From 1046c47c7fe2da34bd58b8e2daa3186aaa523556 Mon Sep 17 00:00:00 2001 From: Noriu Date: Fri, 4 Oct 2024 15:47:08 +0800 Subject: [PATCH] =?UTF-8?q?2024=E5=B9=B410=E6=9C=884=E6=97=A5=2015:47:10?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- 09_第九章 计算环境安全/9.3 恶意代码防护.md | 97 +++++++++++++- 09_第九章 计算环境安全/9.4 应用安全.md | 149 ++++++++++++++++++++- 2 files changed, 236 insertions(+), 10 deletions(-) diff --git a/09_第九章 计算环境安全/9.3 恶意代码防护.md b/09_第九章 计算环境安全/9.3 恶意代码防护.md index a6344a4..e6755ef 100644 --- a/09_第九章 计算环境安全/9.3 恶意代码防护.md +++ b/09_第九章 计算环境安全/9.3 恶意代码防护.md @@ -1,31 +1,120 @@ # 恶意代码防护 -> +> **一、恶意代码的预防**
+>     了解恶意代码的概念、传播方式及安全策略、减少漏洞和减轻威胁等针对恶意代码的预防措施。 +> +> **二、恶意代码的检测分析**
+>     理解特征扫描、行为检测的区别及优缺点;
+>     了解静态分析、云动态分析的概念及区别。 +> +> **三、恶意代码的清除**
+>     了解感染引导区、感染文件、独立型和嵌入型恶意代码清除的方式。 +> +> **四、基于互联网的恶意代码防护**
+>     了解基于互联网的恶意代码防护概念。 ### 一、恶意代码预防 +#### 1、基础概念 +1. **什么是恶意代码** + - 《中华人民共和国计算机信息系统安全保护条例》第二十八条:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码(1994.02.18)。 + - 恶意代码,是指能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序代码,指令。 +2. **类型**:二进制代码、脚本语言、宏语言等。 +3. **表现形式**:病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等。 +#### 2、恶意代码传播方式 +1. **文件传播** + - 感染 + - 移动介质 +2. **网络传播** + - 网页、电子邮件、即时通讯、共享、漏洞 +3. **软件部署** + - 逻辑炸弹 + - 预留后门 + - 文件捆绑 +#### 3、恶意代码的预防技术 - - +1. **增强安全策略与意识** +2. **减少漏洞** + - 补丁管理 + - 主机加固 +3. **减轻威胁** + - 防病毒软件 + - 间谍软件检测和删除工具 + - 入侵检测(IDS)/入侵防御(IPS)系统 + - 防火墙 + - 路由器、应用安全设置等 ### 二、恶意代码检测与分析 +#### 1、特征码扫描 +1. **工作机制:特征匹配** + - 病毒库(恶意代码特征库) + - 扫描(特征匹配过程) +2. **优势** + - 准确(误报率低) + - 易于管理 +3. **不足** + - 效率问题(特征库不断庞大、依赖厂商) + - 滞后(先有病毒后有特征库,需要持续更新) +#### 2、行为检测 +1. **工作机制:基于统计数据** + - 恶意代码行为有哪些 + - 行为符合度 +2. **优势** + - 能检测到未知病毒 +3. **不足** + - 误报率高 + - 难点:病毒不可判定原则 +#### 3、恶意代码分析技术 +1. **静态分析** + - 不实际执行恶意代码,直接对二进制代码进行分析 + - 文件特性,如文件形态、版本、存储位置、长度等。 + - 文件格式,如PE信息、API调用等。 + - 由于不需要运行恶意代码,静态分析方法不会影响运行环境的安全。 +2. **动态分析** + - 动态分析是指在虚拟运行环境中,使用测试及监控软件,检测恶意代码行为,分析其执行流程及处理数据的状态,从而判断恶意代码的性质,并掌握其行为特点。 + - 运行恶意代码并使用监控及测试软件分析 + - 本地行为:文件读写、注册表读写等。 + - 网络行为:远程访问、调用等。 ### 三、恶意代码的清除 +#### 1、感染引导区 +- 修复 / 重建引导区 +#### 2、感染文件 +- 附着型:逆向还原(从正常文件中删除恶意代码) +- 替换型:备份还原(正常文件替换感染文件) +#### 3、独立文件 +- 内存退出,删除文件 + +#### 4、嵌入型 + +- 更新软件或系统 +- 重置系统 + +### 四、基于互联网的恶意代码防护 + +#### 1、恶意代码监测与预警体系 + +- 蜜罐、蜜网 + - 蜜罐:建立有故意漏洞的系统,用于引诱入侵者攻击的诱饵计算机系统。 + - 蜜网:建立有故意漏洞的网络,由多个蜜罐组成的网络为入侵者提供了更复杂的环境。 + +#### 2、恶意代码云查杀 + +- 分布式计算 -### 四、基于互联网的恶意代码防护 \ No newline at end of file diff --git a/09_第九章 计算环境安全/9.4 应用安全.md b/09_第九章 计算环境安全/9.4 应用安全.md index 363284e..1ad6175 100644 --- a/09_第九章 计算环境安全/9.4 应用安全.md +++ b/09_第九章 计算环境安全/9.4 应用安全.md @@ -1,31 +1,168 @@ # 应用安全 -> +> **一、Web应用安全**
+>     了解WEB体系架构;
+>     理解HTTP协议工作机制及明文传输数据、弱验证、无状态等安全问题;
+>     理解SQL注入攻击的原理及危害;
+>     了解跨站脚本安全问题的原理及危害及其他针对WEB的攻击方式;
+>     了解WEB防火墙、网页防篡改等常见Web安全防护技术作用。 +> +> **二、电子邮件安全**
+>     理解电子邮件工作机制及SMTP、POP3协议;
+>     了解电子邮件安全问题及解决方案。 +> +> **三、其他互联网应用**
+>     了解远程接入、域名系统、即时通讯等其他互联网应用安全问题及解决措施。 + +应用系统的复杂性多样性使得安全问题也呈现出多样化的特点。 ### 一、Web应用安全 +- WEB服务器端安全问题(支撑软件、B应用程序) +- Web客户端(浏览器) +- Web协议(Http) +#### 1、HTTP协议 +1. **HTTP(超文本传输协议)工作机制** + 请求响应模式 + - HTTP请求包含三个部分(方法URL协议/版本、请求头部、请求正文) + - HTTP响应包含三个部分(协议状态代码描述、响应包头实体包) +2. **HTTP协议安全问题** + - 信息泄漏(传输数据明文) + - 弱验证(会话双方没有严格认证机制) + - http1.1提供摘要访问认证机制,采用MD5将用户名、密码、请求包头等进行封装,但仍然不提供对实体信息的保护。 + - 缺乏状态跟踪(请求响应机制决定http是一个无状态协议) + - Session解决方案带来的安全问题 +#### 2、Web服务端软件安全问题 +1. **服务支撑软件安全问题** + - 软件自身安全漏洞 + + > 例:IIS 5.0超长URL拒绝服务漏洞
+ > 例:Unicode解码漏洞 + + - 软件配置缺陷 + + - 默认账号、口令 + + - 不安全的配置 + + > 例:IIS配置允许远程写入 + +2. **应用软件安全问题** + +#### 3、Web安全防护技术 + +1. **Web防火墙** + - 工作在应用层 + - 基本功能 + - 审计并拦截HTTP数据流 + - Web应用访问控制 + - Web应用加固 +2. **网页防篡改** + - 监控Web服务器上的页面文件,防止被篡改 + - 机制 + - 备份文件对比 + - 摘要文件对比 + - 删改操作触发 + - 系统底层过滤 + +#### 4、典型注入攻击 - SQL注入 + +- **原理**:程序没有对用户输入数据的合法性进行判断,使攻击者可以绕过应用程序限制,构造一段SQL语句并传递到数据库中,实现对数据库的操作。 + + ![image-20241004152847120](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20241004152847120.png) + +- **可以传递到数据库的数据都是攻击对象。** + + - http://www.test.com/showdetail.asp?id=49' And (update user set passwd = "123" where user name = 'admin'); + + - Select * from 表名 where 字段 = '49' And (update user set passwd = "123" where user name = admin) + + 非法的SQL语句被传递到数据库中执行! + +#### 5、SQL注入的危害 + +1. **数据库信息收集** + - 数据检索 +2. **操作数据库** + - 增加数据 + - 删除数据 + - 更改数据 +3. **操作系统** + - 借助数据库某些功能(例如:SQL Server的内置存储过程XP_CMDSheII) + +#### 6、SQL注入的防御 + +1. **防御的对象:所有外部传入数据** + - 用户的输入 + - 提交的URL请求中的参数部分 + - 从cookie中得到的数据 + - 其他系统传入的数据 +2. **防御的方法** + - 白名单:限制传递数据的格式 + - 黑名单:过滤 + - 过滤特殊字串:update、insert、delete等 + - 开发时过滤特殊字符:单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符 + - 部署防SQL注入系统或脚本 + +#### 7、跨站脚本 + +1. **原理** + + 由于程序没有对用户提交的变量中的HTML代码进行过滤或转换,使得脚本可被执行,攻击者可以利用用户和服务器之间的信任关系实现恶意攻击。 + +2. **危害** + + 敏感信息泄露、账号劫持、Cookie欺骗、拒绝服务、钓鱼等 + +3. **防范** + + - 不允许HTML中脚本运行 + - 对所有脚本进行严格过滤 + +#### 8、针对WEB应用的攻击 + +- 失效的验证和会话管理 +- 不安全的对象直接引用 +- 跨站请求伪造 +- 不安全的配置管理 +- 不安全的密码存储 +- 错误的访问控制 +- 传输保护不足 +- 未经验证的网址重定向 +- 不恰当的异常处理 +- 拒绝服务攻击 ### 二、电子邮件安全 +#### 1、POP3/SMTP协议工作机制 +- 简单的请求响应模式 +#### 2、安全问题 +- 信息泄漏(用户帐号密码、邮件内容) +- 身份验证不足(社会工程学攻击、垃圾邮件) +#### 3、安全解决 +- 服务器端 + - 安全邮件协议 + - 使用SSL保护会话 + - 安全策略 +- 客户端 +### 三、其他互联网应用 +- 远程接入 +- 域名系统 +- 即时通信 - - - - -### 三、其他互联网应用 \ No newline at end of file