No.13 笔记 | 网络安全防护指南:从法律法规到技术防御

一、法律法规

《中华人民共和国网络安全法》要点

  • 遵守法律:所有个人和组织在使用网络时,必须遵守宪法和法律,不得利用网络从事危害国家安全等活动。

  • 个人信息保护:禁止非法获取、出售或提供个人信息。若违反但未构成犯罪,将面临罚款和没收违法所得。

二、认证崩溃与防范

定义与问题

  • 认证崩溃:因错误使用身份认证或会话管理功能,导致攻击者能够破解密码。常见于开发人员忽视安全交互,如使用弱口令或缺少多因素认证。

预防措施

  1. 多因素认证:增加安全层级,防止暴力破解。
  2. 弱口令检测:定期检查并消除弱口令。
  3. 复杂会话ID:生成高复杂度会话ID,并设置超时失效。

三、弱口令

定义与分类

  • 弱口令:容易被猜测的密码,如“123”或“abc”。

  • 分类

    • 公共弱口令:常见高频密码。
    • 条件弱口令:与个人信息相关的密码。

产生原因与危害

  • 原因:个人习惯和安全意识不足,使用易记或默认密码。
  • 危害:攻击者可进入系统后台,修改资料、盗取资金等。

四、密码破解时间

  • 6位密码破解时间
    • 数字:0秒
    • 字母(大/小写):30秒
    • 混合字母:33分钟
    • 数字+字母:1.5小时
    • 数字+字母+标点:22小时

五、增加密码复杂度

  • 建议:密码不少于8位,包含大小写字母、数字和特殊符号。避免使用连续字符或与个人信息相关的密码,定期修改。

六、常见漏洞与防范

  1. 信息收集:防止信息泄露,保护网站敏感信息。
  2. 弱口令攻击:采用强密码策略,防止穷举攻击。
  3. 框架漏洞:及时更新修复技术栈中的安全漏洞。
  4. 逻辑漏洞:确保授权访问,防止未授权操作。
  5. CSRF攻击:使用防伪令牌,防止跨站请求伪造。
  6. 文件上传漏洞:限制文件类型,防止上传恶意脚本。

七、暴力破解与工具

暴力破解概述

  • 定义:暴力破解,又称字典攻击,是通过自动化脚本反复尝试用户名和密码组合,以窃取信息或获取权限的攻击方式。

  • 产生原因

    • Web应用在开发时存在身份认证逻辑漏洞。
    • 用户身份识别策略不严格或设置不当。
    • 对用户身份和密码未实施强制性限制。
    • 对异常访问地址未进行处理。
    • 身份认证方式存在缺陷或权限分配不合理。

工具介绍:Hydra与Burp Suite

  • Hydra:开源暴力破解工具,支持多种协议。适用于SSH、RDP、MySQL等,但不适用于HTTP(S)破解。

  • Burp Suite:用于攻击Web应用程序的集成平台,提供多种工具和接口。Burp Intruder模块可自动对Web应用程序进行自定义攻击,具有高度的可配置性。

Burp爆破模块组成

  1. Target:配置目标服务器的详细信息,包括IP地址、端口号及是否使用HTTPS等。
  2. Positions:设置Payload插入点和攻击类型(如Sniper、Battering Ram、Pitchfork、Cluster Bomb)。
  3. Payloads:配置Payload,设置字典,定制数量、类型及选项。
  4. Options:包含发包和收包细节,如发包速度、记录保存,以及请求头发送和接收数据处理等设置。

靶场练习

  • 后端验证:如Pikachu后端服务器在验证码检测上存在漏洞,未重置验证码,导致可被爆破。
  • 前端JS检测:验证码检查在JS中进行,可利用前端验证而后端不检查的情况进行爆破。
  • Token防爆破检测:服务端生成Token,前端请求携带以证明合法身份。在练习中,假设已知用户名,并将密码和Token设置为爆破点进行标记,直至爆破成功。

暴力破解防御方式

  • 用户层面:避免使用弱口令。
  • 服务方层面
    • 对多次登录失败的账户锁定IP。
    • 使用短信或语音验证码等验证方式,并设置阈值。
    • 使用复杂验证码以增加攻击成本。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/56370.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Karmada核心概念

以下内容为翻译,原文地址 Karmada 是什么? | karmada 一、Karmada核心概念 一)什么是Karmada 1、Karmada:开放,多云,多集群Kubernetes业务流程 Karmada (Kubernetes Armada)是一个Kubernetes管理系统&…

【NTN 卫星通信】卫星通信的专利

1 概述 好久没有看书了,最近买了本讲低轨卫星专利的书,也可以说是一个分析报告。推荐给喜欢的朋友。 2 书籍截图 图1 封面 图2 波音低轨卫星专利演进 图3 低轨卫星关键技术专利发展阶段 图4 第一页 3 参考文献 产业专利分析报告–低轨卫星通信技术

apisix云原生网关

定义 企业级网关通过域名、路由将请求分发到对应的应用上,通常承载数千个服务的流量,对稳定性有较高要求。 CNCF全景图 选型 Kubernetes抽象出两个核心概念:Service,为多个Pod提供统一的访问入口;Ingress&#xff…

【火山引擎】调用火山大模型的方法 | SDK安装 | 配置 | 客户端初始化 | 设置

豆包 (Doubao) 是字节跳动研发的大规模预训练语言模型。 目录 1 安装 2 配置访问凭证 3 客户端初始化 4 设置地域和访问域名 5 设置超时/重试次数 1 安装 通过pip安装PYTHON SDK。 pip install volcengine-python-sdk[ark] 2 配置访问凭证 获取 API Key 访问凭证具体步…

docker容器运行一段时间提示Failed to initialize NVML: Unknown Error

情况描述 服务器使用docker启动容器。启动以后一切正常也能跑程序。但是,在运行一段时间(2天左右不等),会发现gpu掉了。输入nvidia-smi提示 Failed to initialize NVML: Unknown Error 主要发生条件是,docker启动的…

Oracle-19g数据库的安装

简介 Oracle是一家全球领先的数据库和云解决方案提供商。他们提供了一套完整的技术和产品,包括数据库管理系统、企业级应用程序、人工智能和机器学习工具等。Oracle的数据库管理系统是业界最受欢迎和广泛使用的数据库之一,它可以管理和存储大量结构化和…

Canmv k230 C++案例1——image classify学习笔记 初版

00 简介 用C编写代码的比mircopython要慢很多,需要编译开发环境,同时使用C更接近底层,效率利用率应该也是更高的,就是需要学习更多的内容,因为从零开始因此比较比较耗时。 注:以下为个人角度的理解&#x…

科技云报到:云服务的中场战事,从AI应用开始

科技云报到原创。 从去年的大模型之战,到今年的AI应用之争,云服务正在迈入全新的发展阶段。AI这个杠杆将各家厂商的竞争策略更向前推进了一步。 “云AI”能够孵化出多少可能?在业界眼中,“云AI”则意味着新的悬念:云计…

探索极简计算的新边界:从Uxn虚拟机看未来编程生态

越来越多的开发者追求复杂度和功能性的极致,然而,有一个小众的编程社区选择了截然不同的道路——极简主义。Uxn虚拟机便是这一思潮的代表之一。它通过简洁的指令集和有限的硬件资源模拟,试图打造一种可以在多种设备上运行的便携性编程环境。 与主流的重型操作系统和复杂…

wireshark抓包

网络抓包工具Wireshark下载安装&使用详细教程-CSDN博客 下载地址:Wireshark Downloadhttps://www.wireshark.org/download.html modbus tcp 关于wireshark无法分析出modbusTCP报文的事情_wireshark 协议一列怎么没有modbus tcp-CSDN博客 使用Wireshark过滤…

【动手学深度学习】6.2 图像卷积(个人向笔记)

1. 互相关运算 严格来说,卷积层是一个错误的叫法,因为它本质上是互相关运算而不是卷积运算。我们暂时忽略通道看看二维图像数据和隐藏表示。那么输出大小可以表示为 我们自己实现一个二维互相关运算 2. 卷积层 卷积层中有两个参数:卷积核权…

鸿蒙OS投票机制

(基于openharmony5.0) 投票机制 param get | grep ohos.boot.time 图 投票机制参数图 只有当所有的投票完成,开机动画才会退出,整理需要投票的系统应用(三方应用不参与投票)如下图所示: 以进程foundation为例&…

快速理解http的get和post

在网络通信中,HTTP 协议扮演着非常重要的角色,而不同的 HTTP 方法决定了客户端与服务器之间的交互方式。 这里讲一下最常用的两种方法——GET 和 POST。 一、GET 方法 GET 方法用于从服务器获取资源。 这就像去图书馆借书——你向图书馆请求一本特定的…

光路科技TSN交换机和电力专用交换机即将亮相第31届中国国际电力设备及技术展览会

在全球能源领域正经历深刻转型之际,可再生能源技术的飞跃进步正为电力行业的未来开辟新径。太阳能、风能等绿色能源,凭借其无可比拟的优势,正稳步取代化石燃料,成为电力行业的主流趋势。多国政府积极响应,出台多项政策…

Vue3获取ref元素的几种方式

静态绑定 获取单个 dom 元素 v-for 中使用 需要注意的是,访问的时候,要确保 ref 引用值已经成功绑定上元素,我们可以使用以下几种方式确保获取

倒计时 2 天,GOSIM CHINA 2024 全日程重磅发布(附参会指南)!

伴随着全球开源技术的快速发展,开源已成为驱动技术创新与协作的重要力量。作为开源领域的年度盛会,GOSIM 大会承载这一背景下的使命,已连续两年聚焦全球前沿技术的突破与应用,推动开源技术在更多场景中的创新实践——今年&#xf…

3D数学在unity中的使用(工作小结)

前言: 公司的游戏,想实现一个类似于元气骑士前传的技能面板,这里的技能可以实现旋转替换。 记录一下我遇到的问题及解决办法。 如何生成这些图标 1:手动摆放。 优点:实现起来简单,代码量少。 缺点&…

Docker 搭建mysql 连接超时问题,xxl-job启动mysql连接报错

1.本地连接Navicat报错信息,猜测是navicat默认连接超时导致的,后面换成idea一个插件虽然慢但连接上了 2013 - Lost connection to MySQL server at reading initial communication packet 2.启动xxl-job会报错,网上有人mysql驱动与数据库不匹…

python 桌面程序开发

作为python新手,通过编写代码,与java、nodejs相比较,差别还有的。 环境配置: IDE:Visual Studio Code PyInstaller: 5.13.2 Python: 3.7.0 Platform: Windows-10-10.0.22621-SP0 功能描述:编写带UI界面的桌面程序,读取终端设备历史轨迹数据,采用多线程高并发,模拟终…

每日学学Java开发规范,集合处理(附阿里巴巴Java开发手册(终极版))

前言 每次去不同的公司,码不同的代码,适应不同的规范,经常被老大教育规范问题,我都有点走火入魔的感觉,还是要去看看阿里巴巴Java开发规范,从中熟悉一下,纠正自己,码出高效&#xf…