信息安全

1、什么是API? 百度百科给出的定义如下： 　　 API（Application Programming Interface，应用程序接口）是一些预先定义的函数，或指软件系统不同组成部分衔接的约定。 目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力，而又无需访问原码，或理解内部工作机制的细节。 　　 通俗的来理解就是提供给用户服务的一种方式，对于我们Java后台开发人员来说，就是我们给前端或者其他项目提供的接口，供他们进行使用。如果API出了问题，那么就不能为用户提供服务了。 　 2、API安全包含几方面的内容？ 　　主要包含三方面内容：信息安全、网络安全、应用安全。 　　　　 信息安全：所有的信息，在它的整个生命周期里（创建-存储-转换-销毁等）应该是受到保护的。（比如使用访问控制技术，加密解密技术等来保证信息是安全） 　　　　 网络安全：数据在进行网络传输的过程中，是安全的。不会被人盗取、串改。不会被未授权的访问接触到不应该接触的信息。（比如使用 防火墙，负载均衡器，反向代理等，https等来保证网络安全） 　　　　 应用安全：程序的设计上如何抵挡各种各样的攻击。（开发测试时需要注意的问题，如何存储管理用户信息，如何校验） 　　　 　　这三个方面综合起来，可以说我们的API是安全的。 3、API安全的目标 　　 机密性（Confientiality）

文章目录 资格设置： 报考流程 介绍 概念： 考试时间： 报考条件： 证书有效期 报考方式 报名费用 考试形式 考试时间 考试分数 通过率 合格标准 中级：系统集成项目管理工程师 考核内容： 岗位描述： 考试用书 中级：信息安全工程师 考核内容： 岗位描述： 考试用书 中级：网络工程师 考核内容： 岗位描述： 考试用书 适合报考人群 资格设置： 报考流程 介绍 概念： 计算机技术与软件专业技术资格（水平）考试（以下简称软件水平考试）是原中国计算机软件专业技术资格和水平考试（简称软件考试）的完善与发展。由人力资源和社会保障部和工业和信息化部领导下的国家级考试。 考试结束3个月后，各地考试机构将陆续向合格者颁发《中华人民共和国计算机技术与软件专业技术资格（水平）证书》。该证书由国家人力资源和社会保障部统一印制，由中华人民共和国人力资源和社会保障部、中华人民共和国工业和信息化部盖章。随同证书一起颁发的还有一张参加全国统一专业技术资格考试的登记表，该表由省人力资源和社会保障厅盖章，要求用人单位或人事档案管理部门存入考生个人档案。 书管理号是合格者的全国统一编号。该证书全国通用，各单位都承认。用人单位和考生可以在中国计算机技术职业资格网上根据证书管理号和姓名查询证书的有效性。 取得初级资格可聘任技术员或助理工程师职务；取得中级资格可聘任工程师职务；取得高级资格，可聘任高级工程师职务。

一、漏洞分析 事件起因 2015年3月26日，国外数据安全公司Imperva的研究员Itsik Mantin在BLACK HAT ASIA 2015发表论文《Attacking SSL when using RC4》阐述了利用存在了13年之久的RC4漏洞——不变性弱密钥（《Weakness in the Key Scheduling Algorithm of RC4》,FMS 发表于2001年）进行的攻击，并命名为“受戒礼”攻击（Bar Mitzvah Attack）。 直到2015年3月，还有约30%的网络通信是由RC4进行保护的。通过“受戒礼”攻击，攻击者可以在特定环境下只通过嗅探监听就可以还原采用RC4保护的加密信息中的纯文本，导致账户、密码、信用卡信息等重要敏感信息暴露，并且可以通过中间人（Man-in-the-middle）进行会话劫持。 攻击方法和模式 攻击者嗅探监听大量的SSL链接，可以判断第一个加密消息包含SSL的完成消息和HTTP请求，都是具有可预测的信息的。然后等待一个不变性弱密钥的链接到来，当获取到一个弱密钥链接时候就可以提取出LBS。当弱密钥使用的时候，明文和密钥会进行异或，攻击者可以看到生成的密文模式。 攻击者同样也进行DNS投毒，将所有的链接链接到一个恶意的主机，主机进行中间人攻击，能够有效地进行大量用户的嗅探监听和会话劫持。 漏洞原理和细节 根据

区块链可以用来解决物联网中哪些问题？ 1 解决安全隐患、保护用户隐私 物联网领域目前仍以中心化服务构架为主。以智能家居为例，AI摄像头和智能感应器会监测和收集用户数据，汇总到中央服务器，中央服务器计算后输出信号，控制智能家电做出相应反应，譬如开门、开窗、开灯、开空调等等。 物联网安全性的核心缺陷，主要在于缺乏设备间的信任机制，所有设备都需要和物联网中心的数据进行核对，一旦数据库崩塌，会对整个物联网造成很大的破坏，黑客一旦控制物联网中心就能轻松控制整个物联网。区块链分布式的网络结构提供一种机制，使设备之间保持共识，无需与中心进行验证，这样即使一个或多个节点被攻破，整个网络体系的数据依然是安全可靠的。 2 降低物联网运营成本 在中心化记账结构中，整个物联网记录、处理和存储的信息都会汇总到中央服务器。尽管智能灯具这类使用频率较低的设备上传信息比较少，但智能空气净化器几乎是时时监测、反馈和接受信息，在中央服务器的数据累积难以估量。越庞大的物联网就有越多的节点，最后产生天文数字般的巨量数据，这就对中介中心的存储和计算能力有极高要求，传统服务器往往不堪重负，运营成本极高。另一方面，智能设备的更换频次很低。以智能家居为例，常见物联网设备如智能门锁、智能灯具、智能插板等电器，往往数年一换。这对设备制造商来说是个难题：物联网设备在长期使用后出现的数据冗余和系统负担

大家好，我是来自信息安全的新生陈泽宇。我刚刚转专业进入信安专业，上学期也没学过C语言，对编程零基础。不过我对编程很有兴趣，更重要的是我是个有强烈学习意愿的人。目前正在mooc上学C语言相关课程。零基础开始学习这门课程对我来说无疑是巨大的挑战，不过我相信这条路我会越走越顺，寒假作业我会尽力尝试完成，希望各位有经验的同学们能带带我。很荣幸能转入数计，也很高兴能认识大家~ 来源： https://www.cnblogs.com/czyyy/p/12215536.html

大家好，我是来自信息安全的林杞垒。上大学后才开始接触代码，并且产生了较为浓厚的兴趣，开始计划转到数计学院。原专业有开设C语言课程，再经过自己的努力，最终转到了信息安全专业。这也是我在大学第一次通过自己的努力实现了自己制定的目标。对人工智能比较感兴趣，目前在看书自学Python。平时喜欢养鱼、听古典音乐、看动画和玩游戏。对于游戏方面有较广泛的涉猎，从fps（CSGO）到回合制（宝可梦、八方旅人），从开放世界（塞尔达、荒野大镖客）到线性流程（黑魂），甚至国际象棋、麻将，都有自己的看法与见解，并且正在尝试撰写游戏测评。也希望在了解计算机技术后，从更深的层次了解一款游戏。 来源： https://www.cnblogs.com/111900811cocoa/p/12215470.html

我是来自19级信息安全01班中的一个小菜鸟，高中比较平淡，爱好比较特殊（就不说了），对于编程能力，由于初次接触，技能不够；但是我会以饱满的热情去迎接未知的挑战，尽力提示自己的能力。作为一个比较奇怪的厦门人，我竟然没有去过鼓浪屿，所以如果有人想去厦门玩，千万不要找我。⊙ω⊙！ 来源： https://www.cnblogs.com/clt1120/p/12213283.html

腾讯与360 （本文《腾讯与360》转载自中华网财讯频道： http://china.caixun.com ） 腾讯与360 腾讯与360腾讯太强大了，在互联网世界，这只“企鹅”几乎什么都做。就是这种“霸道”，让腾讯背负了无数的骂名，也树立了太多的敌人，这其中就包括360董事长周鸿祎! 　　那么腾讯做了什么让周鸿祎忍无可忍呢?也许这要追溯到360与金山之间的那场冲突。 　　5月下旬，360与金山之间冲突爆发。5月21日，金山公司表示，当天有大量金山网盾的用户向金山软件客服控诉360安全卫士恶意卸载金山网盾。 　　对此，360回应称，金山网盾存在难以卸载、非正常强行注入浏览器导致大量浏览器崩溃、自身漏洞被利用成为木马通道等问题，所以才会让用户在使用360还是使用金山网盾中进行选择。 　　并且，自5月25日开始，周鸿祎持续在微博上炮轰金山，将冲突扩大化，最终导致双方互相提起诉讼。 　　而在360和金山对抗正酣之际，腾讯突然将QQ医生升级至4.0版并更名为QQ电脑管家，新版的功能与360很类似。 　　笔者当时认为，腾讯此举无疑是在背后捅了360一刀，并预见，在不久的将来，腾讯将成为360最大的竞争对手，双方将展开“肉搏战”。 　　时至今日，360与腾讯的隐私大战也印证了这一观点。 　　9月底，360推出隐私保护器，直指腾讯“偷窥”用户隐私，引发与腾讯的正面冲突。 　

DNS投毒 黑客只要伪造响应报文给暂存DNS伺服器，暂存DNS伺服器上就记录了错误的域名到IP地址的对应关系，然后暂存DNS伺服器把这个错误的对应关系发给先 前查询的用户计算机的浏览器，这样，您尽管在浏览器里输入的是www.91ri.org，可访问的确不是真正的IP地址，这个地址是黑客任意指定的。 原因： 1. 仅用ID实施真实性验证。 2.在DNS Request Message中可以增加信息，这些信息可以与客户机所申请查询的内容没有必然联系，因此攻击者就能在Request Message中根据自己的目的增加某些虚假的信息。 比如增加其它Domain Server的Domain Name及其IP Address。此时Client在受到攻击的Domain Server上的查询申请均被转向此前攻击者在Request Message中增加的虚假Domain Server，由此DNS欺骗得以产生并对网络构成威胁。 3.缓存。若再有Client请求查询此Domain Name对应的IP Address，Domain Server就会从Cache中将映射信息回复给Client，而无需在Database中再次查询。如果黑客将DNS Request Message的存在周期设定较长时间，就可进行长期欺骗。 DNS Cache Poisoning 一台DNS服务器只会记录本身所属域中的授权的主机

文章首发于公众号：软件测试er 欢迎查看最新文章 BurpSuite介绍： BurpSuite是一款信息安全从业人员必备的集成型的安全性测试工具，它采用自动测试和半自动测试的方式，包含了: Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer通过拦截HTTP/HTTPS的web数据包，充当浏览器和相关应用程序的中间人，进行拦截、修改、重放数据包进行测试。 Fiddler介绍： Fiddler是一个http协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的http通讯，设置断点，查看所有的“进出”Fiddler的数据（指cookie,html,js,css等文件）。 就是上篇提到的burpsuite,简单看下这个工具的页面。具体使用可见整理的教程。 1.java环境配置 参考https://blog.csdn.net/qq_41436122/article/details/82620080https://blog.csdn.net/qq_26762031/article/details/81591393 2.burpsuite下载 官网：https://portswigger.net/burp破解版1.71：链接：https://pan.baidu.com/s