以下是以mysql數據庫和BinLog方法進行數據庫安全審計，配置和驗證過程如下：

1. 創建審計用的數據庫和表(這里是測試所以自建數據庫和表)；

   

2. 創建具有操作auditdb數據權限的用戶，如果已經有用戶，需要對現有用戶添加操作auditdb的權限；

   

3. 設置init_connect，并重啟MySQL數據庫在初始化參數文件[mysql]部分添加如下內容；

    <pre style="margin: 0px; padding: 0px; max-width: 100%; box-sizing: border-box !important; word-wrap: break-word !important; font-size: inherit; color: inherit; line-height: inherit;">
    1log-bin=mysql-bin #開啟Binlog
    2init_connect='insert into auditdb.accesslog(connectionid, connectionuser,logintime) values(connection_id(),user(),now());' #設置初始化連接參數
    </pre>

4. 用user1用戶登錄，執行一些寫入和刪除的操作；

   

5. 用mysqlbinlog工具查看BinLog：根據delete操作找到相應的ThreadId,而后在前面創建的審計日志表auditdb.accesslog里面根據ThreadID找到用戶登錄信息，從Binlog中可以得知這個刪除操作是user1用戶在本機執行的操作。

   

滲透測試前注意事項如下：

• 工作時全部操作均在虛擬機中完成；

• 虛擬機中不登陸個人帳號，如QQ、微信、網盤、CSDN等；

• 滲透環境、開發環境、調試環境需要分開，從目標服務器上下載的程序需要在單獨的環境中測試運行；

• 滲透虛擬機中全程使用代理IP上網；

• 物理機必須安裝安全防護軟件，并安裝最新補丁，卸載與公司相關的特定軟件；

• fofa、cmd5、天眼查等第三方工具平臺帳號密碼不得與公司有關，云協作平臺同理；

• RAT使用CDN保護的域名上線；

• 盡量不使用公司網絡出口，可以使用移動4G網卡，然后虛擬機再連代理。

爬蟲是什么：網絡爬蟲（又被稱為網頁蜘蛛、網絡機器人），是一種按照一定的規則，自動地抓取萬維網信息的程序或者腳本。又被稱為網頁蜘蛛， 聚焦爬蟲， 網絡機器人。在FOAF社區中間， 更經常的稱為網頁追逐者，另外一些不常使用的名字還有螞蟻、自動索引、模擬程序或者蠕蟲。

爬蟲工作原理：網絡爬蟲系統一般會選擇一些比較重要的、出度(網頁中鏈出超鏈接數)較大的網站的URL作為種子URL集合。以這些種子集合作為初始URL， 開始數據抓取。

爬蟲工作流程：

1) 將這些種子URL集合放入待抓取URL隊列。

2) 從待抓取URL隊列中， 取出待抓取URL， 解析DNS， 并且得到主機的ip， 并將URL對應的網頁下載下來， 存儲進已下載網頁庫中。此外， 將這些URL放進已抓取URL隊列。

3) 分析已抓取URL隊列中的URL， 分析其中的其他URL， 并且將URL放入待抓取URL隊列，從而進入下一個循環。如此反復進行，直到遍歷了整個網絡或者滿足某種條件后，才會停止下來。

根據用戶指令或設置爬取網頁數據可以通過網頁采集器實現，網頁采集器也是爬蟲的一種，常用的采集器推薦八爪魚、火車頭等。

一般將流氓軟件分為以下類型：

• 強制安裝的惡意共享軟件：惡意共享軟件（malicious shareware）是指某些共享或者免費軟件在未經用戶允許或授權的情況下，采用不正當的方式，利用強制注冊功能或者采用誘騙、試用等手段將該軟件所捆綁的各類惡意插件強制安裝在用戶的計算機上，并且利用一些技術手段阻止軟件被卸載。凡是具有以上行為特征的軟件都可以算為此類。

• 廣告軟件：廣告軟件（Adware）通常捆綁在免費或共享軟件中，在用戶使用共享軟件時，廣告軟件也同時啟動，頻繁彈出各類廣告，進行商業宣傳。一些免費軟件通常使用此方法賺取廣告費。頻繁出現的廣告會消耗用戶的系統資源，影響頁面刷新速度。還有一些軟件在安裝之后會在IE瀏覽器的工具欄位置添加廣告商的網站鏈接或圖標，一般用戶很難清除。

• 間諜軟件及行為記錄軟件：間諜軟件（Spyware）實際上具有木馬病毒的特征，此類軟件通常和行為記錄軟件（Track Ware）一起，在用戶不知情的情況下在系統后臺運行，竊取并分析用戶隱私數據，記錄用戶電腦使用習慣及網絡瀏覽習慣等個人行為。一些軟件會在后臺記錄用戶訪問過的網站并加以分析，根據用戶訪問過的網站判斷用戶的愛好，然后根據用戶愛好彈出不同的廣告程序。此類軟件危及用戶隱私，可能被黑客利用以進行網絡詐騙。

• 瀏覽器劫持軟件：瀏覽器劫持（Browser Hijack）是一種惡意程序，它通過DLL插件、BHO、Winsock LSP等形式對用戶的瀏覽器進行篡改。這類軟件多半以瀏覽器插件的形式出現，用戶一旦中招，其所使用的瀏覽器便會不聽從命令，而是自動轉到某些商業網站或惡意網頁。同時，用戶會發現自己的IE收藏夾里莫名其妙的多出很多陌生網站的鏈接。

避免流氓軟件的侵害的方法有以下這些：

• 不要登錄不良網站。如色情網站、賭博網站等，這些網站往往不僅含有流氓軟件程序，還會帶有很多木馬及腳本病毒。

• 慎重下載網絡上提供的免費軟件和共享軟件，下載前一定仔細閱讀相關的用戶協議及安裝說明。如果遇到權益被侵犯的情況，應立即向有關部門舉報。

• 安裝軟件時應仔細閱讀軟件附帶的用戶協議及使用說明，有些軟件在安裝的過程中會以不引起用戶注意的方式提示用戶要安裝流氓軟件，這時如果用戶不認真看提示的話，就會安裝上流氓軟件，由于這是用戶自己選擇的，因此，用戶不會受到保護。

• 使用適當的網絡安全產品，抵御流氓軟件的侵害。

• 在安裝操作系統后，應該先上網給系統打補丁，補住一些已知漏洞，這樣能夠避免利用已知漏洞的流氓軟件的駐留。

• 如果用戶使用IE瀏覽器上網，則應該將瀏覽器的安全級別調到中高級別，或者在自定義里，將ACTIVEX控件、腳本程序都禁止執行，這樣能夠防止一些隱藏在網頁中的流氓軟件的入侵。

物聯網CA安全基礎設施包括以下基本功能：

• 認證中心（AuthDB）：存儲企業用戶目錄，完成對用戶身份、角色等信息的統一管理。

• 授權和訪問管理系統（AAMS）：用戶的授權、角色分配；訪問策略的定制和管理；用戶授權信息的自動同步；用戶訪問的實時監控、安全審計。

• 身份認證服務（AuthService、AuthAgent）：身份認證前置（AuthAgent）為應用系統提供安全認證服務接口，中轉認證和訪問請求；身份認證服務（AuthService）完成對用戶身份的認證和角色的轉換。

• 訪問控制服務（AccsService、UIDPlugIn）：應用系統插件（UIDPlugIn）從應用系統獲取單點登錄所需的用戶信息；用戶單點登錄過程中，生成訪問業務系統的請求，對敏感信息加密簽名。

• CA中心及數字證書網上受理系統：用戶身份認證和單點登錄過程中所需證書的簽發；用戶身份認證憑證（USB智能密鑰）的制作。

常見的近源攻擊有以下這些：

• Wi-Fi攻擊：無線Wi-Fi攻擊、Wi-Fi釣魚、無線設備攻擊等。

• 物理攻擊：門鎖攻擊、HID攻擊等。

• 人機接口攻擊：BadUSB、鍵盤記錄器、HDMI嗅探等。

• 藍牙攻擊：藍牙重放攻擊、藍牙DDoS攻擊、藍牙MITM攻擊、藍牙數據嗅探等。

• ZigBee攻擊：ZigBee竊聽攻擊、ZigBee密鑰攻擊等。

windows審計日志主要包括以下這些：

1. 應用程序日志；

   包含由應用程序或系統程序記錄的事件，主要記錄程序運行方面的事件，例如數據庫程序可以在應用程序日志中記錄文件錯誤，程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況，那么我們可以從程序事件日志中找到相應的記錄，也許會有助于你解決問題。

2. 安全日志；

   記錄了諸如有效和無效的登錄嘗試等事件，以及與資源使用相關的事件，例如創建、打開或刪除文件或其他對象，系統管理員可以指定在安全性日志中記錄什么事件。默認設置下，安全性日志是關閉的，管理員可以使用組策略來啟動安全性日志，或者在注冊表中設置審核策略，以便當安全性日志滿后使系統停止響應。

3. setup日志；

   應用程序安裝日志，etup是安裝的意思，.exe是可執行文件的文件后綴，setup.exe是電腦的可執行進程文件，正常情況下setup.exe表示為系統的安裝文件setup.exe，也有的setup.exe是指一些程序的安裝文件。

4. 系統日志；

   系統日志是記錄系統中硬件、軟件和系統問題的信息，同時還可以監視系統中發生的事件。用戶可以通過它來檢查錯誤發生的原因，或者尋找受到攻擊時攻擊者留下的痕跡。

5. Forwarded Events日志。

   Forwarded Events日志，一般指的是轉發事件日志。

大數據安全應用有以下部分：

• 大數據平臺采集系統，采集來自企業總部、各省級分公司的各類數據源，統一匯聚、稽核校驗后分類保存，采集的數據源包括業務平臺、專業公司、網關、網元、外部數據等。

• 大數據平臺核心處理能力系統，根據統一的規則對采集的原始數據進行加工處理，實現高效、透明化的數據處理轉換，形成按照主題域組織的整合層數據和按照客戶和企業管理視角組織的中間層數據。

• 大數據平臺基礎能力系統，作為大數據平臺體系的基礎框架，為其上各個系統提供資源分配及管理、系統監控、調度管理、能力開放等服務。

• 大數據平臺數據管理系統，作為大數據平臺體系的基礎能力，提供大數據平臺內的企業數據管控與管理，包括數據標準、指標庫、數據質量、主數據和調度監控等。

• 大數據平臺安全管理系統，作為大數據平臺體系的基礎能力，提供大數據平臺內的企業數據安全監控與管理，包括數據脫敏、數據加密、數字水印、權限管理和接入管理等。

• 大數據應用，根據應用的需求，基于中間層數據，利用大數據基礎能力所構建的各類數據應用，涵蓋企業決策運營、業務運營、營銷支撐、產品開發等應用。

鑒于不同企業計算機網絡主要應用以及安全需求有所不同，規劃方案中提供3種常用的局域網共享接入Internet方。每一種接入方式支持的用戶并發訪問數量、安全性能有所不同，實現成本也有所不同，適用于不同企業靈活選擇與配置。局域網共享接入Intelnet方式有以下幾種：

• 路由器接入：“路由器+防火墻”的網絡出口部署方式是早期最常用的方案，路由器可以NAT地址轉換功能，充分確保內網服務器的安全。用戶可以通過在路由器上部署訪問列表，嚴格控制內網用戶與Internet之間的數據傳輸。在規模較大的網絡中，還可以通過在出口路由器上創建專用的網絡路由，降低用戶端的訪問延時，提高網絡利用率。路由器畢竟不是專業的網絡安全設備，因此用戶還必須購置網絡防火墻，部署在路由器的局域網接口處。這種接入方案的主要特點就是：網絡架構完整但耗資大，適用于大型企業網絡。

• 網絡防火墻接入：防火墻本身就是專業的網絡安全設備，可以有效阻止網絡攻擊、過濾數據包和隔離網絡訪問。由于防火墻本身自帶多個以太網接口，可以同時連接多個網絡，并且防火墻本身的訪問規則設置即可對連接網絡之間的訪問進行控制，因此，完全可以在網絡出口處部署防火墻，用于局域網的共享接入。目前，大多數網絡防火墻產品都提供混合模式的Internet接入方式，即一臺防火墻可同時工作在路由和透明模式下，便于接入各種復雜的網絡環境以滿足企業網絡多樣化的部署需求。

• 代理服務器接入:代理防火墻方案顧名思義就是通過在網絡出口處的服務器上部署代理服務器軟件，達到局域網共享接入Internet的目的。本例中使用Microsoft公司著名的網絡邊緣安全產品（Forefront TMG）作為代理服務器軟件。Forefront TMG服務器，可以提供網絡防火墻、Web訪問緩存、安全VPN接入等功能。

預防嗅探器攻擊的措施有以下這些：

• 使用安全的拓撲結構：嗅探器只能在當前網絡段上進行數據捕獲。這就意味著，將網絡分段工作進行得越細，嗅探器能夠收集的信息就越少。但是，除非你的公司是一個ISP，或者資源相對不受限制，否則這樣的解決方案需要很大的代價。網絡分段需要昂貴的硬件設備。有三種網絡設備是嗅探器不可能跨過的：交換機、路由器、網橋。我們可以通過靈活的運用這些設備來進行網絡分段。

• 對會話加密：會話加密提供了另外一種解決方案。不用特別地擔心數據被嗅探，而是要想辦法使得嗅探器不認識嗅探到的數據。這種方法的優點是明顯的即使攻擊者嗅探到了數據，這些數據對他也是沒有用的。

• 用靜態的ARP或者IP-MAC對應表代替動態的：該措施主要是進行滲透嗅探的防范，采用諸如ARP欺騙手段能夠讓入侵者在交換網絡中順利完成嗅探。網絡管理員需要對各種欺騙手段進行深入了解，比如嗅探中通常使用的ARP欺騙，主要是通過欺騙進行ARP動態緩存表的修改。在重要的主機或者工作站上設置靜態的ARP對應表，比如Win2000系統使用arp命令設置，在交換機上設置靜態的IP-MAC對應表等，防止利用欺騙手段進行嗅探。

• 物理防范：入侵者要讓嗅探器發揮較大功效，通常會把嗅探器放置在數據交匯集中區域，比如網關、交換機、路由器等附近，以便能夠捕獲更多的數據。因此，對于這些區域就應該加強防范，防止在這些區域存在嗅探器。

• 建設完善的安全制度：除網絡管理員外其他人員禁止在網絡中使用任何嗅探工具，是完全有必要的。這能從制度上明確限制一些工作站主動使用嗅探器的情況。對于網絡管理員來說更重要的是要建立安全意識，了解你的用戶，定期檢查你網絡中的重點設備，如服務器、交換機、路由器。對用戶要定期發送安全郵件，發送郵件是讓用戶具有安全意識。管理意識是提高安全性的另一個重要因素。

• 使用VLAN隔離：利用VLAN技術將連接到交換機上的所有主機進行邏輯分開，將他們之間的通信變為點到點的通信方式。

• 保護好個人信息：平時要做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感的私人信息保護。

• 提高安全意識如果早上起來，看到半夜收到奇怪的驗證碼短信，一定要想到可能是遇到短信嗅探攻擊，如果發現錢被盜刷了，火速凍結銀行卡，保留短信內容，報警。

1.打開Win10設置

打開開始菜單進入Windows設置。

2.進入安全中心

進入更新和安全->Windows安全中心。

3.關閉實時防護篡改保護

在病毒和威脅防護中關閉實時防護和篡改保護兩項。

4.打開組策略

按下快捷鍵：Windows+R，打開運行對話框輸入gpedit.msc，點擊確定打開組策略。

5.打開防病毒程序

依次點擊展開“計算機配置”——“管理模板”——“Windows組件”——“Windows Defender 防病毒程序”。

6.啟用關閉防病毒程序

右側雙擊“關閉 Windows Defender 防病毒程序”，然后在彈出對話框中選擇“已啟用”，然后點擊確定即可。

信息安全工程提供安全輸入過程中有以下基本實施：

• 理解安全輸入需求：此項活動要求安全工程組人員與整個工程的設計人員、開發人員和用戶合作，以確保有關各方對安全需求達成共識。安全輸入包括任何種類的與安全相關的指南、設計、文檔或思想。

• 確定安全約束和需要考慮的問題：此項活動的目的是識別所有的安全約束條件和需要注意的事項，以做出正確的工程選擇。安全工程組分析并確定在需求、設計、實現、配置和文檔編制方面的任何安全限制及所要考慮的問題。可以在系統生命周期的任何時候、在不同的抽象層次上識別約束條件。約束條件可以是肯定性的，即一定要怎樣做，也可以是否定性的，即絕不能怎樣做。

• 制定安全候選解決方案：此項活動的目的是識別與安全有關的工程問題的候選解決方案。這個過程需要反復進行以把安全需求轉換成各種實現。解決方案可以采用多種表現形式，如體系結構、模型和原型等。此項活動涉及對與安全需求進行分解、分析和重組，直到制定出有效的解決方案。

• 分析工程可選方案的安全性：此項目活動的目的是分析工程候選方案并且排定優先順序。這要求安全工程師利用已識別的安全約束和考慮，評估每個工程候選方案并提出建議。

• 為工程組提供安全工程指南：此項活動的目的是制定與安全相關的指南并且提供給整個工程組。工程組使用安全工程指南決定有關體系結構、設計和實現的選擇。安全工程指南包括體系結構、設計、實現、安全體系結構等方面的建議，以及設計標準、原理和編碼規范等。

• 為運行系統的用戶和管理員提供安全指南：此項活動的目的是制定與安全相關的運行指南并且提供給系統用戶和管理員。運行指南通常包括管理員手冊、用戶手冊、安全概述（安全環境、安全目標、安全要求和安全基本原理等）和系統配置說明書等。

數據庫自身安全問題有以下這些：

• 默認、空白密碼或者弱密碼：這種類型漏洞本身不是數據庫自身的問題，而是使用者或者說是開發者沒有對用戶注冊時進行驗證導致產生這種漏洞；

• SQL注入：指web應用程序對用戶輸入數據的合法性沒有判斷或過濾不嚴，攻擊者可以在web應用程序中事先定義好的查詢語句的結尾上添加額外的SQL語句，在管理員不知情的情況下實現非法操作；

• 失效的配置管理：這種漏洞產生原因是數據庫的配置因為沒有及時修改或者更新檢測，導致很多原有配置已經失效，這些失效的配置則會產生相應的漏洞；

• 啟用不必要的數據庫功能：一個數據庫有多種功能，但是開啟多種功能會導致管理不足，這些多余的功能則會因為沒有及時更新或者本身具有缺陷而造成數據庫漏洞；

• 緩沖區溢出：緩沖區溢出是指當計算機向緩沖區填充數據時超出了緩沖區本身的容量，溢出的數據覆蓋在合法數據上；

• 權限提升：指在數據庫因為配置不當或者未及時更新補丁導致攻擊者可以得到數據庫內部管理員信息來提升自身權限；

• 敏感數據未加密：這種漏洞主要是未對數據庫內部的重要數據進行加密，攻擊者可以輕易的破解數據庫獲取內部信息導致數據庫信息泄露危害數據庫安全。

一般來說攻擊者在獲取服務器權限后，會通過一些技巧來隱藏自己的蹤跡和后門文件，但是無非就是這么幾個點，第一就是隱藏文件，使用touch .test.txt命令，touch命令可以創建一個文件，文件名前面加一個點就是代表隱藏文件。剩下還可以通過隱藏權限、隱藏歷史操作命令、對端口復用、進程隱藏等等多種方法來達到目的，如果還有不明白的地方點這里歡迎查看我們社區的文章,文章中詳細解答了如何在linux下隱藏文件或者攻擊手法的辦法希望對你有所幫助。

已經發現還沒被修復的漏洞一般稱之為“0day漏洞”，0day漏洞，是已經被發現(有可能未被公開),而官方還沒有相關補丁的漏洞。信息安全意義上的0Day是指在系統商在知曉并發布相關補丁前就被掌握或者公開的漏洞信息。0Day的概念最早用于軟件和游戲破解，屬于非盈利性和非商業化的組織行為，其基本內涵是“即時性”。

如何處理0day或者Nday漏洞方法如下：

• 作為管理員或用戶，可能無能為力。最好的情況是永遠不要使用未打補丁版本的軟件。這在 Linux 社區中通常很常見，在 Linux 社區中，許多用戶不會安裝.0發行版。相反，他們將等待.1版本（例如Ubuntu 19.10.1）。通過避免最初發布的版本，可能會免受第一批產品中至少任何未發現的0day漏洞的影響。這并不意味著.1版本將修補所有的0day漏洞。如果有的話，甚至在下一個主要版本之前，它們都可能未被發現。經常在新聞中看到存在一段時間的軟件中發現的新漏洞。

• 作為開發人員，最好的辦法是招募盡可能多的版本測試人員。這是開源軟件比專有軟件更具優勢的地方。在源代碼公開的情況下，任何人都可以審查和測試代碼。而且，Beta開源軟件通常面向公眾發布，因此任何人都可以進行測試。另一方面，付費軟件通常不會向公眾發布Beta（當然，也有例外）。當應用程序的beta測試人員數量有限時，發現的bug較少，從而導致0day漏洞的可能性更高。