<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>

    Ta 的創作

    基本資料 Ta 的文章 70 Ta 的話題 4 Ta 的翻譯 0 Ta 的改進 1

    Ta 的互動

    Ta 的回復 681 Ta 的收藏 Ta 的點贊

    Ta 的關系

    Ta 的關注 1 Ta 的粉絲 7

    Simon 的所有回復(681)
    排序:

    評論于 1年前,獲得 0 個贊
    webshell 有哪些類型

    webshell根據功能分為以下類型:

    • 大馬類型:指功能詳細、全面,并且能調用系統關鍵函數同時還能對代碼進行加密隱藏自己的webshell;

    • 小馬類型:指功能較少只能滿足最基本上傳功能,但體積較小適合比較容易的隱藏以為后期上傳大馬做準備的webshell;

    • 一句話類型:指代碼只有一行的webshell,代碼短使用場景較豐富,可以單獨生成文件、插入文件。安全性高,隱藏性強,可變形免殺省去使用命令行以及各種參數配置,可以使用webshell管理工具進行圖形化操作;

    • 打包馬類型:這種類型的webshell上傳后主要將整個網站的所有信息進行打包下載,通過拷貝整個網站后進行分析以發現攻擊點來進行攻擊。

    • 數據庫類型:這種類型的webshell主要針對網站的數據庫,他會導出整個網站的數據庫到攻擊者,攻擊者利用數據庫內的信息對網站實施入侵;

    • 內存馬類型:該類型webshell無文件落地,同時非常難以檢測到并且難以清除,指存儲在系統內存中,系統一旦關閉則該類型webshell消失。

    評論于 1年前,獲得 0 個贊
    云原生面臨的安全問題

    云原生面臨的安全問題可以從容器、編排系統、微服務、服務網格、無服務器計算五個層面分析其安全風險。

    • 容器安全問題

      在云原生環境下,容器作為微服務的主要載體,是底層基礎設施,為適應應用的快速部署和迭代,容器具有數量龐大、生命周期短暫等特點,且在容器的新建和消失過程中用于標識容器IP地址 、名稱等均將發生變化,這對于傳統的基于IP的訪問控制策略是一種極大的挑戰。容器面臨的主要安全挑戰包括:容器鏡像的安全性、容器間流量和訪問控制的復雜性、共享操作系統內核情況下容器逃逸的安全風險、容器安全配置的復雜性、特權容器的權限控制等。

    • 編排系統安全問題

      編排系統是容器的大腦,它可以提供用戶所需的容器部署,管理和擴縮容等編排功能。比如,Kubernetes就是被最為廣泛使用的容器編排系統。編排系統的安全問題同樣對云原生環境影響深遠,其需要考慮的問題主要包括不安全的配置、漏洞利用、敏感數據獲取、橫向移動、遠程控制和持久化駐留等。

    • 微服務安全問題

      微服務就是將單體應用中的不同模塊拆分成微服務,這些微服務都可以獨立部署、運維、升級和擴展,微服務之間通過使用RESTful API進行通信。在云原生環境中,內外網邊界模糊,更多的API會暴露在互聯網上。隨著API暴露面的增加,其被攻擊的風險也大大增加,傳統的南北向防護體系在云原生環境下顯得力不從心。此外,微服務架構增加了服務間的訪問和調用,給東西向流量控制帶來了更大的挑戰。

    • 服務網格安全問題

      服務網格被認為是下一代的微服務架構,其主要對服務進程間的通信進行管理,是云原生的發展和延伸。比如Istio就是一款典型的微服務管理和服務網格框架項目。引入新的技術必然也會帶來新的安全風險,服務網絡面臨的主要安全風險包括:不安全的通信導致的中間人攻擊、東西向和南北向的認證授權和訪問控制不當造成的越權攻擊等。

    • 無服務器計算安全問題

      無服務器計算是指在不考慮服務器的情況下構建并運行應用程序和服務,使開發者無需關注底層基礎設施、設備的管理。無服務器計算并非指沒有服務器,而是指使用者無需關注服務器,而由服務商來對服務器進行管理。Serverless 是新的云原生模式,當然同樣面臨安全問題,主要包括復雜和流動的攻擊面、數據注入、非授權訪問、操作不可見、無法溯源等。

    評論于 11個月前,獲得 0 個贊
    針對黑客常用攻擊的防范技術有哪些

    針對黑客常用攻擊的防范技術有以下這些:

    • 數據加密技術:在計算機上實現的數據加密,其加密或解密變換是由密鑰控制實現的。密鑰是用戶按照一種密碼體制隨機選取的,它通常是一隨機字符串,是控制明文和密文變換的唯一參數。基于密鑰的算法通常分為對稱加密算法和非對稱加密算法。

    • 訪問控制技術:訪問控制技術,指防止對任何資源進行未授權的訪問,從而使計算機系統在合法的范圍內使用。意指用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術,如UniNAC網絡準入控制系統的原理就是基于此技術之上。

    • 身份認證技術:密碼技術除了提供信息的加密解密外,還提供對信息來源的鑒別、保證信息的完整和不可否認等功能,而這三種功能都通過數字簽名實現。數字簽名的原理是將要傳送的明文通過一種函數(Hash)運算轉換成報文摘要(不同的明文對應不同的報文摘要),報文摘要加密后與明文一起傳送給接收方,接收方將接收到的明文產生新的報文摘要與發送方的發來報文摘要解密比較,比較結果一致表示明文未被改動,如果不一致則表示明文已被篡改。

    • 安全內容審計技術:內容審計主要指對與安全有關活動的相關信息進行識別、記錄、存儲和分析;審計結果用于檢查網絡上發生了哪些與安全有關的活動。它通過記錄用戶訪問的所有資源和所有訪問過程,實現對網絡的動態實時監控,為用戶事后取證提供手段,也為信息安全的執法提供依據。

    • 安全監控技術:安全監控技術主要是對入侵行為的及時發現和反應,利用入侵者留下的痕跡(試圖登錄的失敗記錄、異常網絡流量)來有效地發現來自外部或內部的非法入侵;同時能夠對入侵做出及時的響應,包括斷開非法連接、報警等措施。安全監控技術以探測和控制為主,起主動防御的作用。

    • 安全漏洞檢測技術:安全漏洞檢測技術是利用已知的攻擊手段對系統進行主動的掃描,以求及時發現系統漏洞,同時給出漏洞報告,指導系統管理員采用軟件升級或關閉相關服務等手段避免受到這些攻擊。以上是最基本的網絡安全技術,其他的還有SSL、SHTTP、SOCKS、IPSec和SET等多種安全協議和安全技術,均是對這些技術的不同應用和擴展。目前網絡安全產品市場上的主流產品有防火墻、VPN和入侵檢測系統等,它們的功能、對相關攻擊的防范措施各不相同。

    評論于 10個月前,獲得 0 個贊
    關系模型數據庫中的相關因素有哪些

    關系模型數據庫中的相關因素有以下這些:

    • 關系:通俗地講,關系(relation)就是二維表,二維表的名字就是關系的名字。

    • 屬性:二維表中的每個列稱為一個屬性(attribute)(或稱字段),每個屬性有一個名字,稱為屬性名。二維表中對應某一列的值稱為屬性值;二維表中列的個數稱為關系的元數。如果一個二維表有n個列,則稱其為n元關系。

    • 值域:二維表中屬性的取值范圍稱為值域(domain)。例如,“性別”列的取值為“男”和“女”兩個值,這些都是列的值域。

    • 分量:元組中的每一個屬性值稱為元組的一個分量(component),n元關系的每個元組有n個分量。例如,對于元組(0811101,李勇,21,男,計算機系),有5個分量,對應“學號”屬性的分量是“0811101”、對應“姓名”屬性的分量是“李勇”、對應“年齡”屬性的分量是“21”、對應“性別”屬性的分量是“男”,對應“所在系”屬性的分量是“計算機系”。

    • 關系模式:二維表的結構稱為關系模式(relation schema),或者說,關系模式就是二維表的表框架或表頭結構。設有關系名為R,屬性分別為A1,A2,An,則關系模式可以表示為R(A1,A2,…,An)。

    • 主鍵:當一個關系中有多個候選鍵時,可以從中選擇一個作為主鍵(primary key)。每個關系只能有一個主鍵。主鍵也稱為主碼或主關鍵字,是表中的屬性或屬性組,用于唯一地確定一個元組。主鍵可以由一個屬性組成,也可以由多個屬性共同組成。

    • 主屬性和非主屬性:包含在任意候選鍵中的屬性稱為主屬性(primary attribute)。不包含在任意候選鍵中的屬性稱為非主屬性(nonprimary attribute)。

    評論于 10個月前,獲得 0 個贊
    云計算功能架構包括哪些層次

    云計算功能架構包括以下層次:

    • 用戶層:用于各類角色與云架構中下層功能層的交互,這些角色包括云服務客戶中的各類子角色,如云服務使用者,客戶云服務管理者,云服務合作伙伴中的各類子角色,如云服務開發者與云審計者。用戶層用于與云服務提供者設施之間建立安全的通信機制,向云服務提供者發送服務請求,接收云服務結果,執行與客戶相關的管理行為,監控云服務。

    • 訪問層:為訪問服務層的服務能力提供通用的訪問接口。這里支持兩種訪問方式手動訪問和自動訪問。服務能力包括服務運維和業務管理能力。訪問層負責為云服務能力提供一種或多種訪問機制。例如,接入到瀏覽器的一組Web網頁,或一組可以通過編程方式訪問的web服務。訪問層的另一個責任是為接入云服務能力提供適當的安全功能。訪問層通過使用用戶憑證驗證請求,并驗證用戶使用特殊能力的授權。訪問層還需要處理加密和檢查必要地方的請求的完整性。訪問層向訪問層內的組件傳遞經過驗證的組件。

    • 服務層:包含實施云服務提供者提供的服務。服務層包含和控制云服務實施的軟件組件,并安排向用戶接入服務層提供云服務。服務層的業務實現軟件依次依賴于資源和網絡層的可用功能來提供服務并確保任何服務相關的 SLA的要求被滿足,如通過使用足夠的資源。

    • 資源和網絡層:是物理資源所在的地方。它包括數據中心中典型使用的設備,如服務器、網絡交換機、路由器、存儲設備及在服務器上運行的非特定云的軟件,以及其他設備(如主機操作系統、管理程序、設備驅動、通用的系統管理軟件)。資源和網絡層同時代表和覆蓋功能性云傳輸網,該傳輸網需要提供者和用戶之間的底層網絡連接。

    • 跨層功能:可被歸合成子集。以下跨層功能的子集被定義開發功能,集成,安全,運營支撐系統,業務支撐系統。跨層功能包括一系列與其他四層組件相互作用的功能組件來提供支持以下能力運營支撐系統能力,業務支撐系統能力,安全系統能力,集成能力,開發支持能力。

    評論于 3個月前,獲得 0 個贊
    csrf 的攻擊原理是什么

    跨站請求攻擊,簡單地說,是攻擊者通過一些技術手段欺騙用戶的瀏覽器去訪問一個自己曾經認證過的網站并運行一些操作(如發郵件,發消息,甚至財產操作如轉賬和購買商品)。由于瀏覽器曾經認證過,所以被訪問的網站會認為是真正的用戶操作而去運行。這利用了web中用戶身份驗證的一個漏洞:簡單的身份驗證只能保證請求發自某個用戶的瀏覽器,卻不能保證請求本身是用戶自愿發出的。

    攻擊過程如下:

    1. 用戶C打開瀏覽器,訪問受信任網站A,輸入用戶名和密碼請求登錄網站A;

    2. 在用戶信息通過驗證后,網站A產生Cookie信息并返回給瀏覽器,此時用戶登錄網站A成功,可以正常發送請求到網站A;

    3. 用戶未退出網站A之前,在同一瀏覽器中,打開一個TAB頁訪問網站B;

    4. 網站B接收到用戶請求后,返回一些攻擊性代碼,并發出一個請求要求訪問第三方站點A;

    5. 瀏覽器在接收到這些攻擊性代碼后,根據網站B的請求,在用戶不知情的情況下攜帶Cookie信息,向網站A發出請求。網站A并不知道該請求其實是由B發起的,所以會根據用戶C的Cookie信息以C的權限處理該請求,導致來自網站B的惡意代碼被執行。

    260 聲望
    文章
    70
    粉絲
    7
    喜歡
    6

    Simon

    北京
    1年前
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类