： 这种漏洞和类型A有些类似，不同的是web客户端使用server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。其攻击过程如下：； 　　　　Alice经常浏览某个网站，此网站为Bob所拥有

随着近年来来网络技术的不断进步，cdn不仅可以简单的用做网站加速，还能够更好的保护网站不被攻击。cdn在相关节点中成功的建立动态加速机制以及智能沉于等机制，能够帮助网站流量访问分配到每一个节点中，智能的进行流量分配。如果cdn存在被ddos攻击的情况，Cdn整个系统就能够将被攻击的流量分散开，节省站点服务器的压力以及节点压力。同时还能够增强网站被黑客攻击的难度，真正帮助服务管理人员提供更多的时间。 但是 cdn防ddos 攻击主要是通过流量分散，增加攻击难度，如果是有针对性的大规模攻击，就会面临被各个击破的危险。从另一种层面上来说，cdn只是缓解了DDoS攻击的时效而已，若想有效阻止攻击，还可以采用ddos防火墙等安全防御方法。另外，专门抵御DDoS的方法还有下面这几个。 异常流量的清洗过滤：通过 DDOS防火墙 对异常流量进行清洗过滤。通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等技术可以准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。 分布式集群防御：这是目前网络安全界防御大规模DDOS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的 DDOS 攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点

在CVE-2017-11882之后，2018年1月份又出了一个新的“噩梦公式二代”，在野样本嵌入了利用Nday漏洞和0day漏洞的2个公式对象同时进行攻击，Nday漏洞可以攻击未打补丁的系统，0day漏洞则攻击全补丁系统，绕过了CVE-2017-11882补丁的ASLR（地址随机化）安全保护措施，攻击最终将在用户电脑中植入恶意的远程控制程序。关于此漏洞的分析，可以看 这里 ，今天看到在github公开了一个CVE-2018-0802的利用脚本，地址 在这 ，为了达到最完美的利用，所以编写了RTF_11882_0802。 GIT： RTF_11882_0802 此脚本集合了两个公式利用漏洞。 利用方式与之前的方式一样。 复制 1 python RTF_11882_0802.py -c "cmd.exe /c calc.exe" -i test.rtf -o test.doc 其实就是简单粗暴的把两个公式编辑器插入文档中，一个是11882，一个是0802。 “噩梦公式二代”（CVE-2018-0802）所使用的0day漏洞堪称CVE-2017-11882的双胞胎漏洞，攻击样本中的一个漏洞针对未打补丁前的系统，另外一个漏洞针对打补丁后的系统，利用两个OLE同时进行攻击，黑客精心构造的攻击完美兼容了系统漏洞补丁环境的不同情况。这个漏洞的利用技巧和Bypass

中国人民公安大学 Chinese people’ public security university 网络对抗技术 实验报告 实验一 网络侦查与网络扫描 学生姓名 张昕 年级 201721440010 区队 网安四区 指导教师 高见 信息技术与网络安全学院 2017 年 7 月 7 日 实验任务总纲 2017—2018 学年 第 一 学期 一、实验目的 1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2．了解并熟悉常用搜索引擎、扫描工具、社交网站等互联网资源，对给定的任务进行搜索、关联、分析； 3．达到巩固课程知识和实际应用的目的。 二、实验要求 1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3．软件工具可使用office2003或2007、Nmap、等。 4．实验结束后，保留电子文档。 三、实验步骤 1．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）； 开机并启动软件office2003或2007、浏览器、扫描软件。 3．实验过程 1）启动系统和启动工具软件环境。 2

鱼叉式网络钓鱼 攻击目标 由于鱼叉式网络钓鱼锁定之对象并非一般个人，而是特定公司、组织之成员，故受窃之资讯已非一般网络钓鱼所窃取之个人资料，而是其他高度敏感性资料，如知识产权及商业机密。 网络钓鱼 是指诱导人们连接那些黑客已经锁定的目标。这种攻击方法的成功率很高，也非常常见。点击链接、打开表格或者连接其他一些文件都会感染 病毒 。一次简单的点击相当于为攻击者开启了一扇电子门，这样他就可以接触到你的内部弱点了。因为你已经同意他进入，他能够接触弱点，然后挖掘信息和授权连接。 [1] 网钓技术 链接操控 大多数的网钓方法使用某种形式的技术欺骗，旨在使一个位于一封邮箱中的链接（和其连到的欺骗性网站）似乎属于真正合法的组织。拼写错误的 网址 或使用子网域是网钓所使用的常见伎俩。在下面的网址例子里，http://www. 您的银行.范例.com/，网址似乎将带您到“您的银行”网站的“示例”子网域;实际上这个网址指向了“示例”网站的“您的银行”（即网钓）子网域。另一种常见的伎俩是使锚文本链接似乎是合法的，实际上链接导引到网钓攻击站点。下面的链接示例： 诚实 ，似乎将您导引到条目“诚实”，点进后实际上它将带你到条目“谎言”。 另一种老方法是使用含有'@'符号的欺骗链接。原本这是用来作为一种包括用户名和密码（与标准对比）的自动登录方式。例如，链接http://www.google.com

@渗透的主要流程 渗透流程三部曲： 信息收集，漏洞分析，开始攻击（注意：对攻击对象收集的信息越多，越详细，渗透成功率就越高） 不管是局域网，还是web网站的渗透测试，流程大体符合渗透三部曲。 第一步 信息收集 在这里主要介绍通过kali预装好的工具，对攻击对象的信息收集（如:nmap对攻击对象进行扫描，找出攻击对象的信息） 第二步 漏洞扫描 kali攻击有预装好的弱点扫描工具，这些工具能扫描比较常见的漏洞，如果扫描出弱点可以直接执行工具内置好的攻击脚本，（如：nmap和msf配合） 扫描不出漏洞，可以尝试自行安装nessus等漏洞扫描工具；这工具是全球应用最广泛的漏洞扫描工具，里面拥有很多漏洞扫描，攻击脚本。 通过漏洞扫描工具无法扫描出攻击对象漏洞，可以通过python脚本编写适合自己的扫描或攻击脚本 第三步 漏洞攻击 到了这一步，第一步和第二步应该有所成果；否则无法进行攻击操作。 第一步信息收集可以告诉我们攻击对象的具体信息，以及攻击对象在什么硬件，系统上运行。 第二步漏洞扫描，可以告诉我们这个系统存在什么样的漏洞；弱点在哪里。 只有经过前面两个步骤的收集，分析；才能施展漏洞攻击。 也只有这样的攻击，渗透才能得到成果。 ………… 提示：本教程主要介绍渗透测试以及工具的基本使用；请遵守法律法规！请遵守法律法规！请遵守法律法规！ 如有另外，自行承担。 来源： https://www

Web scan tool 推荐10大Web漏洞扫描程序 Nikto 这是一个开源的Web服务器扫描程序，它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI，以及超过900个服务器版本，还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。 Nikto可以在尽可能短的周期内测试你的Web服务器，这在其日志文件中相当明显。不过，如果你想试验一下(或者测试你的IDS系统)，它也可以支持LibWhisker的反IDS方法。 https://cirt.net/Nikto2 Paros 这是一个对Web应用程序的漏洞进行评估的代理程序，即一个基于Java的web代理程序，可以评估Web应用程序的漏洞。 WebScarab 它可以分析使用HTTP 和HTTPS协议进行通信的应用程序，WebScarab可以用最简单地形式记录它观察的会话，并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态，那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题，还是允许安全专业人员识别漏洞，它都是一款不错的工具。 WebInspect 这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞

垃圾邮件和病毒的日益猖獗，既因为邮件在商务往来中扮演着越来越重要的角色，也因为犯罪成本低收益高。近年来，不少为非作歹者致力于通过邮件诈骗牟利，想出了种种奇思妙计，导致相关服务商在安全领域逐年加大研发投入，来应对可能的漏洞，防范于万一。以前，可能只需要杀毒软件和基本的反垃圾邮件过滤器，就能确保邮箱安全了；但现在，由于攻击者手法多变，可能会针对特定目标收件人精心制作邮件，或者利用零日漏洞，伪造邮件地址等等，令人防不胜防。下面U-Mail要介绍的是最新的一种诈骗方法： 相信你一定收到过包含图片的邮件，打开后，往往显示一个很小的图片缩略形式，希望你点击手动加载它。有许多用户的电子邮件客户端设置会自动加载图片，也有许多邮箱用户按捺不住好奇心去点击。于是这种状况和用户就被黑客们利用，当他们需要了解攻击目标的网络情况，从而调整攻击策略，设定攻击战术时，就会向攻击目标发出一封邮件，在邮件中嵌入一个1X1大小的像素图像，收件人在打开或转发邮件的同时会加载保存在黑客服务器的图像，黑客再引诱收件人将邮件转发给公司IT部门、业务部门、财务部门等，当这些部门接收到邮件后，黑客籍此了解了相关设备信息和IP地址。这样黑客就轻易锁定了目标对象的位置，抓取了重要数据，提高了攻击的成功概率。 要防止此类非法行为，你可以在邮件设置中关闭自动加载图像。但是你也有一种方法，以不变应万变，只要你选择了好的防范软件，比如U

1、SQL注入 许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，（一般是在浏览器地址栏进行，通过正常的www端口访问）根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection ，即SQL注入。 其主要危害有：在未经授权状况下操作数据库中的数据；恶意篡改网页内容；私自添加系统帐号或者是数据库使用者帐号；网页挂木马等。 SQL注入被广泛用于非法入侵网站服务器，获取网站控制权。它是应用层上的一种安全漏洞。通常在设计存在缺陷的程序中，对用户输入的数据没有做好过滤，导致恶意用户可以构造一些SQL语句让服务器去执行，从而导致数据库中的数据被窃取，篡改，删除，以及进一步导致服务器被入侵等危害。 2 、XSS XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。 其主要危害有：攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、ActiveX或Flash以欺骗用户。一旦得手，他们可以盗取用户帐户，修改用户设置，盗取/污染cookie，做虚假广告等。 发生在客户端DOM（Document Object

加密货币正在日益变得普遍，比特币就是其中最好的例子。不少网络罪犯为了赚取加密币开始在他们的攻击中使用恶意程序进行挖矿，近期Palo Alto Networks公司在多名安全研究专家的共同努力下，对挖矿行为进行了研究和调查。最终发现5%的Monero加密货币 是通过恶意程序开采出来的。 据悉，在这次发布的报告中显示，在对629126个恶意程序进行检测，发现其中84%的恶意程序都是针对Monero加密币的。这次样本检测分析，仅仅检测了去年6月以来受到感染的桌面和服务器设备等，并不涉及浏览器矿工。而通过这次检测到大部分恶意程序都是针对Monero加密币的，可见Monero在恶意组织中受欢迎度还是极高的。 在此次调查中，调查团队也对黑客团队在过去1年中的盈利进行了评估，在通过查询了9个挖矿池之后，预计黑客团队获取的价值已经超过了1亿左右美元的Monero币。 这次通过对犯罪团伙恶意挖矿量进行调查时，发现通过被感染设备恶意挖矿量占据了Monero网络整个算力的2%。 作为区块链投资平台， 极速新欧SPEEDXO 以其低门槛优势一直让投资者享受着投资盈利带来的快感，这次的恶意程序挖矿事件，可以说是对区块链整体产生巨大影响，这会导致越来越少人真正去投资区块链，希望有关交易所可以加强安全防卫工作。 转载请标明出处: 区块链投资有哪些机会？区块链恶意程序挖矿？ 文章来源: 区块链投资有哪些机会