網絡安定義
什麼是網絡安全?
- 1、國際化标準組織(ISO)引用ISO-74982文獻中對安全的定義:安全就是最大程度地減少資料和資源被攻擊的可能性。
- 2、《計算機資訊安全系統保護條例》中的第三條規範了包括計算機網絡系統在内的計算機資訊系統安全的概述:“計算機資訊系統的安全保護,應當保障計算機及其相關的配套的裝置、設施(含網絡)的安全,運作環境的安全,保障資訊的安全,保障計算機功能的正常發揮,以維護計算機資訊系統的安全運作。”
- 3、從本質上講,網絡安全是指網絡系統的硬體、軟體和系統中的資料受到保護,不因偶然或惡意的攻擊而受到破壞,更改、洩露、系統連續可靠正常的運作,網絡服務不中斷。廣義上來講,凡是涉及到網絡上資訊的保密性、完整性、可用性、可控性和不可否認性的相關技術和理論都屬于網絡安全所要研究的領域。
- 4、歐共體(歐盟前身)對資訊安全給出的定義如下:“網絡與資訊安全可被了解為:在既定的密級條件下,網絡與資訊系統抵禦意外事件或惡意行為的能力。這些事件和行為将危及所存儲或傳輸的資料,以及經由這些網絡和系統所提供的服務的可用性、真實性和秘密性。”
網絡安全的基本要素
保密性 保密性是指資訊不能被非法授權通路,即非授權使用者即使得到資訊内容也無法使用,通常通過通路控制和資料加密來保障資訊的保密性。
完整性 完整性是指隻有授權的人才能修改實體或程序,并且能夠判斷實體或程序是否被修改,一般通過通路控制來阻止篡改,通過算法來驗證資訊是否完整。
可用性 可用性是資訊資源服務功能和性能可靠性的度量,設計實體、網絡、系統、資料、應用和使用者等多方面因素,是對資訊網絡總體可靠性的要求。使用通路控制來阻止非授權使用者進入網絡。
可控性 可控性主要是指對國家資訊(包括非法加密)的監視審計,控制授權範圍内的資訊流動及行為方式,使用授權機制,控制資訊傳播範圍、内容,必要時能恢複密鑰,保障對網絡資源及資訊的可控性。
不可否認性 不可否認性是對出現的安全問題提供調查的依據和手段。使用審計、監控、防抵賴等安全機制,使攻擊者、破壞者、依賴者“逃不脫”,并進一步對網絡出現的安全問題提供調查依據和手段,實作安全的可審查性,一般通過數字簽名來實作。
網絡安全的重要性
随着資訊科技的迅速發展及計算機網絡的普及,計算機網絡深入國家的政府、軍事、文教、金融、商業等諸多的領域,可以說網絡無處不在。
網絡脆弱性的原因
開放性的網絡環境
協定本身的脆弱性
作業系統的漏洞
人為因素
網絡安全設計的内容
實體安全
保證計算機資訊系統各種裝置的實體安全,是整個計算機資訊系統安全的前提
網絡安全
網絡安全主要包括區域網路和子網安全,資料傳輸的安全,網絡運作安全,網絡協定安全。
系統安全
包括作業系統的安全以及資料庫系統的安全
應用安全
包括應用軟體開發平台安全和應用系統安全
管理安全
網絡安全至關重要的往往不是技術手段,而是對人的管理
滲透測試簡介
什麼是滲透測試?
滲透測試是通過模拟惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。
滲透測試還具備以下兩個顯著特點:
滲透測試是一個漸進的并且逐漸深入的過程。滲透測試是選擇不影響業務系統正常運作的攻擊方法進行的測試。
PETS滲透測試執行标準
Step1、前期互動階段:在前期互動階段,在滲透測試團隊與客戶進行互動讨論,最重要的是确定滲透測試的範圍、目标、限制條件以及服務合同細節。
Step2、情報搜集階段:在目标範圍确定之後,将進入情報搜集階段,滲透測試團隊可以利用各種資訊來源與搜集技術方法,嘗試擷取更多關于目标組織網絡拓撲、系統配置與安全防禦措施的資訊。
Step3、威脅模組化階段:在搜集到充足的情報資訊之後,滲透測試團隊的成員們停下敲擊鍵盤,大家聚到一起針對擷取的資訊進行威脅模組化(Threat Modeling)與攻擊規劃。這是滲透測試過程中非常重要,但很容易被忽略的一個關鍵點。
Step4、漏洞分析階段:在确定出最可行的攻擊通道之後,接下來需要考慮該如何取得目标系統的通路控制權,即漏洞分析(Vulnerability Analysis)。
Step5、滲透攻擊階段:滲透攻擊是滲透測試過程中最有魅力的環節。在此環節中,滲透測試團隊需要利用他們所找出的目标系統安全漏洞,來真正入侵系統當中,獲得通路權。
Step6、後滲透攻擊階段:後滲透攻擊是整個滲透測試過程中最能展現滲透測試團隊創造力與技術能力的環節,前面的環節可以說是按部就班地完成非常普遍的目标,而在這個環節中,需要滲透測試團隊根據目标組織的業務經營模式,保護資産形式與安全防禦計劃的不同特點,自主設計出攻擊目标,識别關鍵基礎設施,并尋找客戶組織最具價值和嘗試安全保護的資訊和資産,最終能夠對客戶組織造成最重要業務影響的攻擊途徑。
Step7、撰寫報告階段:滲透測試過程最終向客戶組織送出,取得認可并成功獲得合同付款的就是一份滲透測試報告。這份情報凝聚了之前所有階段之中滲透測試團隊所擷取的關鍵情報資訊、探測和發掘出的系統安全漏洞、成功滲透攻擊的過程,以及造成業務影響後果的途徑,同時還要站在防禦者的角度上,幫助他們分析安全防禦體系中的薄弱環節、存在的問題,以及修補與更新技術方案。
實際滲透測試中的流程
1、明确目标:當拿到一個滲透測試項目時,我們首先應該明确客戶要求我們進行滲透測試的範圍以及整體項目的時間。
2、資訊收集:子域名、系統版本、架構、真實IP位址、whios查詢、曆史漏洞查詢、指紋識别等。
3、漏洞發現:通過漏掃軟體結合手動挖掘正常的web、系統等漏洞。
4、漏洞利用:由淺入深、旁敲側推、盡可能的将漏洞的價值發揮到最大化。
5、後滲透:包括内網滲透、權限維持、權限提升,讀取使用者hash,這裡一定要把握好尺度。
6、報告文檔階段:根據之前測試擷取的漏洞及企業要求去編寫最終的滲透測試報告。
風險規避
不要進行諸如ddos攻擊,不破壞資料測試之前對重要資料進行備份
任何測試執行前必須和客戶進行溝通,以免引來不必要的麻煩
可以對原始系統生成鏡像環境,然後對鏡像環境進行的測試
明确滲透測試範圍
…
OWASP Top 10應用安全風險-2017
A1:2017-注入:将不受信任的資料作為指令或查詢的一部分發送到解析器時,會産生諸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻擊者的惡意資料可以誘使解析器在沒有适當授權的情況下執行非預期指令或通路資料。
A2:2017-失效的身份認證:通常,通過錯誤使用應用程式的身份認證和會話管理功能,攻擊者能夠破譯密碼、密鑰或會話令牌,或者利用其它開發缺陷來暫時性或永久性冒充其他使用者的身份。
A3:2017-敏感資料洩露:許多Web應用程式和API都無法正確定護敏感資料,例如:财務資料、醫療資料和PII資料。攻擊者可以通過竊取過修改未加密的資料來實施信用卡詐騙、身份盜竊或其他犯罪行為。未加密的敏感資料容易受到破壞,是以,我們需要對敏感資料加密,這些資料包括:傳輸過程中的資料、存儲的資料以及浏覽器的互動資料。
A4:2017-XML外部實體(XXE):許多較早的或配置錯誤的XML處理器評估了XML檔案中的外部實體引用。攻擊者可以利用外部實體竊取使用URL檔案處理器的内部檔案和共享檔案、監聽内部掃描端口、執行遠端代碼和實施拒絕服務攻擊。
A5:2017-失效的通路控制:未對通過身份驗證的使用者實施恰當的通路控制。攻擊者可以利用這些缺陷通路未經授權的功能或資料,例如:通路其他使用者的賬戶、檢視敏感檔案、修改其他使用者的資料、更改通路權限等。
A6:2017-安全配置錯誤:安全配置錯誤是最常見的安全問題,這通常是由于不安全的預設配置、不完整的臨時配置、開源雲存儲、錯誤的HTTP标頭配置以及包含敏感資訊的詳細錯誤資訊所造成的。是以,我們不僅需要對所有的作業系統、架構、庫和應用程式進行安全配置,而且必須及時修補和更新它們。
A7:2017-跨站腳本:當應用程式的新網頁中包含不受信任的、未經恰當驗證或轉義的資料時,或者使用可以建立HTML或Javascript的浏覽器API更新現有的網頁時,就會出現XSS缺陷。XSS讓攻擊者能夠在受害者的浏覽器中執行腳本,并劫持使用者會話,破壞網站或将使用者重定向到惡意站點
A8:2017-不安全的反序列化:不安全的反序列化會導緻遠端代碼執行,即使反序列化缺陷不會導緻遠端代碼執行,攻擊者也可以利用它們來執行攻擊,包括:重播攻擊、注入攻擊和特權更新攻擊。
A9:2017-使用含有已知漏洞的元件:元件(例如:庫、架構和其他軟體子產品)擁有和應用程式相同的權限。如果應用程式中含有已知漏洞的元件的應用程式和API可能會破壞應用程式防禦、造成各種攻擊并産生嚴重影響。
A10:2017-不足的日志記錄和監控:以及事件響應缺失或無效的內建,使攻擊者能夠進一步攻擊系統、保持持續性或轉向更多系統,以及篡改、提取或銷毀資料。大多數缺陷研究顯示,缺陷被檢測出的時間超過200天,且通常通過外部檢測方檢測,而不是通過内部流程或監控檢測。
滲透測試術語簡介
白帽子:白帽子描述的是正面的黑客。通過技術手段識别計算機系統或網絡系統中的安全漏洞,送出給廠商并提出修複方法。
黑帽子:為了謀取利益而行走在法律邊緣甚至違法亂紀的黑客。
灰帽子:媒體與黑白之間,無法具體的定性。
殭屍電腦:就是傀儡機,可以随意被控制的電腦或伺服器。
木馬:一些用來擷取使用者權限的程式或者代碼段。
後門:為了友善二次進入系統留下的非常隐蔽的後門程式。
shell:指令執行環境,通常所說的拿Shell,就是拿到對方的指令執行環境。
webshell:通過Web入侵的一種腳本工具,可以據此對網站服務進行一定程度的控制。
poc:用來驗證漏洞存在的一段代碼或程式。
EXP:漏洞利用的一段代碼或程式。
Payload:Payload即有效攻擊載荷,可以是一段代碼,被隐藏并且秘密發送的資訊。
WAF:web應用防護系統,也稱之為網站應用級入侵防禦系統。
提權:利用一些手段将低權限提升為高權限,這裡的高權限一般為管理者或系統權限。
API:進階可持續性攻擊,是指組織(特别是政府)或者小團體利用先進的攻擊手段對特定目标進行長期持續性網絡攻擊的供給形式(極強的隐蔽性、潛伏期長、持續性強、目标性強)。
CMS:内容管理系統,可以了解為網站的一種模闆,将一些功能集中控制管理,是網站搭建變得更為快捷。
黑盒測試:即對内部情況一無所知的情況下進行滲透測試或者其他測試。
白盒測試:了解内部系統、結構、源碼的情況下進行滲透測試或其他測試。
灰盒測試:媒體于黑白盒之間的滲透測試或其它測試。
0day:0day漏洞是指負責應用程式的程式員或供應商所未知的軟體缺陷。因為該漏洞未知,是以沒有可用的更新檔程式。
1day:1day剛釋出但是已被發現官方剛釋出更新檔網絡上還是存在大量的Vulnerability。
Nday:Nday已經被公布出來的0day。
Proxy:代理。一類程式或系統,接收來自客戶機算計的流量,并代表用戶端與伺服器互動,代理能用于過濾應用級别的制定類型的流量或緩存資訊以提高性能。許多防火牆依賴代理進行過濾。
加殼/脫殼:“殼”是一段專門負責保護軟體不被非法修改或反編譯的程式,它們一般都是先于程式運作,拿到控制權,然後完成它們保護軟體的任務。加殼就是将軟體源碼保護,脫殼相反。
Shellcode: shellcode是一段用于利用軟體漏洞而執行的代碼,shellcode 為16進制的機器碼,因為經常讓攻擊者獲得shell而得名。
釣鲸攻擊:捕鲸是另一種進化形式的魚叉式網絡釣魚。它指的是針對進階管理人員群組織其他進階人員的網絡釣魚攻擊。通過使電子郵件具有個性化并專門針對相關目标進行定制的攻擊。
水坑攻擊:顧名思義,是在受害者必經之路設定了一個"水坑(陷阱)” 。最常見的做法是,黑客分析攻擊目标的上網活動規律,尋找攻擊目标經常通路的網站的弱點,先将此網站“攻破”并植入攻擊代碼,一旦攻擊目标通路該網站就會“中招”。
橫向移動:在縱向擷取到某個伺服器的權限時,我們可以以該伺服器為跳闆,進行橫向拓展的内網攻擊。
電信詐騙:是指通過電話、網絡和短信方式,編造虛假資訊,設定騙局,對受害人實施遠端、非接觸式詐騙,誘使受害人打款或轉賬的犯罪行為,通常以冒充他人及仿冒、僞造各種合法外衣和形式的方式達到欺騙的目的。
殺豬盤:網絡流行詞,電信詐騙的一種,是一種網絡交友誘導股票投資、賭博等類型的詐騙方式,"殺豬盤” 則是”從業者們”自己起的名字,是指放長線“養豬”詐騙,養得越久,詐騙得越狠。
脫庫:将資料庫中的資料導出。
社工庫:一種黑客将洩露在暗網/公網上的使用者資料整合起來,并用來查詢或者社工的手段的工具。
撞庫攻擊:在擷取到使用者的一組賬号密碼時,嘗試用該賬号登入其他站點/app等。
旁站:同一台伺服器上可能存在其他的站點。
蜜罐:可以聯想為情報收集系統,用來誘導黑客進行攻擊,以此來判斷黑客行為,甚至完成反制。
挂馬:就是在别人的網站檔案裡面放入網頁木馬或者是将代碼潛入到對方正常的網頁檔案裡,以使浏覽者中馬。
網絡釣魚(Phishing):是"Fishing" 和"Phone" 的綜合體,由于黑客始祖起初是以電話作案,是以用"Ph” 來取代“F”,創造了"Phishing" 。然而,當今的“網絡釣魚"攻擊利用欺騙性的電子郵件和僞造的Web站點來進行詐騙活動,受騙者往往會洩露自己的财務資料,如信用卡号、賬戶使用者名、密碼和社保編号等内容。
cc攻擊:攻擊者借助代理伺服器生成指向受害主機的合法請求,實作DDOS和僞裝就叫: CC(Challenge Collapsar)CC主要是用來攻擊頁面的。
Dos攻擊:拒絕服務攻擊。攻擊者通過利用漏洞或發送大量的請求導緻攻擊對象無法通路網絡或者網站無法被通路。
DDos攻擊:分布式DOS攻擊,常見的UDP、SYN、 反射放大攻擊等等,就是通過許多台殭屍電腦一起向你發送一些網絡請求資訊,導緻你的網絡堵塞而不能正常上網。
抓雞:利用漏洞或其他手段批量的在公網上擷取存在漏洞的主機,将其淪為殭屍電腦。
C2:C2全稱為CommandandControl, 指令與控制,常見于APT攻擊場景中。作動詞解釋時了解為惡意軟體與攻擊者進行互動,作名詞解釋時了解為攻擊者的“基礎設施”。
魚叉攻擊:魚叉攻擊是将用魚叉捕魚形象的引入到了網絡攻擊中,主要是指可以使欺騙性電子郵件看起來更加可信的網絡釣魚攻擊,具有更高的成功可能性。不同于撒網式的網絡釣魚,魚叉攻擊往往更加具備針對性,攻擊者往往"見魚而使叉"。
黑産:網絡黑産,指以網際網路為媒介,以網絡技術為主要手段,為計算機資訊系統安全和網絡空間管理秩序,甚至國家安全、社會政治穩定帶來潛在威脅(重大安全隐患)的非法行為。例如非法資料交易産業。
紅隊:通常指攻防演習中的攻擊隊伍。
藍隊:通常指攻防演習中的防守隊伍。
紫隊:攻防演習中新近誕生的一方,通常指監理方或者裁判方。
IDS:入侵檢測系統,用于在黑客發起進攻或是發起進攻之前檢測到攻擊,并加以攔截。IDS是不同于防火牆。防火牆隻能屏蔽入侵,而IDS卻可以在入侵發生以前,通過一些資訊來檢測到即将發生的攻擊或是入侵并作出反應。
IPS:IPS全稱為Intrusion-PreventionSystem, 即入侵防禦系統,目的在于及時識别攻擊程式或有害代碼及其克隆和變種,采取預防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵預防系統一 般作為防火牆和防病毒軟體的補充來投入使用。
堡壘機:運用各種技術手段監控和記錄運維人員對網絡内的伺服器、網絡裝置、安全裝置、資料庫等裝置的操作行為,以便集中報警、及時處理及審計定責。
VPN:虛拟專用網,在公用網絡上建立專用網絡,進行加密通訊,通過對資料包的加密和資料包目标位址的轉換實作遠端通路。
科學上網:fq,翻越c防火牆,通路國外外網,實際上是一種不合法的行為。
CTF(奪旗賽):CTF (CaptureThe Flag)中文一般譯作奪旗賽,在網絡安全領域中指的是網絡安全技術人員之間進行技術競技的一種比賽形式。
awd攻防對抗賽:AWD(AttackWithDefense, 攻防兼備)模式是一個非常有意思的模式,你需要在一場比賽裡要扮演攻擊方和防守方,攻者得分,失守者會被扣分。也就是說,攻擊别人的靶機可以擷取Flag分數時,别人會被扣分,同時你也要保護自己的主機不被别人得分,以防扣!
想要學習更多技術技巧找下方小姐姐領取資料