freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

安全攻防簡介-培訓(xùn)(參考版)

2025-01-20 14:03本頁面
  

【正文】 – 安全監(jiān)控工作主要根據(jù)基于安全事件影響分類來進行。( 《 信息安全事件分類分級指南 》 ) – 安全事件是一個或一系列與網(wǎng)絡(luò)與系統(tǒng)安全、業(yè)務(wù)安全、信息安全相關(guān)的,并極有可能危害系統(tǒng)可用性、完整性或保密性的事件。 – 手工暴力破解某用戶名和密碼。 – 嘗試手工破解某用戶名和密碼。 – SQL注入:構(gòu)造SQL語句獲取到了數(shù)據(jù)庫版本、數(shù)據(jù)庫名、稱數(shù)據(jù)庫用戶及密碼(密碼的 HASH,暫未破解 )、數(shù)據(jù)庫表格內(nèi)容等 – 文件泄露,大量的腳本文件暴露,通過暴露的腳本,可以查詢到如下信息 其他 企業(yè)信息網(wǎng)(MDCN) – 使用 xscan、 Scanner、等掃描工具對外網(wǎng)提供的服務(wù)的 IP地址進行掃描。 某省的彩鈴、 門戶和夢網(wǎng)滲透項目 彩鈴 – 后門頁面 – 目錄信息暴露 – 腳本源代碼信息暴露 某省的彩鈴、 門戶和夢網(wǎng)滲透項目 門戶 – 暴露 ASP源文件 – 暴露 SQL插入記錄語句 其他 某網(wǎng)上營業(yè)廳滲透發(fā)現(xiàn) – 不需要認證重置手機密碼:由于網(wǎng)頁中重置手機密碼功能,未有圖片認證驗證。對 GGSN由于不在這次滲透測試范圍并沒有對 GGSN做滲透測試。 滲透測試(續(xù)) 滲透測試(續(xù)) 優(yōu)點 – 直觀體現(xiàn)網(wǎng)絡(luò)的安全狀況 – 對提高安全意識的效果顯著 – 實施靈活,資源調(diào)動較少 缺點 – 對實施小組的技術(shù)、經(jīng)驗、素質(zhì)、協(xié)作要求苛刻 – 滲透成功可能只發(fā)現(xiàn)安全問題的冰山一角 – 滲透失敗可能會造成 “ 網(wǎng)絡(luò)是安全的 ” 樂觀印象 中國移動集團滲透測試及單系統(tǒng)評估項目 短信 – 滲透測試結(jié)果 由于BOOS到短信業(yè)務(wù)使用 FTP協(xié)議并存在弱密碼,滲透者輕易得到了用戶名和密碼并從 BOOS登陸到短信接口機上,短信系統(tǒng)服務(wù)器使用 SERVU FTP Server 存在遠程溢出漏洞可以得到主機的最高權(quán)限 從短信中心到綜合網(wǎng)關(guān)可以得到綜合網(wǎng)關(guān)服務(wù)器的最高權(quán)限 從短信中心到歡迎短信可以得到歡迎短信關(guān)服務(wù)器的最高權(quán)限 – 人工評估結(jié)果 歡迎短信服務(wù)器被入侵 企信通服務(wù)器被入侵 弱口令 關(guān)鍵補丁沒有安裝 密碼沒有定期更改 人員離職賬號口令交接存在問題 …… 某省 WAP系統(tǒng)單業(yè)務(wù)安全評估項目 評估結(jié)果 – 發(fā)現(xiàn)存在明顯弱用戶名和口令,通過該用戶和弱口令成功的登陸到內(nèi)部網(wǎng)絡(luò)的堡壘機上,并因該賬戶的弱口令及多處存在基本接管了 WAP上的路由器和防火墻。 滲透測試主要針對系統(tǒng)主機進行,因此將占用主機系統(tǒng)及其所在的網(wǎng)絡(luò)環(huán)境的部分資源。 人工評估在各服務(wù)項目中都會用到,主要是依靠安氏公司具有豐富經(jīng)驗的安全專家在各服務(wù)項目中通過針對不同的評估對象采用顧問訪談,業(yè)務(wù)流程了解等方式,對評估對象進行全面的評估。 釣魚者 Victim Web Server 受害用戶 發(fā)送釣魚郵件 受害者點擊釣魚 URL 釣魚網(wǎng)站被瀏覽 受害者發(fā)送機密信息 入侵主機,安裝釣魚網(wǎng)站和 垃圾郵件箱 Mail Drop Service 釣魚者索取信息 典型的釣魚過程 ?偽造發(fā)件人地址 :發(fā)件人可以是 是 ,但是實際上不是 ?偽造虛假連接 :圖像連接 網(wǎng)絡(luò)釣魚進行進行欺騙的技術(shù)手段 其他欺騙技術(shù) ?跨站腳本漏洞( Cross Site Script)允許在一個合法的站點上插入非法的腳本 ?惡意的腳本在客戶機上被執(zhí)行,而這個客戶機信任該站點 ?客戶機上的信息被惡意腳本獲得,包括用戶 login的名字, cookie等等 ?特別具有欺騙性,用戶看到的界面是“合法的站點”,包括 URL、數(shù)字證書等等,但是由于服務(wù)器的漏洞,導(dǎo)致客戶機上機密信息被盜取 高級釣魚話題-利用 XSS漏洞 如何防釣魚? 客戶機: – 不要隨便點擊 EMAIL、 ICQ和聊天室里的鏈接 – 不要連接到不信任的網(wǎng)絡(luò)和使用不信任的計算機 – 啟用個人防火墻 – 不斷的更新客戶機軟件(防病毒、 WEB瀏覽器、 EMAIL客戶端) – 用數(shù)字證書 企業(yè): – 使用 IPS – 教育用戶,并讓他們的軟件保持更新 – 部署防垃圾郵件和防病毒措施 網(wǎng)絡(luò)攻擊軟件繁多 大量的攻擊工具隨手拾來 討論 在工作中如果存在這些威脅將如何防御? 目錄 常見的黑客攻擊手段介紹 2 1 常見的防御手段介紹 3 安全事件響應(yīng)處理介紹 常見的防御手段 安全培訓(xùn) – 安全意識培訓(xùn) – 管理培訓(xùn) – 技術(shù)培訓(xùn) 安全評估 – 工具評估 – 人工評估 – 滲透測試 – 訪談和現(xiàn)場觀察 安全加固 – 通過更改配置加固
點擊復(fù)制文檔內(nèi)容
試題試卷相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1