A. 入侵檢測的分類情況
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。 (警報)
當一個入侵正在發生或者試圖發生時,IDS系統將發布一個alert信息通知系統管理員。如果控制台與IDS系統同在一台機器,alert信息將顯示在監視器上,也可能伴隨著聲音提示。如果是遠程式控制制台,那麼alert將通過IDS系統內置方法(通常是加密的)、SNMP(簡單網路管理協議,通常不加密)、email、SMS(簡訊息)或者以上幾種方法的混合方式傳遞給管理員。 (異常)
當有某個事件與一個已知攻擊的信號相匹配時,多數IDS都會告警。一個基於anomaly(異常)的IDS會構造一個當時活動的主機或網路的大致輪廓,當有一個在這個輪廓以外的事件發生時,IDS就會告警,例如有人做了以前他沒有做過的事情的時候,例如,一個用戶突然獲取了管理員或根目錄的許可權。有些IDS廠商將此方法看做啟發式功能,但一個啟發式的IDS應該在其推理判斷方面具有更多的智能。 (IDS硬體)
除了那些要安裝到現有系統上去的IDS軟體外,在市場的貨架上還可以買到一些現成的IDS硬體,只需將它們接入網路中就可以應用。一些可用IDS硬體包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。 ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫,它是動態更新的,適用於多種基於網路的入侵檢測系統。
ARIS:Attack Registry & Intelligence Service(攻擊事件注冊及智能服務)
ARIS是SecurityFocus公司提供的一個附加服務,它允許用戶以網路匿名方式連接到Internet上向SecurityFocus報送網路安全事件,隨後SecurityFocus會將這些數據與許多其它參與者的數據結合起來,最終形成詳細的網路安全統計分析及趨勢預測,發布在網路上。它的URL地址是。 (攻擊)
Attacks可以理解為試圖滲透系統或繞過系統的安全策略,以獲取信息、修改信息以及破壞目標網路或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊類型:
攻擊類型1-DOS(Denial Of Service attack,拒絕服務攻擊):DOS攻擊不是通過黑客手段破壞一個系統的安全,它只是使系統癱瘓,使系統拒絕向其用戶提供服務。其種類包括緩沖區溢出、通過洪流(flooding)耗盡系統資源等等。
攻擊類型2-DDOS(Distributed Denial of Service,分布式拒絕服務攻擊):一個標準的DOS攻擊使用大量來自一個主機的數據向一個遠程主機發動攻擊,卻無法發出足夠的信息包來達到理想的結果,因此就產生了DDOS,即從多個分散的主機一個目標發動攻擊,耗盡遠程系統的資源,或者使其連接失效。
攻擊類型3-Smurf:這是一種老式的攻擊,還時有發生,攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作,然後所有活動主機都會向該目標應答,從而中斷網路連接。
攻擊類型4-Trojans(特洛伊木馬):Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬,木馬中藏有希臘士兵,當木馬運到城裡,士兵就湧出木馬向這個城市及其居民發起攻擊。在計算機術語中,它原本是指那些以合法程序的形式出現,其實包藏了惡意軟體的那些軟體。這樣,當用戶運行合法程序時,在不知情的情況下,惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程序都是遠程式控制制工具,Trojan這個術語很快就演變為專指這類工具,例如BackOrifice、SubSeven、NetBus等等。 (自動響應)
除了對攻擊發出警報,有些IDS還能自動抵禦這些攻擊。抵禦方式有很多:首先,可以通過重新配置路由器和防火牆,拒絕那些來自同一地址的信息流;其次,通過在網路上發送reset包切斷連接。但是這兩種方式都有問題,攻擊者可以反過來利用重新配置的設備,其方法是:通過偽裝成一個友方的地址來發動攻擊,然後IDS就會配置路由器和防火牆來拒絕這些地址,這樣實際上就是對「自己人」拒絕服務了。發送reset包的方法要求有一個活動的網路介面,這樣它將置於攻擊之下,一個補救的辦法是:使活動網路介面位於防火牆內,或者使用專門的發包程序,從而避開標准IP棧需求。 (Computer Emergency Response Team,計算機應急響應小組)
這個術語是由第一支計算機應急反映小組選擇的,這支團隊建立在Carnegie Mellon大學,他們對計算機安全方面的事件做出反應、採取行動。許多組織都有了CERT,比如CNCERT/CC(中國計算機網路應急處理協調中心)。由於emergency這個詞有些不夠明確,因此許多組織都用Incident這個詞來取代它,產生了新詞Computer Incident Response Team(CIRT),即計算機事件反應團隊。response這個詞有時也用handling來代替,其含義是response表示緊急行動,而非長期的研究。 (Common Intrusion Detection Framework;通用入侵檢測框架)
CIDF力圖在某種程度上將入侵檢測標准化,開發一些協議和應用程序介面,以使入侵檢測的研究項目之間能夠共享信息和資源,並且入侵檢測組件也能夠在其它系統中再利用。 (Computer Incident Response Team,計算機事件響應小組)
CIRT是從CERT演變而來的,CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的,而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。 (Common Intrusion Specification Language,通用入侵規范語言)
CISL是CIDF組件間彼此通信的語言。由於CIDF就是對協議和介面標准化的嘗試,因此CISL就是對入侵檢測研究的語言進行標准化的嘗試。 (Common Vulnerabilities and Exposures,通用漏洞披露)
關於漏洞的一個老問題就是在設計掃描程序或應對策略時,不同的廠商對漏洞的稱謂也會完全不同。還有,一些產商會對一個漏洞定義多種特徵並應用到他們的IDS系統中,這樣就給人一種錯覺,好像他們的產品更加有效。MITRE創建了CVE,將漏洞名稱進行標准化,參與的廠商也就順理成章按照這個標准開發IDS產品。 (自定義數據包)
建立自定義數據包,就可以避開一些慣用規定的數據包結構,從而製造數據包欺騙,或者使得收到它的計算機不知該如何處理它。 (同步失效)
Desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑,從而導致無法重新構建數據。這一技術在1998年很流行,已經過時了,有些文章把desynchronization這個術語代指其它IDS逃避方法。 (列舉)
經過被動研究和社會工程學的工作後,攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於行動不再是被動的,它就有可能被檢測出來。當然為了避免被檢測到,他們會盡可能地悄悄進行。 (躲避)
Evasion是指發動一次攻擊,而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面,而實際攻擊的卻是另一個目標,所謂明修棧道,暗渡陳倉。Evasion的一種形式是為不同的信息包設置不同的TTL(有效時間)值,這樣,經過IDS的信息看起來好像是無害的,而在無害信息位上的TTL比要到達目標主機所需要的TTL要短。一旦經過了IDS並接近目標,無害的部分就會被丟掉,只剩下有害的。 (漏洞利用)
對於每一個漏洞,都有利用此漏洞進行攻擊的機制。為了攻擊系統,攻擊者編寫出漏洞利用代碼或腳本。
對每個漏洞都會存在利用這個漏洞執行攻擊的方式,這個方式就是Exploit。為了攻擊系統,黑客會利用漏洞編寫出程序。
漏洞利用:Zero Day Exploit(零時間漏洞利用)
零時間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用,也就是說這種類型的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網路安全界發現,很快就會出現針對它的補丁程序,並在IDS中寫入其特徵標識信息,使這個漏洞利用無效,有效地捕獲它。 (漏報)
漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。
False Positives(誤報)
誤報是指實際無害的事件卻被IDS檢測為攻擊事件。
Firewalls(防火牆)
防火牆是網路安全的第一道關卡,雖然它不是IDS,但是防火牆日誌可以為IDS提供寶貴信息。防火牆工作的原理是根據規則或標准,如源地址、埠等,將危險連接阻擋在外。 (Forum of Incident Response and Security Teams,事件響應和安全團隊論壇)
FIRST是由國際性政府和私人組織聯合起來交換信息並協調響應行動的聯盟,一年一度的FIRST受到高度的重視。 (分片)
如果一個信息包太大而無法裝載,它就不得不被分成片斷。分片的依據是網路的MTU(Maximum Transmission Units,最大傳輸單元)。例如,靈牌環網(token ring)的MTU是4464,乙太網(Ethernet)的MTU是1500,因此,如果一個信息包要從靈牌環網傳輸到乙太網,它就要被分裂成一些小的片斷,然後再在目的地重建。雖然這樣處理會造成效率降低,但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法,另外還有一些DOS攻擊也使用分片技術。 (啟發)
Heuristics就是指在入侵檢測中使用AI(artificial intelligence,人工智慧)思想。真正使用啟發理論的IDS已經出現大約10年了,但他們還不夠「聰明」,攻擊者可以通過訓練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測入侵,這樣的IDS必須要不斷地學習什麼是正常事件。一些產商認為這已經是相當「聰明」的IDS了,所以就將它們看做是啟發式IDS。但實際上,真正應用AI技術對輸入數據進行分析的IDS還很少很少。 (Honeynet工程)
Honeynet是一種學習工具,是一個包含安全缺陷的網路系統。當它受到安全威脅時,入侵信息就會被捕獲並接受分析,這樣就可以了解黑客的一些情況。Honeynet是一個由30餘名安全專業組織成員組成、專門致力於了解黑客團體使用的工具、策略和動機以及共享他們所掌握的知識的項目。他們已經建立了一系列的honeypots,提供了看似易受攻擊的Honeynet網路,觀察入侵到這些系統中的黑客,研究黑客的戰術、動機及行為。 (蜜罐)
蜜罐是一個包含漏洞的系統,它模擬一個或多個易受攻擊的主機,給黑客提供一個容易攻擊的目標。由於蜜罐沒有其它任務需要完成,因此所有連接的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊,讓攻擊者在蜜罐上浪費時間。與此同時,最初的攻擊目標受到了保護,真正有價值的內容將不受侵犯。
蜜罐最初的目的之一是為起訴惡意黑客搜集證據,這看起來有「誘捕」的感覺。但是在一些國家中,是不能利用蜜罐收集證據起訴黑客的。 (IDS分類)
有許多不同類型的IDS,以下分別列出:
IDS分類1-Application IDS(應用程序IDS):應用程序IDS為一些特殊的應用程序發現入侵信號,這些應用程序通常是指那些比較易受攻擊的應用程序,如Web伺服器、資料庫等。有許多原本著眼於操作系統的基於主機的IDS,雖然在默認狀態下並不針對應用程序,但也可以經過訓練,應用於應用程序。例如,KSE(一個基於主機的IDS)可以告訴我們在事件日誌中正在進行的一切,包括事件日誌報告中有關應用程序的輸出內容。應用程序IDS的一個例子是Entercept的Web Server Edition。
IDS分類2-Consoles IDS(控制台IDS):為了使IDS適用於協同環境,分布式IDS代理需要向中心控制台報告信息。許多中心控制台還可以接收其它來源的數據,如其它產商的IDS、防火牆、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵添加到代理級別的控制台,並提供遠程管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。
IDS分類3-File Integrity Checkers(文件完整性檢查器):當一個系統受到攻擊者的威脅時,它經常會改變某些關鍵文件來提供持續的訪問和預防檢測。通過為關鍵文件附加信息摘要(加密的雜亂信號),就可以定時地檢查文件,查看它們是否被改變,這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化,完整性檢查器就會發出一個警報。而且,當一個系統已經受到攻擊後,系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的文件檢查器在事件發生好久之後才能將入侵檢測出來,是「事後諸葛亮」,出現的許多產品能在文件被訪問的同時就進行檢查,可以看做是實時IDS產品了。該類產品有Tripwire和Intact。
IDS分類4-Honeypots(蜜罐):關於蜜罐,前面已經介紹過。蜜罐的例子包括Mantrap和Sting。
IDS分類5-Host-based IDS(基於主機的IDS):這類IDS對多種來源的系統和事件日誌進行監控,發現可疑活動。基於主機的IDS也叫做主機IDS,最適合於檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能,主機IDS還對「事件/日誌/時間」進行簽名分析。許多產品中還包含了啟發式功能。因為主機IDS幾乎是實時工作的,系統的錯誤就可以很快地檢測出來,技術人員和安全人士都非常喜歡它。基於主機的IDS就是指基於伺服器/工作站主機的所有類型的入侵檢測系統。該類產品包括Kane Secure Enterprise和Dragon Squire。
IDS分類6-Hybrid IDS(混合IDS):現代交換網路的結構給入侵檢測操作帶來了一些問題。首先,默認狀態下的交換網路不允許網卡以混雜模式工作,這使傳統網路IDS的安裝非常困難。其次,很高的網路速度意味著很多信息包都會被NIDS所丟棄。Hybrid IDS(混合IDS)正是解決這些問題的一個方案,它將IDS提升了一個層次,組合了網路節點IDS和Host IDS(主機IDS)。雖然這種解決方案覆蓋面極大,但同時要考慮到由此引起的巨大數據量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS,實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。
IDS分類7-Network IDS(NIDS,網路IDS):NIDS對所有流經監測代理的網路通信量進行監控,對可疑的異常活動和包含攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器,但是它們變得更加智能化,可以破譯協議並維護狀態。NIDS存在基於應用程序的產品,只需要安裝到主機上就可應用。NIDS對每個信息包進行攻擊特徵的分析,但是在網路高負載下,還是要丟棄些信息包。網路IDS的產品有SecureNetPro和Snort。
IDS分類8-Network Node IDS(NNIDS,網路節點IDS):有些網路IDS在高速下是不可靠的,裝載之後它們會丟棄很高比例的網路信息包,而且交換網路經常會妨礙網路IDS看到混合傳送的信息包。NNIDS將NIDS的功能委託給單獨的主機,從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似,但它們之間還有區別。對於被歸類為NNIDS的個人防火牆,應該對企圖的連接做分析。例如,不像在許多個人防火牆上發現的「試圖連接到埠xxx」,一個NNIDS會對任何的探測都做特徵分析。另外,NNIDS還會將主機接收到的事件發送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。
IDS分類9-Personal Firewall(個人防火牆):個人防火牆安裝在單獨的系統中,防止不受歡迎的連接,無論是進來的還是出去的,從而保護主機系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。
IDS分類10-Target-Based IDS(基於目標的IDS):這是不明確的IDS術語中的一個,對不同的人有不同的意義。可能的一個定義是文件完整性檢查器,而另一個定義則是網路IDS,後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度,因為它不搜尋那些不必要的攻擊。 (Intrusion Detection Working Group,入侵檢測工作組)
入侵檢測工作組的目標是定義數據格式和交換信息的程序步驟,這些信息是對於入侵檢測系統、響應系統以及那些需要與它們交互作用的管理系統都有重要的意義。入侵檢測工作組與其它IETF組織協同工作。 (事件處理)
檢測到一個入侵只是開始。更普遍的情況是,控制台操作員會不斷地收到警報,由於根本無法分出時間來親自追蹤每個潛在事件,操作員會在感興趣的事件上做出標志以備將來由事件處理團隊來調查研究。在最初的反應之後,就需要對事件進行處理,也就是諸如調查、辯論和起訴之類的事宜。 (事件響應)
對檢測出的潛在事件的最初反應,隨後對這些事件要根據事件處理的程序進行處理。 (孤島)
孤島就是把網路從Internet上完全切斷,這幾乎是最後一招了,沒有辦法的辦法。一個組織只有在大規模的病毒爆發或受到非常明顯的安全攻擊時才使用這一手段。 (混雜模式)
默認狀態下,IDS網路介面只能看到進出主機的信息,也就是所謂的non-promiscuous(非混雜模式)。如果網路介面是混雜模式,就可以看到網段中所有的網路通信量,不管其來源或目的地。這對於網路IDS是必要的,但同時可能被信息包嗅探器所利用來監控網路通信量。交換型HUB可以解決這個問題,在能看到全面通信量的地方,會都許多跨越(span)埠。
Routers(路由器)
路由器是用來連接不同子網的中樞,它們工作於OSI 7層模型的傳輸層和網路層。路由器的基本功能就是將網路信息包傳輸到它們的目的地。一些路由器還有訪問控制列表(ACLs),允許將不想要的信息包過濾出去。許多路由器都可以將它們的日誌信息注入到IDS系統中,提供有關被阻擋的訪問網路企圖的寶貴信息。 (掃描器)
掃描器是自動化的工具,它掃描網路和主機的漏洞。同入侵檢測系統一樣,它們也分為很多種,以下分別描述。
掃描器種類1-NetworkScanners(網路掃描器):網路掃描器在網路上搜索以找到網路上所有的主機。傳統上它們使用的是ICMP ping技術,但是這種方法很容易被檢測出來。為了變得隱蔽,出現了一些新技術,例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個好處是:不同的操作系統對這些掃描會有不同的反應,從而為攻擊者提供了更多有價值的信息。這種工具的一個例子是nmap。
掃描器種類2-Network Vulnerability Scanners(網路漏洞掃描器):網路漏洞掃描器將網路掃描器向前發展了一步,它能檢測目標主機,並突出一切可以為黑客利用的漏洞。網路漏洞掃描器可以為攻擊者和安全專家使用,但會經常讓IDS系統「緊張」。該類產品有Retina和CyberCop。
掃描器種類3-Host VulnerabilityScanners(主機漏洞掃描器):這類工具就像個有特權的用戶,從內部掃描主機,檢測口令強度、安全策略以及文件許可等內容。網路IDS,特別是主機IDS可以將它檢測出來。該類產品有SecurityExpressions,它是一個遠程Windows漏洞掃描器,並且能自動修復漏洞。還有如ISS資料庫掃描器,會掃描資料庫中的漏洞。 (腳本小子)
有些受到大肆宣揚的Internet安全破壞,如2000年2月份對Yahoo的拒絕服務攻擊,是一些十來歲的中學生乾的,他們干這些壞事的目的好象是為了揚名。安全專家通常把這些人稱為腳本小子(Script Kiddies)。腳本小子通常都是一些自發的、不太熟練的cracker,他們使用從Internet 上下載的信息、軟體或腳本對目標站點進行破壞。黑客組織或法律實施權威機構都對這些腳本小孩表示輕蔑,因為他們通常都技術不熟練,手上有大把時間可以來搞破壞,他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩,他們不需要懂得彈道理論,也不必能夠製造槍支,就能成為強大的敵人。因此,無論何時都不能低估他們的實力。 (躲避)
躲避是指配置邊界設備以拒絕所有不受歡迎的信息包,有些躲避甚至會拒絕來自某些國家所有IP地址的信息包。 (特徵)
IDS的核心是攻擊特徵,它使IDS在事件發生時觸發。特徵信息過短會經常觸發IDS,導致誤報或錯報,過長則會減慢IDS的工作速度。有人將IDS所支持的特徵數視為IDS好壞的標准,但是有的產商用一個特徵涵蓋許多攻擊,而有些產商則會將這些特徵單獨列出,這就會給人一種印象,好像它包含了更多的特徵,是更好的IDS。大家一定要清楚這些。 (隱藏)
隱藏是指IDS在檢測攻擊時不為外界所見,它們經常在DMZ以外使用,沒有被防火牆保護。它有些缺點,如自動響應。
B. 卡巴斯基檢測到惡意軟體或風險程序中一直在提示和刪除木馬程序exploit.win32.cve-2010-2568.d這可怎麼辦
金山不好用,建議用瑞星或卡巴,因為:
建議使用卡巴斯基,超強的殺毒演算法,但是時間和內存用的多,世界最高的病毒狙擊率,特徵碼量不是第一,但可殺度量絕對第一,因為超強的脫殼演算法,一個特徵碼,頂別人十幾條.
下面我們先來看看最新的殺毒軟體病毒阻殺率排行榜
殺毒軟體 病毒阻殺率
Kaspersky Personal Pro version 5.0 97.93%
AVK version 15.0.5 93%
F-Secure 2005 97.55%
eScan Virus Control version 96.75%
Norton Corporate version 91.64%
Norton Professional version 2005 91.57%
McAfee version 9.0 89.75%
Virus Chaser version 5.0 88.31%
BitDefender version 8.0 88.13%
CyberScrub version 87.87%
Panda Platinum 2005 87.75%
version 75%
Arcavir 87.73%
MKS_VIR 2005 87.70%
RAV version 87.26%
F-Prot version 87.07%
卡巴斯基
在國內卡巴斯基不像諾頓那樣有名,可能許多人還比較陌生,在這里重點介紹下。卡巴斯基總部設在俄羅斯首都莫斯科,Kaspersky Labs是國際著名的信息安全領導廠商。公司為個人用戶、企業網路提供反病毒、防黒客和反垃圾郵件產品。經過十四年與計算機病毒的戰斗,卡巴斯基獲得了獨特的知識和技術,使得卡巴斯基成為了病毒防衛的技術領導者和專家。該公司的旗艦產品-著名的卡巴斯基反病毒軟體(Kaspersky Anti-Virus,原名AVP)被眾多計算機專業媒體及反病毒專業評測機構譽為病毒防護的最佳產品。 1989年,Eugene Kaspersky開始研究計算機病毒現象。從1991年到1997年,他在俄羅斯大型計算機公司「KAMI」的信息技術中心,帶領一批助手研發出了AVP反病毒程序。Kaspersky Lab於1997年成立,Eugene Kaspersky是創始人之一。
2000年11月,AVP更名為Kaspersky Anti-Virus。Eugene Kaspersky是計算機反病毒研究員協會(CARO)的成員,該協會的成員都是國際頂級的反病毒專家。AVP的反病毒引擎和病毒庫,一直以其嚴謹的結構、徹底的查殺能力為業界稱道。 俄羅斯殺毒軟體之所以非常強大,是因為俄羅斯有國際頂尖的數理科技領域的特殊人才及優良的傳統,這些專業人才的培養不是三年兩載就能成功的。卡巴斯基基本都是一年破解升級,殺毒能力天下第一,你也看到了世界排行第一名,感覺專業就是專業,但是監控能力差了點,而且用起來一個字"卡",很占內存,無論時搭配自帶的卡巴斯基防火牆還是ZA防火牆啟動都比較慢,也許是因為太專業的原因吧,如果你實在害怕病毒,而且喜歡玩專業,願意犧牲性能換來安全,你就用ZA搭配卡巴斯基吧!
下面是有關卡巴斯基的資料:
1、對病毒上報反應迅速,卡巴斯基具有全球技術領先的病毒運行虛擬機,可以自動分析70%左右未知病毒的行為,再加上一批高素質的病毒分析專家,反應速度就是快於別家。每小時升級病毒的背後是以雄厚的技術為支撐的。
2、對任何上報病毒的用戶不問正版,D版,病毒分析師一律回信,有時還詳細給出分析結論的依據,體貼呵護用戶,有時我想就算寫信和他們鬼扯,他們也會回復的,以前一直用D版心裡不免愧疚,當網易降價銷售卡巴的時候,趕緊去買套正版。這就是卡巴斯基,輕易征服潛在用戶的殺毒軟體公司。
3、隨時修正自身錯誤,殺毒分析是項繁瑣的苦活,卡巴斯基並不是不犯錯,而是犯錯後立刻糾正,只要用戶去信指出,誤殺誤報會立刻得到糾正。知錯就改,堪稱其他殺軟的楷模,你去試試看給symantec糾錯,會是什麼結果。
4、卡巴斯基的引擎技術是國內外許多殺毒軟體的核心,這是公認的事實,另外,國外的我不知道,國內的殺毒廠商,對上報病毒一律先卡巴掃一遍,這是很有趣的現象,你說,卡巴斯基是不是其他殺軟的師傅。
5、卡巴斯基的毒庫數量不是最高,但實際可殺病毒數量絕對是世界第一,這是因為,卡巴斯基的超強脫殼能力,無論你怎麼加殼,只要程序體還能運行,就逃不出卡巴斯基的掌心,它總唱是你是你還是你。因此卡巴斯基毒庫目前的15(近16萬 在2006-1-10 有159926)多萬病毒是真實可殺數量,某些殺軟對病毒的加殼版要麼傻眼要麼列為變種,還沾沾自喜每天100多條升級,殊不知人家卡巴一條升級就頂你幾十條了。
6、最重要的一點是,卡巴斯基對上報病毒的用戶並沒有物質獎勵,但大家卻趨之若鶩,原因在於:當我1小時前中了未知病毒,於是將病毒體文件發送給卡巴,然後悠悠然去洗澡吃飯,過1小時回來後,將卡巴斯基升級後,伴隨著卡巴斯基悠揚的殺豬聲響起,可惡的病毒被逐個掃除,那種心理快感和參與感,豈是別的殺軟能夠帶給我們的?
卡巴斯基被過度神話了嗎?是的,卡巴斯基確實是個神話,他是國內外其他殺毒軟體廠商追趕的神話,也是用戶心中永遠不滅的神話!
卡巴斯基®反病毒軟體單機版為家庭用戶的個人電腦提供超級病毒防護,它具有最尖端的反病毒技術,時刻監控一切病毒可能入侵的途徑,同時該產品應用獨有的iCheckerTM技術,使處理速度比同類產品快3倍,而且它還應用第二代啟發式病毒分析技術識別未知惡意程序代碼,成功率約達100%,目前卡巴斯基病毒資料庫樣本數已經超過100000 萬種並且擁有世界上最快的升級速度,每小時常規升級一次,以使系統隨時保持抗禦新病毒侵害的能力。
卡巴斯基®反病毒軟體單機版可以基於 SMTP/POP3 協議來檢測進出系統的郵件,可實時掃描各種郵件系統的全部接收和發出的郵件,檢測其中的所有附件,包括壓縮文件和文檔、嵌入式OLE對象、及郵件體本身。它還新增加了個人防火牆模塊,可有效保護運行Windows操作系統的PC,探測對埠的掃描、封鎖網路攻擊並報告,系統可在隱形模式下工作,封鎖所有來自外部網路的請求,使用戶隱形和安全地在網上遨遊。
卡巴斯基®反病毒軟體可檢測出700種以上的壓縮格式文件和文檔中的病毒,並可清除ZIP、ARJ、CAB和RAR文件中的病毒。我們提供7×24小時全天候技術服務。
--------------------------------------------------------------------------------
卡巴斯基反病毒單機版( Kaspersky for Personal )
卡巴斯基反病毒單機版是個人用戶的首選反病毒產品。時刻監控一切病毒可能入侵的途徑,產品採用第二代啟發式代碼分析技術、iChecker實時監控技術和獨特的腳本病毒攔截技術等多種最尖端的反病毒技術。界面簡單、自動化程度高,而且幾乎所有的功能都是在後台模式下運行,系統資源佔用低。最具特色的是該產品每天兩次更新病毒代碼,更新文件只有3-20Kb,對網路帶寬的影響極其微小,能確保用戶系統得到最為安全的保護。
--------------------------------------------------------------------------------
卡巴斯基反病毒單機專業版( Kaspersky for Personal Pro )
卡巴斯基反病毒單機專業版是專為有經驗的計算機高級用戶而設計的。產品使用的是最新的Kaspersky Lab技術,除了普通的殺毒功能外,融合了過去只向企業級產品用戶提供獨特的功能組件,允許用戶跟蹤計算機上的所有數據變化,提供MS Office宏病毒保護,它們採用集中控制的方法,100% 的保護MS Office文檔保護,實現數據完整性監控,抵禦未知病毒,有效的實時保護,對電子郵件的所有內容都進行檢查,保護磁碟數據的安全,獨特的Script病毒捕獲系統,全面查殺壓縮文件,隔離被感染對象,完全的自動保護,萬能的啟動系統,選擇了卡巴斯基反病毒單機專業版,就選擇了最先進的單機版防病毒產品。
--------------------------------------------------------------------------------
卡巴斯基反黑客軟體( Kaspersky Anti-Hacker )
互聯網可能是非常危險的地方。黑客們使用危險的惡意程序向您的計算機發動洪水般的攻擊,全面控制您的計算機。您被各種間諜程序包圍,這些間諜程序可偷竊密碼、可取空銀行賬戶、可監視您的計算機操作、可利用您的計算機大量發送垃圾郵件和DoS攻擊、可將您的機要數據發給企圖非法使用這些數據的人。所有這些,都可能是在您毫無覺察或未表贊同的情況下發生和實現的。
卡巴斯基®反黒客軟體,卡巴斯基實驗室研發的個人防火牆,向您提供可靠的、可抗禦所有上述威脅的防護。
卡巴斯基®個人安全套裝(漢化包)是你安裝了英文版卡巴斯基時,個你的漢化包
卡巴斯基反病毒單機版在家用比較好
C. 北大青鳥畢業證書是什麼學歷的
北大青鳥是IT職業培訓學校,頒發的不是學歷證書,是技能證書。北大青鳥是職業培訓機構,而非學歷教育機構,北大青鳥是不能頒發學歷文憑的,但北大青鳥有合作院校,合作的都是學歷院校有大專、本科學歷,可以根據自己的需求報讀學歷。
而北大青鳥也是有相關證書頒發的,北大青鳥發的技能證書。北大青鳥學員每個階段通過考試可以同時獲得兩個證書,既包括國際權威的北大青鳥APTECH認證,也包括國內知名度較高的OSTA認證。
(3)web程序員怎麼挖cve擴展閱讀:
北京青鳥職業教育科技發展有限公司是為契合國家職業教育改革成立的一家專注於職業教育的教育科技公司。公司以支持每一位學員成為受人尊重的專業人才為使命,始終踐行「職業教育就是就業教育」的教育本質,堅持幫助學員成功就業。
目前推出BCSP軟體開發專業、BCNT網路運維專業、BCUI全鏈路UI設計、BCVE視頻特效專業等課程。課程研發團隊均由學術界權威學者、互聯網IT領域技術專家、教育行業研究者共同組成,確保了課程內容的崗位適用性、技術性、先進性。
D. CVESA認證是什麼呢
各單位把人才擁有的一定職能作為幹部錄用、職務晉升、職稱評定、上崗資格的重要依據之一。鑒於社會的客觀需求,CVESA面向社會推出了全國人才職能認證體系,為用人單位錄用和考核人才提供一個客觀、公正的水平標准。CVESA認證是中國職業與教育資歷協會推出的一項社會證書考試項目,社會各界人士均可根據自身學習和使用計算機的實際需要,選擇不同的模塊進行接受培訓、參加考試,CVESA認證考試在考生資格方面,學員不受國籍、專業、等限制,報名時須持身份證、護照、軍人證等有效證件。
E. 如何利用大數據來處理網路安全攻擊
「大數據」已經成為時下最火熱的IT行業詞彙,各行各業的大數據解決方案層出不窮。究竟什麼是大數據、大數據給信息安全帶來哪些挑戰和機遇、為什麼網路安全需要大數據,以及怎樣把大數據思想應用於網路安全技術,本文給出解答。
一切都源於APT
APT(Advanced Persistent Threat)攻擊是一類特定的攻擊,為了獲取某個組織甚至是國家的重要信息,有針對性的進行的一系列攻擊行為的整個過程。APT攻擊利用了多種攻擊手段,包括各種最先進的手段和社會工程學方法,一步一步的獲取進入組織內部的許可權。APT往往利用組織內部的人員作為攻擊跳板。有時候,攻擊者會針對被攻擊對象編寫專門的攻擊程序,而非使用一些通用的攻擊代碼。此外,APT攻擊具有持續性,甚至長達數年。這種持續體現在攻擊者不斷嘗試各種攻擊手段,以及在滲透到網路內部後長期蟄伏,不斷收集各種信息,直到收集到重要情報。更加危險的是,這些新型的攻擊和威脅主要就針對國家重要的基礎設施和單位進行,包括能源、電力、金融、國防等關繫到國計民生,或者是國家核心利益的網路基礎設施。
現有技術為什麼失靈
先看兩個典型APT攻擊案例,分析一下盲點在哪裡:
1、 RSA SecureID竊取攻擊
1) 攻擊者給RSA的母公司EMC的4名員工發送了兩組惡意郵件。郵件標題為「2011 Recruitment Plan」,寄件人是[email protected],正文很簡單,寫著「I forward this file to you for review. Please open and view it.」;裡面有個EXCEL附件名為「2011 Recruitment plan.xls」;
2) 很不幸,其中一位員工對此郵件感到興趣,並將其從垃圾郵件中取出來閱讀,殊不知此電子表格其實含有當時最新的Adobe Flash的0day漏洞(CVE-2011-0609)。這個Excel打開後啥也沒有,除了在一個表單的第一個格子裡面有個「X」(叉)。而這個叉實際上就是內嵌的一個Flash;
3) 該主機被植入臭名昭著的Poison Ivy遠端控制工具,並開始自BotNet的C&C伺服器(位於 good.mincesur.com)下載指令進行任務;
4) 首批受害的使用者並非「位高權重」人物,緊接著相關聯的人士包括IT與非IT等伺服器管理員相繼被黑;
5) RSA發現開發用伺服器(Staging server)遭入侵,攻擊方隨即進行撤離,加密並壓縮所有資料(都是rar格式),並以FTP傳送至遠端主機,又迅速再次搬離該主機,清除任何蹤跡;
6) 在拿到了SecurID的信息後,攻擊者就開始對使用SecurID的公司(例如上述防務公司等)進行攻擊了。
2、 震網攻擊
遭遇超級工廠病毒攻擊的核電站計算機系統實際上是與外界物理隔離的,理論上不會遭遇外界攻擊。堅固的堡壘只有從內部才能被攻破,超級工廠病毒也正充分的利用了這一點。超級工廠病毒的攻擊者並沒有廣泛的去傳播病毒,而是針對核電站相關工作人員的家用電腦、個人電腦等能夠接觸到互聯網的計算機發起感染攻擊,以此 為第一道攻擊跳板,進一步感染相關人員的U盤,病毒以U盤為橋梁進入「堡壘」內部,隨即潛伏下來。病毒很有耐心的逐步擴散,利用多種漏洞,包括當時的一個 0day漏洞,一點一點的進行破壞。這是一次十分成功的APT攻擊,而其最為恐怖的地方就在於極為巧妙的控制了攻擊范圍,攻擊十分精準。
以上兩個典型的APT攻擊案例中可以看出,對於APT攻擊,現代安全防禦手段有三個主要盲點:
1、0day漏洞與遠程加密通信
支撐現代網路安全技術的理論基礎最重要的就是特徵匹配,廣泛應用於各類主流網路安全產品,如殺毒、入侵檢測/防禦、漏洞掃描、深度包檢測。Oday漏洞和遠程加密通信都意味著沒有特徵,或者說還沒來得及積累特徵,這是基於特徵匹配的邊界防護技術難以應對的。
2、長期持續性的攻擊
現代網路安全產品把實時性作為衡量系統能力的一項重要指標,追求的目標就是精準的識別威脅,並實時的阻斷。而對於APT這種Salami式的攻擊,則是基於實時時間點的檢測技術難以應對的。
3、內網攻擊
任何防禦體系都會做安全域劃分,內網通常被劃成信任域,信任域內部的通信不被監控,成為了盲點。需要做接入側的安全方案加固,但不在本文討論范圍。
大數據怎麼解決問題
大數據可總結為基於分布式計算的數據挖掘,可以跟傳統數據處理模式對比去理解大數據:
1、數據采樣——>全集原始數據(Raw Data)
2、小數據+大演算法——>大數據+小演算法+上下文關聯+知識積累
3、基於模型的演算法——>機械窮舉(不帶假設條件)
4、精確性+實時性——>過程中的預測
使用大數據思想,可對現代網路安全技術做如下改進:
1、特定協議報文分析——>全流量原始數據抓取(Raw Data)
2、實時數據+復雜模型演算法——>長期全流量數據+多種簡單挖掘演算法+上下文關聯+知識積累
3、實時性+自動化——>過程中的預警+人工調查
通過傳統安全防禦措施很難檢測高級持續性攻擊,企業必須先確定日常網路中各用戶、業務系統的正常行為模型是什麼,才能盡早確定企業的網路和數據是否受到了攻擊。而安全廠商可利用大數據技術對事件的模式、攻擊的模式、時間、空間、行為上的特徵進行處理,總結抽象出來一些模型,變成大數據安全工具。為了精準地描述威脅特徵,建模的過程可能耗費幾個月甚至幾年時間,企業需要耗費大量人力、物力、財力成本,才能達到目的。但可以通過整合大數據處理資源,協調大數據處理和分析機制,共享資料庫之間的關鍵模型數據,加快對高級可持續攻擊的建模進程,消除和控制高級可持續攻擊的危害。
F. SSL 3.0 POODLE攻擊信息泄露漏洞(CVE-2014-3566)【原理掃描】怎麼處理
其實以上發的已經很清楚的,如果您看不懂的話,說明不適合您,建議您淘寶搜索:Gworg 讓專業技術人員給您處理。
G. WIN10自動更新後無法列印了
電腦windows10系統自動更新後,出現無法列印的狀態,說明列印連接不優良所導致的,所以平時在系統更新之後,一定要完善各種設備才會更好。
電腦的使用有很多需要注意的小方法,所以我們平時可以多跟專業的技術人員多學習,多掌握技巧才會更好。
想要多跟別人進行有效的學習溝通,需要注意以下幾點:
1、面帶笑容,語態溫和
所有人都喜歡和面帶笑容、語態溫和的人談話,因為他們能從這個人的講話中聽出一種親切感。當跟你聊天的人一直面帶笑容時,你是不是會感到一種舒坦;當他的說話語氣讓你很舒服時,你是不是就有和他繼續說下去的沖動。
2、言談舉止要有禮貌
與人說話的時候,一定要注意自己的言行。正所謂君子有禮,要想跟別人有效地進行交談,就要學會有禮貌地與人相處,讓別人對你產生好感!
3、同一個話題不要將太久
即便是兩個人都喜歡的話題,也不要一直在這個話題上不停交流意見,時間長了會讓對方感覺到厭煩。
4、不要談論別人的傷心事
如果你知道對方最近有什麼比較不好的事情,一定不要在交談過程中提到此事,否則會引起對方的反感和難受。
5、找到共同話題
古人說,話不投機半句多,意思就是要與人有效交流,就要找到投機的人,也就是有共同話題的人。所以,跟別人有效交流的重點在於共同話題。
H. 滲透測試應該怎麼做呢
01、信息收集
1、域名、IP、埠
域名信息查詢:信息可用於後續滲透
IP信息查詢:確認域名對應IP,確認IP是否真實,確認通信是否正常
埠信息查詢:NMap掃描,確認開放埠
發現:一共開放兩個埠,80為web訪問埠,3389為windows遠程登陸埠,嘿嘿嘿,試一下
發現:是Windows Server 2003系統,OK,到此為止。
2、指紋識別
其實就是網站的信息。比如通過可以訪問的資源,如網站首頁,查看源代碼:
看看是否存在文件遍歷的漏洞(如圖片路徑,再通過…/遍歷文件)
是否使用了存在漏洞的框架(如果沒有現成的就自己挖)
02、漏洞掃描
1、主機掃描
Nessus
經典主機漏掃工具,看看有沒有CVE漏洞:
2、Web掃描
AWVS(Acunetix | Website Security Scanner)掃描器
PS:掃描器可能會對網站構成傷害,小心謹慎使用。
03、滲透測試
1、弱口令漏洞
漏洞描述
目標網站管理入口(或資料庫等組件的外部連接)使用了容易被猜測的簡單字元口令、或者是默認系統賬號口令。
滲透測試
① 如果不存在驗證碼,則直接使用相對應的弱口令字典使用burpsuite 進行爆破
② 如果存在驗證碼,則看驗證碼是否存在繞過、以及看驗證碼是否容易識別
風險評級:高風險
安全建議
① 默認口令以及修改口令都應保證復雜度,比如:大小寫字母與數字或特殊字元的組合,口令長度不小於8位等
② 定期檢查和更換網站管理口令
2、文件下載(目錄瀏覽)漏洞
漏洞描述
一些網站由於業務需求,可能提供文件查看或下載的功能,如果對用戶查看或下載的文件不做限制,則惡意用戶就能夠查看或下載任意的文件,可以是源代碼文件、敏感文件等。
滲透測試
① 查找可能存在文件包含的漏洞點,比如js,css等頁面代碼路徑
② 看看有沒有文件上傳訪問的功能
③ 採用…/來測試能否誇目錄訪問文件
風險評級:高風險
安全建議
① 採用白名單機制限制伺服器目錄的訪問,以及可以訪問的文件類型(小心被繞過)
② 過濾【./】等特殊字元
③ 採用文件流的訪問返回上傳文件(如用戶頭像),不要通過真實的網站路徑。
示例:tomcat,默認關閉路徑瀏覽的功能:
<param-name>listings</param-name>
<param-value>false</param-value>
3、任意文件上傳漏洞
漏洞描述
目標網站允許用戶向網站直接上傳文件,但未對所上傳文件的類型和內容進行嚴格的過濾。
滲透測試
① 收集網站信息,判斷使用的語言(PHP,ASP,JSP)
② 過濾規則繞過方法:文件上傳繞過技巧
風險評級:高風險
安全建議
① 對上傳文件做有效文件類型判斷,採用白名單控制的方法,開放只允許上傳的文件型式;
② 文件類型判斷,應對上傳文件的後綴、文件頭、圖片類的預覽圖等做檢測來判斷文件類型,同時注意重命名(Md5加密)上傳文件的文件名避免攻擊者利用WEB服務的缺陷構造畸形文件名實現攻擊目的;
③ 禁止上傳目錄有執行許可權;
④ 使用隨機數改寫文件名和文件路徑,使得用戶不能輕易訪問自己上傳的文件。
4、命令注入漏洞
漏洞描述
目標網站未對用戶輸入的字元進行特殊字元過濾或合法性校驗,允許用戶輸入特殊語句,導致各種調用系統命令的web應用,會被攻擊者通過命令拼接、繞過黑名單等方式,在服務端運行惡意的系統命令。
滲透測試
風險評級:高風險
安全建議
① 拒絕使用拼接語句的方式進行參數傳遞;
② 盡量使用白名單的方式(首選方式);
③ 過濾危險方法、特殊字元,如:【|】【&】【;】【』】【"】等
5、sql注入漏洞
漏洞描述
目標網站未對用戶輸入的字元進行特殊字元過濾或合法性校驗,允許用戶輸入特殊語句查詢後台資料庫相關信息
滲透測試
① 手動測試:判斷是否存在SQL注入,判斷是字元型還是數字型,是否需要盲注
② 工具測試:使用sqlmap等工具進行輔助測試
風險評級:高風險
安全建議
① 防範SQL注入攻擊的最佳方式就是將查詢的邏輯與其數據分隔,如Java的預處理,PHP的PDO
② 拒絕使用拼接SQL的方式
6、跨站腳本漏洞
漏洞描述
當應用程序的網頁中包含不受信任的、未經恰當驗證或轉義的數據時,或者使用可以創建 HTML或JavaScript 的瀏覽器 API 更新現有的網頁時,就會出現 XSS 缺陷。XSS 讓攻擊者能夠在受害者的瀏覽器中執行腳本,並劫持用戶會話、破壞網站或將用戶重定向到惡意站點。
三種XSS漏洞:
① 存儲型:用戶輸入的信息被持久化,並能夠在頁面顯示的功能,都可能存在存儲型XSS,例如用戶留言、個人信息修改等。
② 反射型:URL參數需要在頁面顯示的功能都可能存在反射型跨站腳本攻擊,例如站內搜索、查詢功能。
③ DOM型:涉及DOM對象的頁面程序,包括:document.URL、document.location、document.referrer、window.location等
滲透測試
存儲型,反射型,DOM型
風險評級:高風險
安全建議
① 不信任用戶提交的任何內容,對用戶輸入的內容,在後台都需要進行長度檢查,並且對【<】【>】【"】【』】【&】等字元做過濾
② 任何內容返回到頁面顯示之前都必須加以html編碼,即將【<】【>】【"】【』】【&】進行轉義。
7、跨站請求偽造漏洞
漏洞描述
CSRF,全稱為Cross-Site Request Forgery,跨站請求偽造,是一種網路攻擊方式,它可以在用戶毫不知情的情況下,以用戶的名義偽造請求發送給被攻擊站點,從而在未授權的情況下進行許可權保護內的操作,如修改密碼,轉賬等。
滲透測試
風險評級:中風險(如果相關業務極其重要,則為高風險)
安全建議
① 使用一次性令牌:用戶登錄後產生隨機token並賦值給頁面中的某個Hidden標簽,提交表單時候,同時提交這個Hidden標簽並驗證,驗證後重新產生新的token,並賦值給hidden標簽;
② 適當場景添加驗證碼輸入:每次的用戶提交都需要用戶在表單中填寫一個圖片上的隨機字元串;
③ 請求頭Referer效驗,url請求是否前部匹配Http(s)😕/ServerHost
④ 關鍵信息輸入確認提交信息的用戶身份是否合法,比如修改密碼一定要提供原密碼輸入
⑤ 用戶自身可以通過在瀏覽其它站點前登出站點或者在瀏覽器會話結束後清理瀏覽器的cookie;
8、內部後台地址暴露
漏洞描述
一些僅被內部訪問的地址,對外部暴露了,如:管理員登陸頁面;系統監控頁面;API介面描述頁面等,這些會導致信息泄露,後台登陸等地址還可能被爆破。
滲透測試
① 通過常用的地址進行探測,如login.html,manager.html,api.html等;
② 可以借用burpsuite和常規頁面地址字典,進行掃描探測
風險評級:中風險
安全建議
① 禁止外網訪問後台地址
② 使用非常規路徑(如對md5加密)
9、信息泄露漏洞
漏洞描述
① 備份信息泄露:目標網站未及時刪除編輯器或者人員在編輯文件時,產生的臨時文件,或者相關備份信息未及時刪除導致信息泄露。
② 測試頁面信息泄露:測試界面未及時刪除,導致測試界面暴露,被他人訪問。
③ 源碼信息泄露:目標網站文件訪問控制設置不當,WEB伺服器開啟源碼下載功能,允許用戶訪問網站源碼。
④ 錯誤信息泄露:目標網站WEB程序和伺服器未屏蔽錯誤信息回顯,頁面含有CGI處理錯誤的代碼級別的詳細信息,例如SQL語句執行錯誤原因,PHP的錯誤行數等。
⑤ 介面信息泄露:目標網站介面訪問控制不嚴,導致網站內部敏感信息泄露。
滲透測試
① 備份信息泄露、測試頁面信息泄露、源碼信息泄露,測試方法:使用字典,爆破相關目錄,看是否存在相關敏感文件
② 錯誤信息泄露,測試方法:發送畸形的數據報文、非正常的報文進行探測,看是否對錯誤參數處理妥當。
③ 介面信息泄露漏洞,測試方法:使用爬蟲或者掃描器爬取獲取介面相關信息,看目標網站對介面許可權是否合理
風險評級:一般為中風險,如果源碼大量泄漏或大量客戶敏感信息泄露。
安全建議
① 備份信息泄露漏洞:刪除相關備份信息,做好許可權控制
② 測試頁面信息泄露漏洞:刪除相關測試界面,做好許可權控制
③ 源碼信息泄露漏洞:做好許可權控制
④ 錯誤信息泄露漏洞:將錯誤信息對用戶透明化,在CGI處理錯誤後可以返回友好的提示語以及返回碼。但是不可以提示用戶出錯的代碼級別的詳細原因
⑤ 介面信息泄露漏洞:對介面訪問許可權嚴格控制
10、失效的身份認證
漏洞描述
通常,通過錯誤使用應用程序的身份認證和會話管理功能,攻擊者能夠破譯密碼、密鑰或會話令牌, 或者利用其它開發缺陷來暫時性或永久性冒充其他用戶的身份。
滲透測試
① 在登陸前後觀察,前端提交信息中,隨機變化的數據,總有與當前已登陸用戶進行綁定的會話唯一標識,常見如cookie
② 一般現在網站沒有那種簡單可破解的標識,但是如果是跨站認證,單點登錄場景中,可能為了開發方便而簡化了身份認證
風險評級:高風險
安全建議
① 使用強身份識別,不使用簡單弱加密方式進行身份識別;
② 伺服器端使用安全的會話管理器,在登錄後生成高度復雜的新隨機會話ID。會話ID不能在URL中,可以安全地存儲,在登出、閑置超時後使其失效。
11、失效的訪問控制
漏洞描述
未對通過身份驗證的用戶實施恰當的訪問控制。攻擊者可以利用這些缺陷訪問未經授權的功能或數據,例如:訪問其他用戶的帳戶、查看敏感文件、修改其他用戶的數據、更改訪問許可權等。
滲透測試
① 登入後,通過burpsuite 抓取相關url 鏈接,獲取到url 鏈接之後,在另一個瀏覽器打開相關鏈接,看能夠通過另一個未登入的瀏覽器直接訪問該功能點。
② 使用A用戶登陸,然後在另一個瀏覽器使用B用戶登陸,使用B訪問A獨有的功能,看能否訪問。
風險評級:高風險
安全建議
① 除公有資源外,默認情況下拒絕訪問非本人所有的私有資源;
② 對API和控制器的訪問進行速率限制,以最大限度地降低自動化攻擊工具的危害;
③ 當用戶注銷後,伺服器上的Cookie,JWT等令牌應失效;
④ 對每一個業務請求,都進行許可權校驗。
12、安全配置錯誤
漏洞描述
應用程序缺少適當的安全加固,或者雲服務的許可權配置錯誤。
① 應用程序啟用或安裝了不必要的功能(例如:不必要的埠、服務、網頁、帳戶或許可權)。
② 默認帳戶的密碼仍然可用且沒有更改。
③ 錯誤處理機制向用戶披露堆棧跟蹤或其他大量錯誤信息。
④ 對於更新的系統,禁用或不安全地配置最新的安全功能。
⑤ 應用程序伺服器、應用程序框架(如:Struts、Spring、ASP.NET)、庫文件、資料庫等沒有進行相關安全配置。
滲透測試
先對應用指紋等進行信息搜集,然後針對搜集的信息,看相關應用默認配置是否有更改,是否有加固過;埠開放情況,是否開放了多餘的埠;
風險評級:中風險
安全建議
搭建最小化平台,該平台不包含任何不必要的功能、組件、文檔和示例。移除或不安裝不適用的功能和框架。在所有環境中按照標準的加固流程進行正確安全配置。
13、使用含有已知漏洞的組件
漏洞描述
使用了不再支持或者過時的組件。這包括:OS、Web伺服器、應用程序伺服器、資料庫管理系統(DBMS)、應用程序、API和所有的組件、運行環境和庫。
滲透測試
① 根據前期信息搜集的信息,查看相關組件的版本,看是否使用了不在支持或者過時的組件。一般來說,信息搜集,可通過http返回頭、相關錯誤信息、應用指紋、埠探測(Nmap)等手段搜集。
② Nmap等工具也可以用於獲取操作系統版本信息
③ 通過CVE,CNVD等平台可以獲取當前組件版本是否存在漏洞
風險評級:按照存在漏洞的組件的安全風險值判定當前風險。
安全建議
① 移除不使用的依賴、不需要的功能、組件、文件和文檔;
② 僅從官方渠道安全的獲取組件(盡量保證是最新版本),並使用簽名機制來降低組件被篡改或加入惡意漏洞的風險;
③ 監控那些不再維護或者不發布安全補丁的庫和組件。如果不能打補丁,可以考慮部署虛擬補丁來監控、檢測或保護。
詳細學習可參考:
I. 施耐德plc程序加密怎麼破解
PLC加密的方式:
通過編程軟體將密碼(明文)同程序文件一起寫入PLC中。在用編程軟體連接PLC時,提示輸入密碼,然後PLC返回實際密碼,在編程軟體內部實現密碼的比較。此種加密方法在寫入PLC中的密碼沒用經過任何加密計算。比較容易破解!
通過編程軟體將密碼同程序文件一起寫入PLC中。寫入PLC的密碼(密文)在編程軟體內部經過一定的加密計算(大都是簡單的加密演算法)。在用編 程軟體連接PLC時,提示輸入密碼,然後PLC返回密文密碼,在編程軟體內部實現密文的比較。此種加密方法,破解有一定的難度!需要跟蹤分析編程程序,找 出加密演算法。
通過編程軟體將密碼明文同程序文件一起寫入PLC中,由PLC對密碼明文進行加密計算出密文存儲在PLC內部。在用編程軟體連接PLC時,提示 輸入密碼,PLC不用返回密文,在PLC內部實現密文的比較。這種加密方式也不易實現,需要PLC硬體及PLC操作系統支持。此種加密方式最難破解。
PLC的解密方式:
直接監視通訊口,找出明文密碼。
監視通訊口、跟蹤編程軟體,找出密碼明文與密文的關系(演算法)。
目前沒有十分有效的方法。
各種破解需要一定的技巧及經驗、相關軟體,真正的高手不屑於此。寫此篇文章的目的不是要教大家如何破解,只是看不慣某些專業收費破解PLC密碼的人,提醒PLC廠家提高密碼的保密強度。
艾馳商城是國內最專業的MRO工業品網購平台,正品現貨、優勢價格、迅捷配送,是一站式采購的工業品商城!具有10年工業用品電子商務領域研 究,以強大的信息通道建設的優勢,以及依託線下貿易交易市場在工業用品行業上游供應鏈的整合能力,為廣大的用戶提供了感測器、圖爾克感測器、變頻器、斷路 器、繼電器、PLC、工控機、儀器儀表、氣缸、五金工具、伺服電機、勞保用品等一系列自動化的工控產品
J. 華為安裝東西的時候會彈出簽名不一致,就不讓安裝怎麼關閉這個功能
關閉方法:
1、首先,打開手機,找到手機上面的設置選項進入。