除Web應用漏洞外,還包括但不限于以下所有:
SQL注入漏洞,支持基于GET、POST方式提交的應包括字符、數字和搜索等的注入漏洞;
Cookie注入漏洞,支持基于Cookie方式提交的應包括字符、數字和搜索等的注入漏洞;
XSS漏洞,支持基于GET、POST、Referrer和Cookie方式的跨站攻擊漏洞;
信息泄漏漏洞,支持路徑泄漏、文件備份、源代碼泄漏、目錄瀏覽和phpinfo等信息泄漏;
認證方式脆弱,包括但不限于各種登錄繞過、弱口令等;
文件包含漏洞,支持遠程、本地方式的文件包含漏洞;
第三方組件漏洞,如Struts2、FCKeditor編輯器等;
企業網絡安全建設穩定階段包括以下工作:
部署終端安全管控和上網行為管控系統,針對不同的業務部門或崗位職責設置設置不同的安全策略,尤其是掌握高密級數據或核心資料的人員(如財務、高管、運維、人力、開發等)。
采用網絡準入和域控對接入企業內部網絡進行限制,防止非法人員非法接入企業內網進行滲透和數據盜取。
對數據各生命周期(數據采集、數據傳輸、數據處理、數據分析、數據共享、數據銷毀)階段進行安全防護,開展SDLC活動,保證數據安全。
對整體網絡架構和業務系統及數據系統進行優化,設置冗余架構和備份容災系統,包括:電力、網絡線路、服務器、應用系統、數據備份。
考慮安全審計功能,開啟設備或系統本身的審計功能以及部署專門的審計設備,對進出網絡的流量和行為進行審計,保證發生安全事件后能夠溯源追蹤,同時為下一階段做態勢感知、威脅情報和大數據分析提供基礎數據。
關注安全動態,特別是已公布的漏洞、病毒預警等信息,進行驗證和復盤,同時對標企業自身進行檢查和防護。
建立攻防演練平臺,開展紅藍對抗。目的是提高內部人員安全技術能力的同時也提高業務系統的安全性,培養人員和發現安全風險一舉兩得。
制定應急預案,并定期進行應急演練,包括模擬實際業務中斷和沙盤推演或桌面演練。
大數據平臺安全關鍵技術有:
使用用戶ID和密碼的傳統驗證方式不足以抵御云計算環境中復雜的攻擊方式,多因子認證在傳統標準安全憑證的基礎上附加使用多種安全憑證,進一步加強認證的安全性。
適用于大數據細粒度訪問控制需求的方案主要有兩種:基于屬性加密的訪問控制和基于角色的訪問控制。
數據加密的一個重要問題是如何對密文數據進行處理。同態加密和可搜索加密為此問題提供了解決方案。
目前,大數據平臺主要通過審計日記記錄平臺中所有數據操作。
數據庫服務器漏洞掃描工具有以下這些:
Scuba
Scuba是Imperva公司提供的一款免費數據庫安全軟件工具,該工具可掃描世界領先的企業數據庫,以查找安全漏洞和配置缺陷(包括修補級別)。報表提供可據此操作的信息來降低風險,定期的軟件更新會確保 Scuba 與新威脅保持同步。Scuba 針對 Oracle Database、Microsoft SQL Server、SAP Sybase、IBM DB2、Informix 和 MySQL 提供了接近 1200 次評估測試。
AppDetectivePro
AppDetectivePro是Application Security Inc開發的一款基于網絡的脆弱性評估掃描數據庫應用程序的工具。AppDetectivePro使用業界最佳做法和行之有效的安全方法,找出、審查、報告和修補程序的安全漏洞和錯誤配置,以保護組織從內部和外部數據庫的威脅。
Nmap
Nmap是一個免費開源的網絡連接端掃描工具,許多系統和網絡管理員常用它掃描計算機開發的網絡連接端,確定哪些服務運行在哪些連接端、正在運行的是哪種操作系統、正在使用的是哪種類型的防火墻等。另外,也常被用來評估網絡系統的安全,可以說是網絡管理員必備管理工具之一。
Zenmap
最好用的免費網絡安全工具之一,通過GUI使所有Nmap(network mapper,用于網絡發現和安全審計)功能更易于實現。為初學者設計,同時為Nmap老兵提供高級功能。Zenmap將保存常用的掃描配置文件作為模板,從而方便掃描設置。掃描結果可以通過一個可搜索的數據庫保存,以便跨時間對比分析。它還包含一些非常重要的特性,如掃描和檢測數據庫實例和漏洞。
BSQL Hacker
BSQL Hacker是由Portcullis實驗室開發的一個SQL自動注入工具(支持SQL盲注),其設計的目的是希望能對任何的數據庫進行SQL溢出注入。BSQL Hacker的適用群體是那些對注入有經驗的使用者和那些想進行自動SQL注入的人群。BSQL Hacker可自動對Oracle和MySQL數據庫進行攻擊,并自動提取數據庫的數據和架構。
SQLRECON
SQLRECON是一個數據庫發現工具,執行網絡主動和被動掃描來識別SQL Server實例。由于個人防火墻的擴散,不一致的網絡庫配置以及多實例支持,SQL Server安裝開始變得越來越難發現、評估和維護。SQLRecon旨在解決這一問題,通過將所有已知的SQL Server/MSDE發現方式融入一個單一的工具,來查明你從不知曉的存在你的網絡中的服務器,由此你可以給予他們適當的保護。
使用漏洞庫匹配的掃描方法能發現數據庫中未知的漏洞,通過這種方法可以發現數據庫或系統中未知的漏洞,因為漏洞庫中一般存有大量的漏洞標識,用這些漏洞標識和你所使用的數據庫系統進行比較,則會比較出從未發現的漏洞,但該種方法的缺點就是如果漏洞庫中沒有該漏洞則無法發現數據庫中的漏洞。
漏洞庫中的數據一般來自以下網站:
中國國家信息安全漏洞共享平臺
中國國家信息安全漏洞庫CNNVD
美國國家漏洞庫
美國國家信息安全應急小組
國際權威漏洞機構Secunia
國際權威漏洞庫SecurityFocus
IBM網絡安全漏洞庫Xforce
國內權威漏洞庫
計算機病毒產生的原因不外乎以下幾種:
病毒制造者對病毒程序的好奇與偏好:一些程序設計者出于好奇或興趣,也有的是為了滿足自己的表現欲或者一些搞計算機的人員和業余愛好者的惡作劇、尋開心故意編制出一些特殊的計算機程序。這些程序讓別人的計算機出現一些動畫,或播放聲音,或別的惡作劇,以顯示自己的才干。而這種程序流傳出去就演變成了計算機病毒,此類病毒破壞性一般不大。例如,像圓點一類的良性病毒。
軟件公司及用戶為保護自己的軟件被非法復制而采取的報復性懲罰措施:因為他們發現對軟件上鎖,不如在其中藏有病毒對非法復制的打擊大。于是就運用加密技術編寫一些特殊程序附著在正版軟件上,如遇到非法使用,則此類程序自動被激活,于是又會產生一些新病毒,如巴基斯坦病毒。這更加助長了各種病毒的傳播。
蓄意進行破壞:旨在攻擊和摧毀計算機信息系統和計算機系統而制造的病毒——就是蓄意進行破壞。例如,1987年底出現在以色列耶路撒冷西伯萊大學的猶太人病毒,就是雇員在工作中受挫或被辭退時故意制造的。它針對性強,破壞性大,產生于內部,防不勝防。
用于研究或有益目的而設計的程序:由于某種原因,失去控制或產生了意想不到的效果。
惡作劇心理:編程人員在無聊時互相編制一些程序輸入計算機,讓程序去銷毀對方的程序,如最早的“磁芯大戰”。這樣,新的病毒又產生了。
產生于個別人的報復心理,如臺灣地區的學生陳盈豪,就是屬于這種情況。他以前曾購買了一些殺毒軟件,但是,拿回家使用時發現,并不像廠家所說的那么厲害,殺不了什么病毒,于是他就想親自編寫一個能避過各種殺毒軟件的病毒,這樣,CIH就誕生了。這種病毒對計算機用戶曾造成一度的災難。
由于政治、商業和軍事等特殊目的:一些組織或個人也會編制一些程序用于進攻對方系統,給對方造成災難或直接性的經濟損失。
針對目錄遍歷漏洞的預防措施有以下這些:
在系統開發階段應充分考慮系統的安全性,對目錄遍歷漏洞來說,需對用戶提交的內容進行嚴格的過濾,這里主要指過濾目錄跳轉符,字符截斷符,dir命令等。
系統運維人員需有強烈的安全意識,他們的一舉一動都會影響用戶的個人隱私信息安全。對系統運維人員來說,部署新的業務系統或者安裝新的軟件或應用后應通過web掃描工具積極查找系統是否存在目錄遍歷漏洞,盡可能不要在服務器上安裝與業務不相關的第三方軟件以避免引入目錄遍歷漏洞。除此之外,還應該合理配置web服務器(禁止目錄瀏覽,分配好目錄權限等)并積極關注所使用的各種軟件和應用的版本發布情況,及時升級新的軟件版本。
為更好的保護系統安全,實際生產環境和測試開發環境應該隔離。在生產環境中的任何改動,都需要嚴格遵循變更管理流程,做到執行人、執行時間、執行對象和具體改動均記錄在案,并有企業信息安全部門進行事前審核和事后審計。技術人員一般不要直接調試生產系統,可以在測試環境中調試完成后再更新生產系統,以避免調試過程中開啟某些接口、更改某些配置或者保存某些調試信息造成安全隱患。如果非要在線調試生產系統,而且需要保存調試信息時,應避免將調試信息直接保存到服務器本地,同時調試完成后應第一時間刪除相關調試信息并恢復系統配置。
進行目錄遍歷攻擊時,攻擊者基本都會使用目錄跳轉符,同時可能配合使用字符截斷符,dir命令等。對專業的安全設備來說通過檢測特定語法下的目錄跳轉符,字符截斷符,以及與查看目錄相關的命令即可識別各種目錄遍歷攻擊。部署專業的安全設備不僅可以很好的保護業務系統自身的目錄遍歷漏洞,同時還能防御web服務器和服務器上其他非業務相關的第三方應用漏洞引發的目錄遍歷攻擊。目前華三通信發布的SecPathIPS系列產品采用特有技術,能夠智能有效的識別各種編碼方式的目錄遍歷攻擊。
一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火墻一身上。
如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隱私是內部網絡非常關心的問題,一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息,這樣一臺主機的域名和IP地址就不會被外界所了解。
除了安全作用,防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
關閉防火墻對個人用戶來說是沒有危害的但如果是企業則會有一定的危害,因為正常個人用戶不只是安裝防火墻這一個軟件同時還會安裝殺毒軟件,如果計算機里沒有很重要的文件,也是不用擔心會有黑客或者病毒入侵什么。但是企業如果關閉防火墻則網絡中最重要的屏障消失了,很多中小型的企業的網絡安全防護主要是靠防火墻,如果關閉則將整個企業的網絡環境公之于眾,所以關閉防火墻對個人是沒有影響但對企業會產生影響。
對于個人而言:
個人防火墻即Windows防火墻,主要是為了防止黑客攻擊電腦,關閉防火墻受攻擊的幾率會增大,但一般情況,個人電腦不會受到攻擊,win系統防火墻建議是開啟的,防火墻對于每個用戶保護電腦信息安全是重要的,開啟防火墻可以設置相應的入站出站規則管理應用程序,可以開啟白名單管理訪問鄧麗確保安全。注意:部分殺毒軟件會自動禁用Windows防火墻,這是正常現象,遇到此類情況,建議檢查殺毒軟件的防火墻模塊是否正常開啟,如若開啟,則可以關閉Windows防火墻。
對于企業而言:
對企業來說如果關閉是有一定的危害的,企業級別的防火墻一般是網絡安全的屏障防火墻是設在外網和內網,專用網和公共網之間的關卡,沒有符合應用協議的數據和流量是無法通過的,這樣就可以有效地過濾掉對企業來說不安全的因素,凈化企業的網絡環境。如果企業關閉防火墻會導致無法監控計算機和其網絡活動也無法提升網絡安全環境。
KVM 的優勢包括以下七點:
更低的總擁有成本,從而省下運營預算,用來探索現代化創新技術。
不再受供應商捆綁。無需為不用的產品付費,也不會受到軟件選擇限制。
跨平臺互操作性:KVM 可以在 Linux 和 Windows 平臺上運行,所以你可以充分利用現有的基礎架構投資。
出色簡便性:可以通過單個虛擬化平臺,在數百個其他硬件或軟件上創建、啟動、停止、暫停、遷移和模板化數百個虛擬機。
卓越性能:應用在 KVM 上的運行速度比其他虛擬機監控程序都快。
開源優勢:不但能訪問源代碼,還能靈活地與各種產品集成。
享受 Linux 操作系統的現有功能:
安全防護功能
內存管理
進程調度器
設備驅動程序
網絡堆棧
基于主機的入侵檢測系統的不足:
會降低應用系統的性能:基于主機的入侵檢測系統安裝在需要保護的設備上,這樣會在一定程度上加重被保護主機的負擔,影響受保護主機的性能。舉例來說,當一個數據庫服務器需要保護時,就要在服務器上安裝入侵檢測系統,使本來已不堪重負的數據庫服務器負荷更大,影響數據庫服務器的性能發揮。
依賴于服務器原有的日志與監視能力:基于主機的入侵檢測系統是依賴于服務器固有的日志與監視能力的,如果服務器沒有配置日志功能,則必須重新配置,這將會給運行中的業務系統帶來不可預見的性能影響。
代價較大:全面布署基于主機的入侵檢測系統代價較大,企業中很難將所有主機用基于主機的入侵檢測系統保護起來,只能選擇部分主機保護。那些未安裝基于主機的入侵檢測系統的機器將成為保護的盲點,入侵者可利用這些機器達到攻擊目標。
不能對網絡進行監測:基于主機的入侵檢測系統除了監測自身的主機以外,根本不監測網絡上的情況。
配置和維護困難:每臺被檢測的主機上都需要安裝檢測系統,每個系統都有維護和升級的任務,安裝和維護需要一筆不小的費用。
存在被關閉的可能:由于基于主機的入侵檢測系統安裝在被檢測的主機上,因此有權限的用戶或攻擊者可以關閉檢測程序以使自己的行為在系統中沒有記錄,進而來逃避檢測。
存在數據欺騙問題:攻擊者或有權限的用戶可以插入、修改或刪除審計記錄,逃避基于主機的入侵檢測系統的檢測。
實時性較差:基于主機的入侵檢測系統進行的多是事后檢測,因此,當發現入侵時,系統多數已經遭到了破壞。
緩沖區數據淹沒情況有以下這些:
淹沒了其他的局部變量。如果被淹沒的局部變量是條件變量,那么可能會改變函數原本的執行流程。這種方式可以用于破解簡單的軟件驗證。
淹沒了ebp的值。修改了函數執行結束后要恢復的棧指針,將會導致棧幀失去平衡。
淹沒了返回地址。這是棧溢出原理的核心所在,通過淹沒的方式修改函數的返回地址,使程序代碼執行“意外”的流程。
淹沒參數變量。修改函數的參數變量也可能改變當前函數的執行結果和流程。
淹沒上級函數的棧幀,情況與上述4點類似,只不過影響的是上級函數的執行。當然這里的前提是保證函數能正常返回,即函數地址不能被隨意修改。
利用各種惡意軟件修改瀏覽器、鎖定主頁或不停彈出新窗口,強制用戶訪問某些網站,從而造成用戶流量損失的情形。流量劫持是一種古老的攻擊方式,比如早已見慣的廣告彈窗等,很多人已經對此麻木,并認為流量劫持不會造成什么損失。而事實上,流量劫持可以通過多種你無法覺察的方式竊取信息。
“偽裝”成支付寶的“FakeAlipay”,在收到美團發來的訂單信息后,生成了一個和支付寶一樣的登陸界面,用戶在輸入帳號密碼后,FakeAlipay 會把帳號密碼以及訂單信息發送到黑客的服務器上,黑客獲得這些信息后可以在自己的 iOS 設備上完成支付,并把支付成功的 URL Scheme 信息發回給 FakeAlipay,FakeAlipay 再把支付成功的 URL Scheme 信息轉發給美團。這樣就完成了一次被劫持的支付。
一般來說釣魚網站也叫仿冒網站phishing 發音為“fishing”,通常喜歡模仿購物類網站, 通過DNS劫持將用戶帶入一個模仿站內,其URL和真實網站非常相似,僅有細微差別,不認真細看根本辨別不出來。
針對網站域名解析結果劫持的事件頻頻發生,您的用戶訪問到的將不再是您的頁面,嚴重影響您的網站訪問體驗,將給你的業務帶來損失。
網絡漏洞掃描手段為解決以下問題:
資產掃描:也叫資產核查,主要以發現企業內部資產和互聯網暴露面為主。現在,資產掃描在很多情況下都已經包括在漏洞掃描范圍內,不過,因為這個環節非常重要,所以此處還是把它單獨列出來。
資產重要度:為了達到這個小目標,企業需要回答一些問題。例如,企業中有哪些資產?企業的核心資產是什么。
漏洞嚴重度:企業不僅需要對資產有全面的了解,還需要對每種資產的漏洞、脆弱性有全面的了解,其中包括每個漏洞的嚴重程度等。
網絡暴露度:除此之外,企業還需要了解資產在互聯網的暴露程度,也就是通過互聯網能夠直接訪問的程度。通常來講,企業資產在互聯網上暴露度越高,企業的安全風險也就越高;反之,企業資產如果處在一個與互聯網隔離的網段,那么企業的安全風險也就相對低很多。
風險優先級:基于對以上3方面因素的綜合考慮,可以梳理出企業面臨的各種安全風險,并排列出風險優先級。根據安全風險的具體內容及優先級別,采用不同的方式進行處理,例如接受風險、避免風險、控制風險、轉移風險等。
信息系統根據業務、管理方式和安全等級的不同,通常可以劃分為多個區域,這些區域或多或少都有與其他區域相連接的邊界。保護區域邊界關注的是如何對進出這些區域邊界的數據流進行有效的控制與監視。要合理地將信息系統根據業務、管理方式和安全等級劃分不同的安全區域。
