摘要:
移动互联网时代,人们可以尽情地畅游网络世界,而对网络安全知识,人们却了解甚少。黑客攻击、公共网络安全事件等这些看似遥远的事情,其实,几乎每天每时每刻都在上演,其破坏、危害程度可谓触目惊心。安全的重要性,不需要多说了,简单的聊聊网络安全。
安全测试主要使用的工具有burpsuite,sqlmap等,
测试内容主要涉及到以下几点:
1.爆力破解
2.命令执行
3.文件包含
4.文件上传
5.SQL注入:显注,盲注
6.XSS
1
为什么要弄安全
敏感信息泄露会对我们造成严重的损失。我们有义务去保护客户信息的私密性。
不妨大胆的假设下:
我们的信息系统被成功攻击,并且敏感数据被窃取以后,此处省略几万字(被利用的过程)。。。
结论:
会有人住你的房子,花你的钱,睡你的老婆,打你的娃!
2
两条腿走路
有人一定会说有waf不就行了嘛?
讲个段子:
一位大师给小明算命说他能活98,小明高兴的骑着电动车,一路狂飚,有命!任性!
76年后某小电视台新闻:一位老人22岁时车祸高位截瘫,卧床76年,享年98。
3
认识安全的目的
认清危害,以及修复的方式
修正我们的编码习惯(对工程师)
4
攻击历史的转变
早些时代
漏洞来源:所针对的攻击为针对操作系统层面,例如大名鼎鼎的蠕虫
应对措施:打补丁!!!打补丁!!!打补丁!!!
现如今
漏洞来源:针对web层面的攻击更多也更容易。同时移动端同样是高威胁区。
应对措施:依照安全开发的标准进行开发,这就对于中小公司提出了高难度,WAF防火墙,安全狗。
5
神器之burpsuite(使用细节就不介绍了)
1.启动burpsuite
2.配置代理截断
3.Scanner的使用
4.Intruder的使用
5.repeater的使用
6
神器之RIPS(具体使用就不介绍了)
RIPS是一个源代码分析工具,它使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞。渗透测试人员可以直接容易的审阅分析结果,而不用审阅整个程序代码。由于静态源代码分析的限制,漏洞是否真正存在,仍然需要代码审阅者确认。RIPS能够检测XSS,SQL注入,文件泄露,LFI/RFI,RCE漏洞等。搭建LAMP环境后,上传RIPS,扫描代码文件即可。
7
黑客攻击演示以及防御策略
暴力破解
方法:发送到intruder后,定义参数,定义payloads后进行暴力破解,根据返回的数据包进行判断。
防御:
转载请注明:http://www.guyukameng.com/aspnet/aspnet/2018-10-30/10003.html