freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

網(wǎng)絡(luò)與信息安全網(wǎng)絡(luò)安全(四)-文庫(kù)吧

2025-09-22 16:32 本頁(yè)面


【正文】 這封信的回復(fù)將會(huì)送給誰,以及郵件傳遞路徑 郵件欺騙:直接連接 smtp服務(wù)器 直接連接 smtp服務(wù)器的 25端口,然后發(fā)送命令,常見命令為 Helo(or EHLO) Mail from: Rcpt to: Data Quit 收件人接收到的郵件為 郵件欺騙的保護(hù) 郵件服務(wù)器的驗(yàn)證 Smtp服務(wù)器驗(yàn)證發(fā)送者的身份,以及發(fā)送的郵件地址是否與郵件服務(wù)器屬于相同的域 驗(yàn)證接收方的域名與郵件服務(wù)器的域名是否相同 有的也驗(yàn)證發(fā)送者的域名是否有效,通過反向 DNS解析 攻擊者可以運(yùn)行自己的 smtp郵件服務(wù)器 不能防止一個(gè)內(nèi)部用戶假冒另一個(gè)內(nèi)部用戶發(fā)送郵件 審核制度,所有的郵件都有記錄 隱私? Web欺騙 Web是應(yīng)用層上提供的服務(wù),直接面向 Inter用戶,欺騙的根源在于 由于 Inter的開放性,任何人都可以建立自己的 Web站點(diǎn) Web站點(diǎn)名字 (DNS域名 )可以自由注冊(cè),按先后順序 并不是每個(gè)用戶都清楚 Web的運(yùn)行規(guī)則 Web欺騙的動(dòng)機(jī) 商業(yè)利益,商業(yè)競(jìng)爭(zhēng) 政治目的 Web欺騙的形式 使用相似的域名 改寫 URL 劫持 Web會(huì)話 使用類似的域名 注冊(cè)一個(gè)與目標(biāo)公司或組織相似的域名,然后建立一個(gè)欺騙網(wǎng)站,騙取該公司的用戶的信任,以便得到這些用戶的信息 例如,針對(duì) ABC公司,用 如果客戶提供了敏感信息,那么這種欺騙可能會(huì)造成進(jìn)一步的危害,例如: 用戶在假冒的網(wǎng)站上訂購(gòu)了一些商品,然后出示支付信息,假冒的網(wǎng)站把這些信息記錄下來 (并分配一個(gè) cookie),然后提示:現(xiàn)在網(wǎng)站出現(xiàn)故障,請(qǐng)重試一次。當(dāng)用戶重試的時(shí)候,假冒網(wǎng)站發(fā)現(xiàn)這個(gè)用戶帶有 cookie,就把它的請(qǐng)求轉(zhuǎn)到真正的網(wǎng)站上。用這種方法,假冒網(wǎng)站可以收集到用戶的敏感信息。 對(duì)于從事商業(yè)活動(dòng)的用戶,應(yīng)對(duì)這種欺騙提高警惕 改寫 URL 一個(gè) HTTP頁(yè)面從 Web服務(wù)器到瀏覽器的傳輸過程中,如果其中的內(nèi)容被修改了的話,則欺騙就會(huì)發(fā)生,其中最重要的是 URL改寫 URL改寫可以把用戶帶到不該去的地方,例如: a href= Wel to HollywoodMovie site./a 有一些更為隱蔽的做法 直接指向一些惡意的代碼 把 url定向放到 script代碼中,難以發(fā)現(xiàn) 改寫頁(yè)面的做法 入侵 Web服務(wù)器,修改頁(yè)面 設(shè)置中間 代理 在傳輸路徑上截獲頁(yè)面并改寫 在客戶端裝載后門程序 …… Web會(huì)話劫持 HTTP協(xié)議不支持會(huì)話 (無狀態(tài) ), Web會(huì)話如何實(shí)現(xiàn)? Cookie 用 url記錄會(huì)話 用表單中的隱藏元素記錄會(huì)話 Web會(huì)話劫持的要點(diǎn)在于,如何獲得或者猜測(cè)出會(huì)話 ID 防止 Web欺騙 使用類似的域名 注意觀察 URL地址欄的變化 不要信任不可靠的 URL信息 改寫 URL 查看頁(yè)面的源文本可以發(fā)現(xiàn) 使用 SSL Web會(huì)話劫持 養(yǎng)成顯式注銷的習(xí)慣 使用長(zhǎng)的會(huì)話 ID Web的安全問題很多,我們需要更多的手段來保證 Web安全 關(guān)于欺騙技術(shù) 從這些欺騙技術(shù),我們可以看到 IP協(xié)議的脆弱性 應(yīng)用層上也缺乏有效的安全措施 在網(wǎng)絡(luò)攻擊技術(shù)中,欺騙術(shù)是比較初級(jí)的,技術(shù)含量并不高,它是針對(duì) Inter中各種不完善的機(jī)制而發(fā)展起來的 非技術(shù)性的欺騙 比如,實(shí)施社會(huì)工程 畢竟網(wǎng)絡(luò)世界與現(xiàn)實(shí)世界是緊密相關(guān)的 避免被欺騙最好的辦法是教育、教育、再教育 增強(qiáng)每一個(gè) Inter用戶的安全意識(shí),網(wǎng)絡(luò)管理人員以及軟件開發(fā)人員的安全意識(shí)更加重要 會(huì)話 (交易 )劫持 在現(xiàn)實(shí)環(huán)境中,比如對(duì)于銀行一筆交易 如果營(yíng)業(yè)員檢查了顧客的身份證和賬戶卡 抬起頭來,發(fā)現(xiàn)不再是剛才的顧客 他會(huì)把錢交給外面的顧客嗎? 在網(wǎng)絡(luò)上沒有人知道你是一條狗 TCP會(huì)話劫持 (session hijacking) 欺騙和劫持 欺騙是偽裝成合法用戶,以獲得一定的利益 劫持是積極主動(dòng)地使一個(gè)在線的用戶下線,或者冒充這個(gè)用戶發(fā)送消息,以便達(dá)到自己的目的 動(dòng)機(jī) Sniffer對(duì)于一次性密鑰并沒有用 認(rèn)證協(xié)議使得口令不在網(wǎng)絡(luò)上傳輸 會(huì)話劫持分兩種 被動(dòng)劫持,實(shí)際上就是藏在后面監(jiān)聽所有的會(huì)話流量。常常用來發(fā)現(xiàn)密碼或者其他敏感信息 主動(dòng)劫持,找到當(dāng)前活動(dòng)的會(huì)話,并且把會(huì)話接管過來。迫使一方下線,由劫持者取而代之,危害更大,因?yàn)楣粽呓庸芰艘粋€(gè)合法的會(huì)話之后,可以做許多危害性更大的事情 會(huì)話劫持示意圖 被劫持者 A 服務(wù)器 B 1 A遠(yuǎn)程登錄,建立會(huì)話,完成認(rèn)證過程 攻擊者 H 2 監(jiān)聽流量 會(huì)話劫持的原理 TCP協(xié)議 三次握手建立 TCP連接 (即一個(gè)TCP會(huì)話 ) 終止一個(gè)會(huì)話,正常情況需要 4條消息 如何標(biāo)識(shí)一個(gè)會(huì)話: 狀態(tài): 源 IP:端口 +SN 目標(biāo)IP:端口 +SN 從 TCP會(huì)話的狀態(tài)入手 要了解每一個(gè)方向上的 SN(數(shù)據(jù)序列號(hào) ) 兩個(gè)方向上的序列號(hào)是相互獨(dú)立的 TCP數(shù)據(jù)包,除了第一個(gè) SYN包之外,都有一個(gè) ack標(biāo)志,給出了期待對(duì)方發(fā)送數(shù)據(jù)的序列號(hào) 所以,猜測(cè)序列號(hào)是成功劫持TCP會(huì)話的關(guān)鍵 關(guān)于 TCP協(xié)議的序列號(hào) 在每一個(gè) ACK包中,有兩個(gè)序列號(hào) 第一個(gè) (SEG_SEQ)是當(dāng)前包中數(shù)據(jù)第一個(gè)字節(jié)的序號(hào) 第二個(gè) (SEG_ACK)是期望收到對(duì)方數(shù)據(jù)包中第一個(gè)字節(jié)的序號(hào) 假設(shè)客戶 (CLT)向服務(wù)器 (SVR)發(fā)起一個(gè)連接,我們用以下的表示 SVR_SEQ: 服務(wù)器將要發(fā)送的下一個(gè)字節(jié)的序號(hào) SVR_ACK: 服務(wù)器將要接收的下一個(gè)字節(jié)的序號(hào) (已經(jīng)收到的最后一個(gè)字節(jié)的序號(hào)加 1) SVR_WIND: 服務(wù)器的接收窗口 CLT
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1