小白也能懂的信息安全课

,2019-05-24 17:00-18:00 路演厅,小白也能懂的信息安全课,01、你不知道的TA们,The Hacker ? Attempt to crack database? Social Engineering AND Dark Web?,黑客？撞库？社会工程学？暗网？,黑客源于“Hacker”的音译，指热心于计算机技术、水平超高的电脑专家，尤其是程序设计人员。骇客Cracker，就是“破解者，破坏者”的意思。从事恶意破解商业软件、恶意入侵别人的网站等事务。通俗上讲骇客是指那些利用网络漏洞破坏网络的人。有些黑客逾越尺度,运用自己的知识去做出有损他人权益的事情,我们就称这种人 为骇客(Cracker,破坏者)红客维护国家利益代表中国人民意志的红客，他们热爱自己的祖国，民族，和平，极力的维护国家安全与尊严。蓝客信仰自由，提倡爱国主义的黑客们，用自己的力量来维护网络的和平。,黑客一般根据所从事的方向划分黑帽子（Black Hat） 入侵对方系统的被称为黑帽黑客白帽子（White Hat） 调试和分析计算机安全系统的白帽黑客,肉鸡 肉鸡一种很形象的比喻，比喻那些可以随意被黑客控制的电脑，可以是服务器，也可以是PC。 木马木马就是那些外表上伪装成了正常的程序。 挂马往他人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里的动作。 后门后门程序就是留在计算机系统中，供某位特殊使用者通过某种特殊方式控制计算机系统。 getShell利用漏洞获取一定的服务器权限，也叫提权。 注入/注入点简单来说就是通过某段语句执行可以从内部数据中拿到结果，可以通过某个地方执行，那这个地方就可以成为注入点，通过为一个程序接口可以访问数据库。 免杀就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序，使其逃过杀毒软件的查杀。 跳板机具有辅助作用的机器，利用这个主机作为一个间接的工具，来入侵其他的主机，一般和肉鸡连用。 弱口令强度低容易被猜解的类似123.abc这样的口令(密码)。,熊猫烧香（李俊）,入侵腾讯（鄢奉天）,脱库 “拖库”的谐音，是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。洗库 在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这通常也被称作“洗库”。撞库 黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。撞库的根源是数据泄露，撞库可以通过数据库安全防护技术解决，数据库安全技术主要包括：数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。,广义定义：建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题。是一种通过人际交流的方式获得信息的非技术渗透手段。利用人类心理学完成获得建筑物、系统和数据访问权限的艺术，有别于使用黑客计入的入侵手段。例如，一名社会工程师可以伪装成一个雇员或IT支持人员，试图诱骗目标以获取对方的密码，而不是去寻找一个软件的漏洞。 社会工程师的目标通常是获得一个或多个目标的信任。在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系中，这一行为一般是被认作侵犯隐私权的。,社工库也叫暗网，社工库就是一个黑客们将泄漏的用户数据整合分析，然后集中归档的一个地方。这些用户数据大部分来自以前黑客们拖库撞库获得的数据包，包含的数据类型除了账号密码外，还包含被攻击网站所属不同行业所带来的附加数据。 是一种网络信息资源，一些牟利者应用采集到的信息公布到网上供人参考而获利。,案例一：在公司停车场捡到一个U盘，你会怎么办？在荷兰，网络犯罪分子视图窃取跨国企业的数据，故意在公司楼下遗失已经安装了监听程序的U盘，只要有人将U盘插入电脑，监听程序就能快速的在公司内网蔓延，窃取内网数据。,通过利用人的贪婪、自私、好奇、信任、羞愧、担心、恐惧等等心理弱点进行诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。,场景二：测生辰八字/性格等小游戏小游戏通常需要你输入姓名、性别、生日信息，通过这些信息可以在社交网站、购物网站遗留的个人信息进行人肉搜索，收集到更加详细的隐私信息，与暗网中的数据库相匹配，可以获取到用户常用的账号密码（邮箱、购物网站、金融银行等）,电信诈骗就是典型的社会工程学攻击实践，通过收集被害人信息，构建受害人画像，配套心理战，利用迷信和恐惧权威的弱点进行诈骗,“深网”就是指在互联网上不能被标准搜索引擎（如百度、谷歌）搜索到的网络内容。这些不能被搜索的内容有些是经过特殊的加密处理防止被搜索引擎搜索，还有些是因为商业保密的需要，严禁搜索引擎对其进行搜索。“暗网”是指那些除了不能被标准搜索引擎搜索，而且还需要通过一些指定的软件、经过特殊的授权、或者需要对电脑做一些特殊的设置才能访问的网络内容。“暗网”属于“深网”中的一个子集。普遍认为的是深网与暗网的数量级是搜索引擎能搜到的表面网络的几十倍甚至上百倍。暗网里有儿童色情和非法物品的售卖，比如假钞、武器和毒品，甚至于人体器官等。实际上这些邪恶的东西，只占暗网的很小一部分，大部分内容则是有价值的资料和信息。,MD5消息摘要算法（英语：MD5 Message-Digest Algorithm），一种被广泛使用的密码散列函数，可以产生出一个128位（16字节）的散列值（hash value），用于确保信息传输完整一致。MD5由美国密码学家罗纳德李维斯特（Ronald Linn Rivest）设计，于1992年公开，用以取代MD4算法。,02、TA们怎么破坏？,暴力破解/木马种植/DDOS/劫持,Brute Force Password / Trojan and virus / DoS and DDOS / Domain name hijacking,理论上允许账号密码登录的，都有可能遭受暴力破解,穷举法 穷举法也称为枚举法。 基本思想是根据题目的部分条件确定答案的大致范围，并在此范围内对所有可能的情况逐一验证，直到全部情况验证完毕。若某个情况验证符合题目的全部条件，则为本问题的一个解；若全部情况验证后都不符合题目的全部条件，则本题无解。 本质上是遍历一个大字典，不断尝试使用字典的内容去匹配。,端口就是一个潜在的通信通道，也就是一个入侵通道，当一个设备通过网络连接到另一个设备时，它会指定一个从0到65535的TCP或UDP（或者其他协议）的端口号进行服务的承载。 顾名思义，端口扫描就是通过某个工具对目标主机的端口范围进行扫描，这并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助黑客发现目标的某些内在的弱点，为后续的攻击做准备。, 尽可能多的关闭不需要的端口/端口指定信任 不提供公网地址，将服务进行NAT转发，通过公网网关对外 引入防火墙WAF,HTTP协议代理服务器常用端口号：80/8080 HTTPS：443 FTP：21 SSH：22 Telnet：23 SMTP：25 POP3：110 Tomcat：8080 Mysql：3306 Windows远程桌面：3389 redis：6379 mongoDB:27017,常用攻击方法： 死亡之ping / SYN泛洪 / IP欺骗 /带宽DOS攻击,应对方法：手工防护：系统优化 / 源头追查 / 监控拒绝退让策略：升级设备，配置防火墙,应对方法：手工防护：系统优化（限制请求频次） / 源头追查 / 监控拒绝 / 取消域名解析 退让策略：升级设备，配置防火墙 法律途径：报警,CC攻击,Challenge Collapsar,攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS和伪装。模拟多个用户（多少线程就是多少用户）不停的进行访问（访问那些需要大量数据操作，就是需要大量CPU时间的页面），从而耗尽服务器资源，达到攻击网站的目的。,全球只有13台DNS根服务器，名字分别为“A”至“M”，其中10台设置在美国，另外各有一台设置于英国、瑞典和日本。 -15、16年以前的数据,03、我们的工程师面临什么难题？,JS注入 / SQL注入 / XSS / CSRF,JavaScript Injection / SQL Injection / XSS(Cross Site Scripting) / CSRF（Cross-site request forgery/One Click Attack/ Session Riding）,WEB页面在提供输入框进行信息输入时，如果没有对输入内容进行校验，那就很容易遭受JavaScript注入。,Cross-Site Scripting（跨站脚本攻击）简称 XSS，是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如 Cookie、SessionID 等，进而危害数据安全。,1、持续型XSS攻击：恶意脚本来源于网站的数据库攻击者上传恶意代码，用户一旦访问就会执行恶意代码。一般出现在网站留言、评论、博客日志等交互处。2、反射型XSS攻击：恶意脚本来源于受害者的请求攻击者通过特定手法（如电子邮件、页面广告），诱使用户去访问一个包含恶意代码的 URL，用户一旦点击，就会执行恶意代码，有些恶意代码冒充用户的行为，调用目标网站接口执行攻击者指定的操作。通常出现在网站的搜索栏、用户登录口等地方，常用来窃取客户端 Cookies或进行钓鱼欺骗。3、基于DOM型XSS攻击属于前端 JavaScript 自身的安全漏洞，而不依赖于服务器端的数据。例如客户端如从URL中提取数据并在本地执行，如果用户在客户端输入的数据包含了恶意的 JavaScript 脚本，而这些脚本没有经过适当的过滤和消毒，那么应用程序就可能受到DOM XSS 攻击。,输入过滤、纯前端渲染，把代码和数据分隔、HTML 做充分转义、禁止加载外域链接、输入长度控制、禁止js读取敏感cookie、存储校验,【预防策略】,很多网站为了辨别用户身份，会在用户完成登录后返回认证数据（通常经过加密）给用户，用户浏览器将认证数据保存在纯文本文件，这个就是Cookie，下次登录只要带上Cookie的内容即可，免去多次输入密码。所以只要对服务器递交给用户的cookie进行改写就可以达到欺骗服务程序的目的。,【攻击方向】,Cookies欺骗是通过盗取、修改、伪造Cookies的内容来欺骗Web系统,并得到相应权限或者进行相应权限操作的一种攻击方式。,CSRF攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，达到攻击目的。,A:招商银行；B:攻击者；C：用户,CSRF攻击是源于WEB的隐式身份验证机制！WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器，但却无法保证该请求是用户批准发送的, 客户端页面增加伪随机数； 增加验证码； 验证 HTTP Referer 字段； 在请求地址中添加 token 并验证； 在 HTTP 头中自定义属性并验证。,【攻击方向】,【预防策略】,所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致；后者主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。,select * from users,注入分析：,select * from users where username=jack and password=md5(jack),select * from users where username= or 1=1# and password=md5(),select * from users where username= or 1=1,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致；后者主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。,.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和双“-“进行转换等。.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装,旁注攻击就是说在攻击目标时，对目标网站“无法下手”找不到目标网站的漏洞，那么攻击者就可以通过在与目标站点同一服务器下的站点渗透如，从而获取目标站点的权限，这过程就是旁注攻击。网站绑定的域名越多安全性也就越低。,操作系统本身漏洞目前大多数服务均采用windows或Linux操作系统，由于操作系统含有大量的程序代码，因而不可避免的存在一些安全隐患。而操作系统上的BUG又是诸多黑客最喜欢的攻克的方向。软件漏洞 伴随着业务系统的越来越复杂，使用到的技术框架、中间件、服务组件也越来越多，软件版本过低，非正版等各类原因导致软件的安全性变低，也给黑客留下了很多的可乘之机。,【预防策略】, 关注操作系统最新的漏洞报告，及时更新漏洞补丁； 运用工具或平台进行系统软件安全基线扫描； 及时更新操作系统、软件版本； 遵守权限最小化原则，只开放特定权限。,04、那些被攻击的事儿,小程序数据篡改/DDG挖矿木马/熊猫烧香/勒索病毒,The MiniApp Redis Data / DDG Mining Botnet / Worm.WhBoy.cw / Ransomware,05、我们如何保护自己,自我安全保护/企业安全策略,Self Protection / Enterprise Safety Protection,只信任安全网站,类似各种收集个人信息的小游戏均存在风险,