网络安全

一.CSRF是什么？ 　　CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。 二.CSRF可以做什么？ 　　你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......造成的问题包括：个人隐私泄露以及财产安全。 三.CSRF漏洞现状 　　CSRF这种攻击方式在2000年已经被国外的安全人员提出，但在国内，直到06年才开始被关注，08年，国内外的多个大型社区和交互网站分别爆出CSRF漏洞，如：NYTimes.com（纽约时报）、Metafilter（一个大型的BLOG网站），YouTube和百度HI......而现在，互联网上的许多站点仍对此毫无防备，以至于安全业界称CSRF为“沉睡的巨人”。 四.CSRF的原理 　　下图简单阐述了CSRF攻击的思想： 　　 　　从上图可以看出，要完成一次CSRF攻击，受害者必须依次完成两个步骤： 　　1.登录受信任网站A，并在本地生成Cookie。 　　2.在不登出A的情况下，访问危险网站B。 　　看到这里，你也许会说：“如果我不满足以上两个条件中的一个，我就不会受到CSRF的攻击”。是的

谣言粉碎机前些日子发布的《 用公共WiFi上网会危害银行账户安全吗？ 》，文中介绍了在使用HTTPS进行网络加密传输的一些情况，从回复来看，争议还是有的。随着网络越来越普及，应用越来越广泛，一些网络安全问题也会越来越引起网民的关注，在这里和大家一起聊聊TLS/SSL也就是我们常说的HTTPS，从原理到实际应用看清它到底是怎么一回事，以及在使用HTTPS要注意哪些问题以及相关的安全技巧。 网络安全是一个整体的事件，涉及到个人计算机的安全，协议的安全，传输数据的安全，以及软件开发公司和网站的安全，单纯的依靠一个HTTPS协议并不能解决所有的问题。希望通过今后一点一点的对安全相关的问题进行说明解释，能让更多人对网络安全有所了解，从而更安全的使用网络。 文章会比较长，暂时计划分成三个部分： 第一部分主要描述HTTPS的原理；第二部分主要描述SSL证书验证的过程与使用的一些注意事项；第三部分会呈现一些针对HTTPS攻击的实例。如果有需要，我会后续的补充一些内容。 我尽量使用最简洁的语言来描述相关的概念，这里开始先挖个坑，然后慢慢地填。 HTTPS那些事（二）SSL证书 HTTPS那些事（三）攻击实例与防御 一、什么是HTTPS 在说HTTPS之前先说说什么是HTTP，HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的，也就是明文的

在日常使用堡垒机进行IT运维时，用户使用账户密码登录堡垒机后，即可对其具备权限的IT资源进行相应的操作或访问。而用户的堡垒机账户密码一旦被泄露，意味着无关人员可随意访问具备权限的IT资源，企业数据安全无法保障，后果将不堪设想。 那么，我们怎样做到即使密码泄露了也能保证数据安全呢？双因子认证显然是一种行之有效的手段。双因子验证是一种安全验证过程，被用以控制敏感系统和数据的访问。在这一验证过程中，需要用户提供两种不同的认证因素来证明自己的身份，从而起到更好地保护企业数据安全。 小编在使用行云管家进行IT运维的过程中，发现行云管家就具备双因子认证功能，其对用户登录行为、关键设备运维（如：登录申请、执行敏感指令等）进行双因子认证，确认当前运维人员身份，以实现安全运维的需要。 行云管家支持了多种认证方式，可供用户按自身实际情况自由选择。包括： 1、微信认证：支持绑定微信获取验证码来进行双因子认证； 2、短信认证：支持绑定手机号获取验证码来进行双因子认证； 3、动态令牌：支持绑定手机OTP动态令牌来进行双因子认证。 在面对堡垒机的二次认证这一道屏障，即便出现他人盗号、用户密码泄露等重大安全事件，非法访问者仍然“无计可施”，这样即可有效避免由此给公司造成的不必要损失，保证了企业的数据安全。 百度搜索“行云管家”。 来源： https://blog.51cto.com/13728988

网络安全监控 Argus Argus其实是 Audit Record Generation and Utilization System（审计记录生成与使用系统）的缩写，能对网络流量与数据进行高效、深入的分析。Argus可以筛选大量流量并快速全面的生成报告。不论是单一使用还是与其他工具共同使用，这个工具都可以提供坚实的协助。 P0f P0f的更新频率很低，十几年来变化不大，但仍然比较欢迎。这款工具使用时简单、高效，不会产生额外的流量。主要用于标识与其交互的任何主机的操作系统。很多网络安全监控工具都可以创建探测、名称查找以及各种查询功能。P0f则以其轻量级、高速以及简洁运行的的特征而著称，对于高级用户来说必不可少。但对于一些新手而言，可能学习起来没那么简单。 Nagios Nagios可以监控主机、系统和网络，实时发送警报。用户可以准确指定他们想要通知的内容。 这个程序可以监控HTTP、NNTP、ICMP、POP3和SMTP等网络服务。很多人将Nagios用于流量监控，其实它也可以用作全面、基础的网络管理方案，适用于网络安全专业人士和小型企业。 Splunk Splunk是一款高速、通用的网络监控工具，专为实时分析和历史数据搜索而设计。具有统一界面，对用户比较友好。其强大的搜索功能为应用程序监控提供了协助。Splunk可以处理非结构化数据，并轻松扩展。可以配合SIEM，达到更好的效果

一、SQL注入攻击(SQL Injection) 攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如： 1.某个Web应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码； 2.登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数； 例如： $query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password; 3.攻击者在用户名字和密码输入框中输入'或'1'='1之类的内容； 4.用户输入的内容提交给服务器之后，服务器运行上面的代码构造出查询用户的SQL命令，但由于攻击者输入的内容非常特殊，所以最后得到的SQL命令变成： SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'； 5.服务器执行查询或存储过程，将用户输入的身份信息和服务器中保存的身份信息进行对比； 6.由于SQL命令实际上已被注入式攻击修改

Netsparker是一款综合型的web应用安全漏洞扫描工具，它分为专业版和免费版，免费版的功能也比较强大。Netsparker与其他综合性的web应用安全扫描工具相比的一个特点是它能够更好的检测SQL Injection和 Cross-site Scripting类型的安全漏洞。‍‍ 来源： https://www.cnblogs.com/hackhyl/p/11365665.html

大家在设置自己的社交平台密码、注册密码、支付密码…时，应该都会提醒密码强度，或是提醒不要设置自己的生日，以免被恶意攻击及盗取。 那你的NAS密码设置的够复杂吗？ 你有设置安全机制来保护你的NAS吗？ 近期出现的黑客暴力破解NAS密码，并对文件进行加密。经过调查，这是采用字典攻击获取密码，而非利用特定系统安全性漏洞。 所以密码强度以及安全防护措施尤为重要。 如何加强防护 针对这次恶意攻击，建议晖粉们立即采取以下措施来加强你的NAS安全防护 1、在控制面板>用户帐号新增一组帐号且具管理员权限的帐号，并停用系统预设的「admin」帐号 2、使用强度较强的密码，并在控制面板>用户帐号>高级设置中启用密码强度限制规则 3、启用 2 步骤验证，强化帐号安全 4、在控制面板启用自动封锁，并且执行安全顾问，以避免系统使用安全等级较弱的密码 5、在控制面板中启用防火墙，只为必要的服务开启外部网络端口 而针对勒索病毒，也可以通过对文件的实时备份来避免因中招而丢失重要文件。 如果你的文件经常会需要分享给NAS帐号以外的人员，建议在通过Drive分享文件时，设置访问密码、有效期等。 安全是重中之重 安全一直是群晖的首要责任。群晖已加入全球公认的安全事件响应组织 FIRST ，与全球知名合作伙伴分享行业专业知识，以帮助建立更全面的安全标准。 群晖PSIRT 群晖产品 安全事件响应团队（PSIRT）

等保1.0 标准全称：《GBT22239-2008 信息安全技术 信息系统安全等级保护基本要求》 1、受众群体：信息系统 2、引用了17859《计算机信息系统安全保护等级划分准则》 3、分成 五级 保护能力 4、基本安全要求分为 基本技术要求+基本管理要求 基本技术要求： 物理安全 网络安全 主机安全 应用安全 数据安全 基本管理要求： 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 5、基本技术要求三种类型SAG S信息安全类 A服务保证类 G通用安全保护类 等保1.0和等保2.0的学习 等保2.0标准全称：《GBT22239-2019 信息安全技术 网络安全等级保护基本要求》 等保1.0和2.0的等级保护对象： 网络基础设施、信息系统、大数据、物联网云平台、工控系统、移动互联网、智能设备等。 等保1.0和等保2.0的内容： 等保1.0：安全要求 等保2.0：安全通用要求和安全扩展要求 等保的基本要求、、测评要求、设计技术要求统一框架，构建“ 一个中心、三重防 ” 《网络安全法》第五十九条规定：网络运营者不履行义务的：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处 一万元以上十万元以下 罚款，对直接负责的主管人员处 五千元以上五万元以下 罚款。 关键信息基础设施的运营者不履行义务的 ：由有关主管部门责令改正，给予 警告 ；

近日，阿里云数据中心骨干网IPv6 DDoS网络安全防御被工业和信息化部认定为“网络安全技术应用试点示范项目”，本次评选由工业和信息部网络安全管理局发起，从实用性、创新性、先进性、可推广性等维度展开，阿里云成为唯一一家入选IPv6 DDoS防护类项目的云服务商。 响应国家号召，率先布局IPv6 2019年，工信部签发《工业和信息化部关于开展2019年IPv6网络就绪专项行动的通知》，从网络基础设置、应用基础设施、终端设施设备，到网站和应用生态，提出了明确的指标化任务，并对网络的服务性能和安全性明确了目标要求。从软件服务商到终端设备制造商，所有业务都要过渡到IPv6，显然，普及IPv6已成为国家战略。 2018年，阿里云就已建成国内首家IPv6 DDoS云防御系统，支持秒级监控防御海量IP，并在护航全球最大在线购物狂欢节双十一过程中进行了大规模实战。期间，IPv4和IPv6双栈防御系统为云上客户和阿里电商业务拦截5000多次DDoS攻击，成功保障双十一的顺利进行，验证了阿里云DDoS高防IP优秀的防御效果、成熟性和稳定性。 阿里云IPv6 DDoS高防IP发展节点 在越来越多的企业过渡到IPv6协议的同时，安全问题也开始凸显。2018年初，IPv6 DDoS攻击已经开始在互联网出现。而很多服务提供者还没有做好将安全防护升级到IPv6的准备。2019年，应对好IPv6浪潮带来的安全挑战

Web攻击技术 1、针对Web的攻击技术 1.1、在客户端即可篡改请求 在Web应用中，从浏览器那接收到的Http的全部内容，都可以在客户端自由地变更、篡改，所以Web应用可能会接收到与预期数据不相同的内容。 在Http请求报文内加载攻击代码，就能发起对Web应用的攻击。通过URL查询字段或表单、Http首部、Cookie等途径吧攻击代码传入，若这时Web应用存在安全漏洞，那内部信息就会遭到窃取，或被攻击者拿到管理权限。 1.2、针对Web应用的攻击模式 以服务器为目标的主动攻击 主动攻击是指攻击者通过直接访问Web应用，把攻击代码传入的攻击模式，具有代表性的攻击时SQL注入攻击和OS命令注入攻击。 以服务器为目标的被动攻击 被动攻击是指利用圈套策略执行攻击代码的攻击模式。在被动攻击过程中，攻击者不直接对目标Web应用访问发起攻击，具有代表性的攻击是跨站脚本攻击和跨站点请求伪造。 利用用户的身份攻击企业内部网络 利用被动攻击，可发起对原本从互联网上无法直接访问的企业内网等网络的攻击。 2、因输出值转义不完全引发的安全漏洞 实施Web应用的安全对策可大致分为以下两部分： 客户端的验证 Web应用端（服务端）的验证 输入值验证 输出值转义 2.1、跨站脚本攻击 跨站脚本攻击（Cross-Site Scripting，XSS