网络安全

之前做的一个活动由于没做好并发和接口限制被人大量恶意请求，现在分享一些防止盗刷的经验 转载一篇CDSN的博客思路，有不错的借鉴思路，出处： https://blog.csdn.net/qq_29842085/article/details/79639351 ： 1 / 验证码（最简单有效的防护），采用点触验证，滑动验证或第三方验证码服务，普通验证码很容易被破解 2 / 频率，限制同设备，同 IP等发送次数，单点时间范围可请求时长 3 / 归属地，检测 IP所在地是否与手机号归属地匹配； IP所在地是否是为常在地 4 / 可疑用户，对于可疑用户要求其主动发短信（或其他主动行为）来验证身份 5 / 黑名单，对于黑名单用户，限制其操作， API接口直接返回 success， 1可以避免浪费资源， 2混淆黑户判断 6 / 签名， API接口启用签名策略，签名可以保障请求 URL的完整安全，签名匹配再继续下一步操作 7 / token ，对于重要的API 接口，生成token 值，做验证 8 / https，启用 https， https 需要秘钥交换，可以在一定程度上鉴别是否伪造 IP 9 / 代码混淆，发布前端代码混淆过的包 10 / 风控，大量肉鸡来袭时只能受着，同样攻击者也会暴露意图，分析意图提取算法，分析判断是否为恶意 如果是则断掉；异常账号及时锁定；或从产品角度做出调整，及时止损

一、肉鸡、抓鸡 1：肉鸡 一些个人PC电脑和网吧主机，以及各类网站上的服务器，黑客通过各类手段攻击植入木马、病毒方式到机器上，成为黑客掌控的机器，也叫肉鸡。成为肉鸡的机器，黑客可以随便查看文件和执行一些操作。 肉鸡也可以用来攻击，肉鸡攻击方式一般都是成千上万台肉鸡联合去攻击一台或者多台机器，其主要目的是致使对方机器和站点进入瘫痪状态，无法正常运行。 2：抓鸡 通过扫描漏洞、暴力破解、弱口令方式进行对机器植入木马达到控制机器，常见的做法是通过扫描一些端口号，比如：1433抓鸡、3389抓鸡、3306抓鸡等，获取机器的漏洞，从而实现种马，这个过程叫抓鸡。 二、计算机木马、网页木马 1：计算机木马 黑客通过编写的后门程序，进行捆绑到一些互联网上常用的程序压缩包中，然后发布在互联网上，引诱用户进行下载并执行使用，从而达到种马机器被黑客窥探文件内容隐私、破坏系统、远程操控等。 2：网页木马（网页木马中又分布一些术语，大马、小马、一句话木马。） 大马：体积比较大，功能丰富齐全，可以更改、浏览等，种马机器上的文件目录，扫描端口。常见大马有webshell，webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起

功能 文件服务 打印服务 数据库服务 通信服务 网络管理服务 Internet服务 基本任务 屏蔽本地资源与网络资源的差异性 为用户提供各种基本网络服务 完成网络共享系统资源的管理 为网络安全提供保障 来源： https://www.cnblogs.com/aikeming/p/11673777.html

创业一年有余，可惜失败了，好在投资方吸纳了产品，可以让公司继续活下去。 在这段经历中，我几乎把所有的壁都碰了一遍，唯一的遗憾就是没有把公司做成功。 我应该是那种不到黄河不死心的性格，但是我却对自己说，失败就失败了。其实，多多少少有点不甘心。 这次创业没成功，不归结于团队，也不归结于投资方特殊原因抽断资金，要怪只怪我能力有问题，没有刘备运筹帷幄、决胜千里的能力。 创业选的网络安全方向，其实是我最擅长的，拿出的产品所切入的细分领域，也是我这么多年打拼所比较有信心的一个。 产品做出来了，销售许可证拿到了，可是却没有真正熬到它发光发热的那个时候，正是我所遗憾的，不过，或许可以通过其它方式弥补回来。 从16岁真正进入这个行业，多多少少也算是摸爬滚打了自己整个青春时光了，从当初的"不为人知"，到网络安全被推到国家战略层面，很荣幸自己都经历其中。 感谢当年中国电信翼支付对我的信任，三年就职生涯中，将整个企业的网络安全重任交到我身上，我也通过努力证明了自己并未负众望、所托。 同时也感谢各位领导对我的鼓舞与安慰，让我对未来又充满了很多希望，其实道理我都懂，在我这个年纪，失败其实能比成功学到更多的东西，但是我就是觉得可惜。 马上就2020年了，我就步入24岁的年纪了，要奔三了，还有很多梦想没有完成，自己也依然精力旺盛，希望未来能继续为行业贡献自己的能力。 来源： https://www.cnblogs

随着2017年网络安全法的施行，等级保护制度上升为法律。 【法规要求】 《中华人民共和国网络安全法》在2017年6月1日施行，作为网络安全基础性法律，在第21条明确规定了“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”；第31条规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。等级保护制度在今天已上升为法律，并在法律层面确立了其在网络安全领域的基础、核心地位，正如业内所言，不做等保就是违法了。 网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务——保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。 【主要内容】 网络安全法明确了等级保护工作的核心。 主要包括： （1）关键信息基础设施的定义： 第三十一条 国家公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 （2）关键信息基础设施的安全保护义务 第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等。 第五十九条 运营者拒不改正或导致危害网络安全的

上期我们讲了东南亚赌局为什么都是福建老板了，这次来介绍下 黑客组织APT41 ，这个组织在 HT界 比较出名，很早之前是匿名在地下交易所的，而在近年频繁出现在大众视野中，这不，刚刚又把我们常用的远程工具 TeamViewer 给黑了，深圳市网络与信息安全信息通报中心 紧急发出几份申明。 顺便提供给大家防护措施： 近期停止使用TeamViewer软件在防火墙中禁止用于TeamViewer 远程通讯端口 5938 打开防火墙，设置禁止teamviewer.com 访问 网管在路由器开启权限，禁止teamviewer.com进出 也就是说，APT41已经攻破 TeamViewer公司 的所有防护体，并取得有相关数据权限，让其能够访问你的电脑，当然，不管是什么系统，哪怕 LINUX 去掉限制也是可以的，并且 危险等级 ：SSS 先不说这个组织，TeamViewer 工具无论是商用还是家用，在国内都占有一席之地，所以，大家赶紧先停用了吧，早期在2016年、2017年期间，TeamViewer 软件 就不断被爆出有漏洞，而在2018年又有人尝试拿到了简单的控制权，这次更厉害，总后台都被黑了，等于所有的 TeamViewer 权限都可以拿到了，所以不建议大家继续使用。 其实以前介绍过这个组织，总结他们喜欢攻击的对象有三点： 游戏类公司 安全类公司 加密类公司 即使是搞了那么多年的安全

• layout: post title: 【安全】渗透攻防之XSS脚本攻击 date: 2017-06-16 22:11:14.000000000 +09:00 categories: 技术 tags: PHP toc: true reward: true — 摘要：如果说SQL注入是一把利剑直接插入目标的胸膛，犀利的锋芒毕露。那么，XSS跨站脚本攻击则是一个“温柔杀手”，一把隐藏在背后的匕首，而它跨站攻击的目标是客户端，也就是我们网站的访问者。XSS攻击是WEB渗透中常见的一种攻击方式，本文通过对XSS的介绍、危害、攻击方式、分类和应用对XSS攻击进行系统的介绍，并针对此攻击梳理出相应的几种防御方式。 引言 XSS是一门又热门又不太受重视的WEB攻击手法，为什么会这样呢，原因有下： ① 耗时间 ② 有一定几率不成功 ③ 没有相应的软件来完成自动化攻击 ④ 前期需要基本的html、js功底，后期需要扎实的html、js、actionscript2/3.0等语言的功底 ⑤ 是一种被动的攻击手法 ⑥ 对website有http-only、crossdomian.xml没有用 但是这些并没有影响黑客对此漏洞的偏爱，原因不需要多，只需要一个。 XSS几乎每个网站都存在，google、baidu、360等都存在。 什么是XSS攻击 跨站脚本（Cross Site Scripting

1. 什么是XSS攻击 时光小说 www.youxs.org 跨站脚本攻击（Cross Site Scripting）本来的缩写为CSS，为了与层叠样式表（Cascading Style Sheets，CSS）的缩写进行区分，将跨站脚本攻击缩写为XSS。因此XSS是跨站脚本的意思。 XSS跨站脚本攻击（Cross Site Scripting），的本质是攻击者在web页面插入恶意的script代码（这个代码可以是JS脚本、CSS样式或者其他意料之外的代码），当用户浏览该页面之时，嵌入其中的script代码会被执行，从而达到恶意攻击用户的目的。比如读取cookie，session，tokens，或者网站其他敏感的网站信息，对用户进行钓鱼欺诈等。比较经典的事故有： 2011年6月28日，新浪微博被XSS攻击，大量用户自动转发微博、私信。自动关注用户，大量用户被莫名其妙地控制。因为可以使用JS代码代替用户单击按钮发送请求，所以损坏非常大。 1.1 XSS攻击的危害 通过 document.cookie 盗取 cookie中的信息 使用 js或 css破坏页面正常的结构与样式 流量劫持（通过访问某段具有 window.location.href 定位到其他页面） dos攻击：利用合理的客户端请求来占用过多的服务器资源，从而使合法用户无法得到服务器响应。并且通过携带过程的

1. 什么是XSS攻击 跨站脚本攻击（Cross Site Scripting）本来的缩写为CSS，为了与层叠样式表（Cascading Style Sheets，CSS）的缩写进行区分，将跨站脚本攻击缩写为XSS。因此XSS是跨站脚本的意思。 XSS跨站脚本攻击（Cross Site Scripting），的本质是攻击者在web页面插入恶意的script代码（这个代码可以是JS脚本、CSS样式或者其他意料之外的代码），当用户浏览该页面之时，嵌入其中的script代码会被执行，从而达到恶意攻击用户的目的。比如读取cookie，session，tokens，或者网站其他敏感的网站信息，对用户进行钓鱼欺诈等。比较经典的事故有： 2011年6月28日，新浪微博被XSS攻击，大量用户自动转发微博、私信。自动关注用户，大量用户被莫名其妙地控制。因为可以使用JS代码代替用户单击按钮发送请求，所以损坏非常大。 1.1 XSS攻击的危害 通过 document.cookie 盗取 cookie中的信息 使用 js或 css破坏页面正常的结构与样式 流量劫持（通过访问某段具有 window.location.href 定位到其他页面） dos攻击：利用合理的客户端请求来占用过多的服务器资源，从而使合法用户无法得到服务器响应。并且通过携带过程的 cookie信息可以使服务端返回400开头的状态码

为进一步提高软件的可靠性，GrammaTech公司正在与美国国土安全部（DHS）合作，并在“静态分析现代化程序（STAMP）”的指导下进行尖端研发。GrammaTech首席执行官Teitelbaum说：“DHS要求我们提供能够为静态分析领域增加具有价值的创新性想法。”三年来，GrammaTech提出了具有变革性的想法，其中最为主要的是使用机器学习检查开源社区中的大型代码库，以自动了解用户如何使用某些API。正如Teitelbaum指出的那样，这可以减轻手动、遗留方法相关联的缺点，这些遗留方法可以用来找出对API强制执行的规则，使用机器学习自动化规则创建过程，确保以更低的成本进行更多的程序错误检查。“我们从数千个开源程序中学习规则，并将其与CodeSonar和其他开源分析器进行集成，使开源社区也可以从我们的研究中受益。”Teitelbaum补充道。 软件开发生命周期中的重要性，特别是在网络安全方面，开发人员更有义务提高软件质量。这些年来，软件质量已逐渐成为开发人员的主要挑战。因此，网络威胁推动了高级代码分析工具的迅速发展。软件保障工具和先进的网络安全解决方案CodeSonar以其“核心创新”方法和强大的研究实力满足了这一全球性的需求。秉持着安全第一的软件设计理念，CodeSonar通过其稳健的代码分析平台，帮助客户设计、开发和部署可信的软件应用程序。它可以检测并消除软件问题