笔记:Web安全(更新:2017.09.07)

时间  2020-08-05 标签 笔记 web 安全 更新 2017.09.07

做者声明:
1.本文整合了Web安全课程中ppt要点、课堂笔记以及网上的部份内容,原则上禁止转载;
2. 本文仅做为我的笔记,以方便查阅,复习,并无盈利目的;
3. 本文中大多数概念解释直接摘自网上或者上课的ppt,并非原创。程序员

1.CERT/CC 和 CNCERT/CC

  • CERT/CCweb

    • Computer Emergency Response Team/Coordination Center shell

    • 美国计算机紧急事件响应小组协调中心数据库

  • CNCERT/CC安全

    • 中国国家计算机网络应急技术处理协调中心(中国国家互联网应急中心

2. Definition of Information Security

  • What about Security?服务器

    • Security: The quality or state of being secure—to be free from danger.

  • What are the layers of security?网络

    • Physical security session

    • Personal security app

    • Operations security ide

    • Communications security

    • Network security

    • Information security

  • Next, the Information Security means:

    • protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction.

    • 信息安全指保护信息和信息系统免受未经受权的访问、 使用、披露、破坏、修改、审阅、检查/探测、记录或销毁。

    • 通常认为,信息安全主要包括如下五方面的内容:信息的保密性、真实性、完整性、未受权拷贝和所寄生系统的安全性。

    • 信息安全的根本目的是使内部信息不受外部威胁,所以信息通 常要加密;为保障信息安全,要求有信息源认证和访问控制; 还要排除非法软件驻留和非法操做的可能性。

  • Then, We can see the threat to the Information Security:

    • 窃取:非法用户经过数据窃听的手段得到敏感信息。

    • 截取:非法用户首先得到信息,再将此信息发送给接收者。

    • 伪造:将伪造的信息发送给接收者。

    • 篡改:非法用户对合法用户之间的通信信息进行修改,再发送 给接收者。

    • 拒绝服务攻击:攻击服务系统,形成系统瘫痪,阻止合法用户 得到服务。

    • 行为否定:合法用户否定已经发生的行为。

    • 非受权访问:未经系统受权而使用网络或计算机资源。

    • 传播病毒:经过网络传播计算机病毒。

  • In addition,

    • 信息安全覆盖范围普遍,从国家事务的机密安全,到防 范商业企业机密泄露、防范青少年对不良信息的浏览、 防止我的信息泄露等。

    • 网络环境下的信息安全体系是保证信息安全的关键,其 中包括了计算机安全操做系统、安全协议、安全机制 (如 数字签名、信息认证、数据加密) 等,其中任何一个安全 漏洞均可能对全局安全形成威胁。

    • 信息安全服务至少应该包括支持信息网络安全服务的基 本理论,以及基于新一代信息网络体系结构的网络安全 服务体系结构。

  • Information Security, Computer Security and Information Assurance

    • Similarities

      • Protecting the Confidentiality, Integrity and Availabilityof information

    • Differences(注:我以为第一点和第二点表达的是同一个意思)

      • The approach to the subject

      • The methodologies used

      • The areas of concentration

3. Key Concepts of Information Security

  • The value of information comes from the characteristics it possesses :

    • Availability, Accuracy, Authenticity, Confidentiality, Integrity, Utility, Possession

  • CIA triad

    • confidentiality, integrity and availability

    • to be the core principles of information security.

  • Confidentiality

    • Data confidentiality: Assures that confidential information is not disclosed to unauthorized individuals

    • Privacy: Assures that individual control or influence what information may be collected and stored(注:没搞懂这句话的意思,先作个记号)

  • Integrity

    • Data integrity: assures that information and programs are changed only in a specified and authorized manner.

    • System integrity: assures that a system performs its operations in unimpaired (未受损害) manner .

  • Availability

    • Assure that systems works promptly(迅速的) and service is not denied to authorized users

  • Authenticity

    • The property of being genuine and being able to be verified and trusted; confident in the validity of a transmission, or a message, or its originator

  • Accountability

    • Generates the requirement for actions of an entity to be traced uniquely to that individual to support nonrepudiation, deference, fault isolation, etc. (注:没搞懂这句话的意思,先作个记号)

  • 确保信息系统的安全和可靠, 包括:

    • 真实性:判断信息的来源,能对伪造来源的信息予以鉴别

    • 保密性:保证机密信息不被窃听,或机密信息的真实含义不被 窃听者了解

    • 完整性:保证数据的一致性,防止数据被非法用户篡改

    • 可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝

    • 不可抵赖性:创建有效的责任机制,防止用户否定其行为

    • 可控制性:对信息的传播及内容具备控制能力

    • 可审查性:对出现的网络安全问题提供调查的依据和手段

  • Levels of security breach impact (安全事件的影响级别)

    • Low

    • Moderate

    • High

    3. 信息资产

  • 信息资产由两部分组成:

    • 信息资产的载体

    • 附加价值

  • 信息资产的载体

    • 网络资源

    • 硬件

    • 数据和程序

  • 为何要保护信息资产?

    • 保护其信息价值;

    • 保护其价值转移合法性。

      • eg. A 拿了B的钱存入本身的帐号,B的钱转移了,但本身的帐号存款并无增长,故这是一个非法的价值转移。(可用这个例子类比到信息资产价值转移合法性)

4. 挂马(Hang Horse)

所谓的挂马,就是黑客经过各类手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各类方法得到网站管理员帐号,而后登录网站后台,经过数据库“备份/恢复”或者上传漏洞得到一个webshell。利用得到的webshell修改网站页面的内容,向页面中加入恶意转向代码。也能够直接经过弱口令得到服务器或者网站FTP,而后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒 。

5. 拖库

拖库原本是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。

6. 漏洞(System Hole)

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可使攻击者可以在未受权的状况下访问或破坏系统。

  • 利用漏洞攻击的三要素

    • 出现漏洞

    • 被攻击者接触

    • 攻击者有能力利用漏洞

  • 安全漏洞产生的可能缘由:

    • 恶意:程序员留后门(暗号泄露、叛变,后门响应程序给予最高权限)

    • 能力:开发人员能力局限性

    • 硬件 (注:待补充)

7. AAA服务器

AAA是验证、受权和记帐(Authentication、Authorization、Accounting )三个英文单词的简称,是一个可以处理用户访问请求的服务器程序,提供验证受权以及账户服务,主要目的是管理用户访问网络服务器,对具备访问权的用户提供服务。

  • 验证(Authentication): 验证用户是否能够得到访问权限。

  • 受权(Authorization) : 受权用户可使用哪些服务。

  • 记帐(Accounting) : 记录用户使用网络资源的状况。

AAA服务器管住了数据库的入口。

8. User Application Security

  • User Application Security

    • 终端安全

    • 开发商目标代码安全

    • 平台安全

    • apk安全

联系我们 沪ICP备13005482号-10