网络安全

一.频率限制短信接口 settings/dev.py: # drf配置 REST_FRAMEWORK = { # Throttling 'DEFAULT_THROTTLE_RATES': { 'user': None, 'anon': None, 'sms': '1/min' }, } apps/user/throttles.py: from rest_framework.throttling import SimpleRateThrottle class SMSRateThrottle(SimpleRateThrottle): scope = 'sms' def get_cache_key(self, request, view): # 针对手机号进行限制 mobile = request.data.get('mobile') or request.query_params.get('mobile') if not mobile: return None return self.cache_format % { 'scope': self.scope, 'ident': mobile } user/views.py: from libs.txm import get_code, send_sms from django.core.cache import cache from

暴力破解 概述 连续性尝试+字典+自动化 如果一个网站没有对登录接口实施防暴力破解的措施，或者实施了不合理的措施，则该网站存在暴力破解漏洞。 是否要求用户设置了复杂的密码 是否每次认证都是用安全的验证码 是都对尝试登录的行为进行判断和限制 是丢在必要的情况下采用了双因素认证 字典 常用账号密码（弱口令） 互联网上被脱裤后账号密码（社工库） 使用密码生成工具定制字典 暴力破解漏洞测试流程 确认登录接口的脆弱性：确认目标是否存在暴力破解漏洞，尝试登录-抓包---观察认证元素和response信息，判断是否存在暴力破解的可能。 对字典进行优化：根据实际情况对字典进行优化，提高效率。 工具自动化操作：配置自动化工具（线程、超时时间、重试次数等）进行自动化操作。 字典优化技巧 根据注册信息优化（密码位数、字符组成限制） 根据返回信息优化（账号错误、密码错误）后台登陆一般管理员为admin/administrator/root。 验证码 验证码逻辑可以在前端生成、验证也也可以在后端生成、验证。 不安全的验证码-on client 使用前端js实现验证码 将验证码在cookie中泄露，容易被获取 将验证码在前端代码中泄露，容易被获取 不安全的验证码-on server 验证吗在后台不过期，导致可以长期被使用（session不过期问题） 验证码校验不严格，逻辑问题 验证码涉及太过简单和有规律

文章目录 NISP-电子邮件安全 1.电子邮件系统 2.电子邮件的安全威胁 邮件地址欺骗 垃圾邮件 邮件病毒 邮件炸弹 3.电子邮件防护技术 垃圾邮件过滤技术 邮件加密和签名 NISP-电子邮件安全 1.电子邮件系统 是一种用电子手段提供信息交换的服务方式 是因特网上应用最广泛的服务之一 2.电子邮件的安全威胁 邮件地址欺骗 垃圾邮件 邮件病毒 邮件炸弹 邮件拦截 邮件用户信息泄露 邮件地址欺骗 实现过程： 在SMTP协议中 1.指定 1.指定 1.指定 2 3 3 4.放过刻意伪造的邮件 4.安全拦截 邮件发送者 SMTP发送者账户 发送账户的显示名称 SMTP服务器域名 信息 信息 邮件服务器 黑名单和反向认证 未认证 受害者 检查邮件来源 检查邮件发送域 反向DNS查询 登录验证 垃圾邮件 指未经用户许可强行发送到用户邮箱的电子邮件 垃圾邮件一般有批量发送的特征 良性：对收件人影响不大，例如：宣传广告 恶性：具有破坏性，例如：携带恶意代码的广告 邮件病毒 和普通病毒在功能上一样 因主要通过邮件传播，故称邮件病毒 一般通过邮件附件发送病毒 邮件炸弹 实现过程： 1.利用 2.较短时间内发送n次 由于 3.或者n次丢失 3.n次退回新邮件 3.n次退回新邮件 邮件恶意发送者 特殊的电子邮件软件 同一收信人 邮箱空间有限 邮件良性发送者 导致了收件人的邮箱功能瘫痪

高防CDN的防御方式是采用多节点分布，能解决各地区不同网络用户访问速度，解决并发量减轻网站服务器的压力，并且隐藏源站IP，从而让攻击者找不到源站IP，无法直接攻击到源服务器，使攻击打到CDN的节点上。 TTCDN每个节点都是单机防御，每个节点都有套餐防御的对应防御，除非是攻击超过套餐防御，不然网站是不会受到影响，可以为客户的网站得到安全保障。高防服务器防御一般可以分为软件防御、硬件防御和技术防御。 1. 软件防御利用寄生于操作平台上的软件防火墙来实现隔离内部网与外部网之间的一种保护屏障。由于大多数网络恶意攻击都是对网络的主节点进行攻击，而软件防火墙会定期扫描网络主节点，寻找可能存在的安全隐患并及时清理，不给攻击者可乘之机。 2．硬件防御主要指机房的带宽冗余、机器的处理速度。网络恶意攻击其中一个形式就有带宽消耗型攻击，我们常见的服务器带宽堵塞就是大量的攻击数据包堵塞导致的，这就需要高防服务器所在机房带宽冗余充足，服务器的处理速度快，这些都可以有效防御攻击。 3．技术防御主要指供应商处理攻击攻击的能力。其中，流量牵引技术是一种新型的技术防御，它能把正常流量和攻击流量区分开，把带有攻击的流量牵引到有防御能力的设备上去，而不是选择自身去硬抗。而在主节点上配置防火墙，可以过滤网络恶意攻击，极大提高网络安全而降低由于网络恶意攻击带来的风险。 云漫网络的TTCDN，在传统CDN的基础上

发现弱点 • 发现漏洞 　　• 基于端口服务扫描结果版本信息（速度慢） 　　• 搜索已公开的漏洞数据库（数量大） 　　• 使用弱点扫描器实现漏洞管理 从 信息的维度定义 漏洞管理 • 信息收集： 　　• 扫描发现网络IP、OS、服务、配置、漏洞 　　• 能力需求：定义扫描方式内容和目标 • 信息管理 　　• 格式化信息，并进行筛选、分组、定义优先级 　　• 能力需求：资产分组、指定所有者、向所有者报告漏洞 • 信息输出 　　• 向不同层级的人群展示足够的信息量 　　• 能力需求：生成报告、导出数据、与SIEM集成 弱点 扫描类型 • 主动扫描 　　• 有身份验证 　　• 无身份验证 • 被动扫描 　　• 镜像端口抓包 　　• 其他来源输入 • 基于Agent的扫描 　　• 支持平台有限 漏洞基本概念 • CVSS（Common Vulnerability Scoring System） 　　• 通用漏洞评分系统——工业标准 　　• 描述安全漏洞严重程度的统一评分方案 　　• V 3版本——2015年6月10日 　　• Basic Metric：基础的恒定不变的弱点权重 　　• Temporal Metric：依赖时间因素的弱点权重 　　• Enviromental Metric：利用弱点的环境要求和实施难度的权重 　　• CVSS是安全内容自动化协议（SCAP）的一部分 　　•

对于DDoS攻击，那些已经做过网站、平台的人应该知道，DDoS攻击是非常可怕的，因为这种攻击本质上不能防御，或者DDoS攻击只能被减轻，不能完全消除。DDoS，意思是“分布式拒绝服务”。它是一种恶意的资源使用行为。攻击者利用非法控制的机器或攻击软件向目标网站所在的服务器发送大量无效请求，使得服务器的资源被大量资源占用，导致正常用户的服务请求无法满足。被处理，网站慢慢打开或停止网络服务。 防御DDoS攻击主要有两种方法：一种是使用高防服务器，另一种是使用高防CDN。但是高防CDN相比较于高防服务器，为何更加稳定？ 目前，高防服务器主要通过周期性地扫描现有网络节点、在主干节点中配置防火墙、发现可能的安全漏洞、利用足够的机器抵御黑客攻击、充分利用网络设备进行防御来防御DDoS攻击。然而，DDoS攻击直接攻击源服务器，如果防御策略不当，攻击仍然会导致服务器带宽CPU内存使用过高，甚至直接影响源站，导致卡住或网站无法打开和访问的问题。 与高防服务器相比，高防CDN更为流行。简单来说，高防CDN的原理就是在网络上构建一个内容分发网络，依靠部署在各地的边缘服务器，通过中央平台负载均衡、内容分发、调度等功能模块，使用户可以得到在不直接访问源服务器的情况下接近站点的所需内容。简言之，在建立了多个高度防御的CDN节点后，不仅能够解决不同地区不同网络用户的访问速度，还能够解决并发问题

原文链接：https://www.jianshu.com/p/3b22859b2677 大佬:“这个 APP 破解下，可以兼容客户已出货的产品” 我：“这个不合适吧” 大佬：“这个客户对我们很重要” 我：“好吧” 然后，就是通过反编译某 APP ，分析蓝牙交互协议，在新的 APP 中去兼容已出货的设备，达到无缝对接。 –这种场景在开发中还是比较经常碰到的。 一、引言 随着移动互联网向社会生活的各个领域渗透，APP 的使用越来越广泛。但 Android 系统由于其开源的属性，市场上针对开源代码定制的 ROM 参差不齐（特别中国区域），在系统层面的安全防范和易损性都不一样，Android 应用市场对 APP 的审核相对 iOS 来说也比较宽泛，市场上一些主流的 APP 虽然多少都做了一些安全防范，但由于大部分 APP 不涉及资金安全，所以对安全的重视程度不够；而且由于安全是门系统学科，绝大部分 APP 层的开发人员缺乏对 APP 安全意识及措施，导致被有心者有机可乘。 Android 开发是当前最火的话题之一，但很少开发者会讨论这个领域的安全问题，除了专业从业者，但移动应用安全隐患也给发展带来了挑战。 开发团队通常将精力集中在产品设计、功能实现、用户体验和系统效率等方面，而很少考虑安全问题； 与一切都是集中管理的 iOS 相比，Android 提供了一种开放的环境，在获得了灵活性

《网络安全法》第二十一条规定: 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改： （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任； （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月； （四）采取数据分类、重要数据备份和加密等措施；作规程，确定网络安全负责人，落实网络安全保护责任； 解读: 对于内部安全管理应从两方面实施，一方面制定内部安全管理制度，所有操作人员必须按制度严格规范操作；另一方面采用运维审计系统（如：堡垒机、数据库审计等）进行日常工作，对操作流程全程记录并保存相关日志便于事后取证。 对重要数据（如：企业和个人邮箱等）进行加密确保数据的可靠性（如：邮箱加密系统等）。 法律责任补充，第六章第五十九条，网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。 《网络安全法》第二十四条规定: 网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务

对一家企业来说，最重要的是什么？不同的企业会有不同的答案，有的说资金，有的说是核心技术，有的说是客户资料，有的说是人才……这些都正确，但是实际上在无纸化办公普及、信息化建设如火如荼的今天，绝大多数企业的资金流、客户信息、员工资料等都转化为二进制代码，保存在核心机密库里，因此信息安全攸关全局；当企业选择用邮件作为内外交流的主要工具时，邮件势必成为泄密的高危负载物，而作为邮件大管家的邮件系统则承担着防范的重责。 要防范邮件泄密的风险说起来也简单，主要是防范人为的风险，因为“事在人为”嘛，根据来源分两个途径：一是外部不法分子的恶意窃密；二是内部员工有意无意的疏漏。在对付外部窃密上，U-Mail邮件系统有“邮件传输加密、内外网隔绝筑造防火墙、屏蔽某些非法链接”等举措；而在防范内部风险上，除了加强职业道德和信息安全教育，还可以建立监控和审核机制，限制员工在具体区域、IP段和主机上登录。此外，这里要重点说一下即将来临的“裁员或离职潮”所带来的风险。 众所周知，今年经济形势不佳，不少企业有裁员计划，年后也将迎来跳槽高峰期，不排除有员工对公司安排不满，或自恃功勋元老，他们利用手中的资源，或带走客户，或窃取核心技术，如果不及时堵漏，对公司运营将造成重大损失。在日常工作中，我们就要做好防范措施： 一、使用共同的对外联络邮箱 公司可利用U-Mail企业邮箱丰富的模板定制功能，为某个部门设立包含“域签名

之前有接触过一点网络安全法的知识，当然忘的差不多了。 以后也不知道会不会从事相关工作，但多了解一点总归是好的，尤其是听说部分网络安全工作者游走于灰色的边界线，还是挺担心的。 三十七分钟的视频，讲道理这人念稿子都磕碜，不太用心啊 来源： https://www.cnblogs.com/shayanboy/p/11517946.html