信息安全——安全威胁
一 入侵的目的
(1)执行进程
(2)获取文件和数据
(3)获取超级用户权限
(4)进行非授权操作
(5)使系统拒绝服务:使目标系统中断或者完全拒绝对合法用户,网络,系统或其他资源的服务。
(6)篡改信息
(7)披露信息、
二 入侵过程
(1)窥探设施
(2)攻击系统
三个层次的攻击:针对操作系统的攻击,针对应用软件的攻击,针对网络的攻击。
(3)掩盖踪迹
三 攻击分类
3.1 口令攻击
通过猜测或获取口令文件等方式来获得系统认证的口令,从而进入系统。
对策:避免使用不安全的口令。
3.2 拒绝服务攻击Dos
使得目标系统无法提供正常的服务。
四种常见的Dos攻击:
(1)带宽耗用:攻击者消耗掉通达某个网络的所有可用带宽。
a.攻击者有比受害者网络的带宽更大的可用带宽,从而可造成其网络拥塞。
b.攻击者通过征用多个站点集中拥塞受害者的网络连接来放大Dos攻击效果——分布式拒绝服务攻击(DDOS)。DDOS攻击的第一步是瞄准并获得尽可能多的系统管理员访问权,用自动化的攻击脚本来指定脆弱的系统,获得了对系统的访问权后,攻击者将DDOS软件上传并运行。
(2)资源衰竭
攻击集中于消耗系统资源(如CPU,内存),而不是网络资源。
(3)编程缺陷
系统异常处理不当,攻击者向目标系统发送非法的数据报以导致系统崩溃。
(4)路由和DNS攻击
路由攻击:修改路由表象以拒绝对合法网络提供服务。
DNS攻击:修改域名服务器高速缓存中的地址信息,将其重定向到指定站点。
3.3 利用性攻击
试图直接对主机进行控制,有两种主要表现形式:
(1)特洛伊木马:伪装成一个实用的工具(游戏,软件),诱使用户将其安装在PC端或者服务器上,从而秘密获取信息或安装破坏性软件等。
(2)缓冲区溢出攻击:通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行一段恶意代码,以达到攻击的目的。 ——开发软件时应该尽量使用带有边界检查的工具,或者主动进行边界检查
3.4 信息收集型攻击
为进一步入侵提供必须的信息,常用方法是扫描技术:
ping扫描:表示出存活的系统,指出潜在的目标。
端口扫描:推到正在监听着的潜在服务
操作系统检测:确定目标系统的操作系统。
3.5 假消息攻击
用配置不正确的消息来欺骗目标系统,以达到攻击的目的。
(1)电子邮件欺骗
隐藏发信人的身份,发送匿名或垃圾邮件,通过电子邮件执行恶意代码。
(2)IP欺骗
主要动机是隐藏自己的IP地址,防止被跟踪,将自己的IP伪装成系统的内部IP有可能使得攻击者冲破目标系统的防火墙。
(3)Web欺骗
使用相似的域名,改写URL,Web会话劫持等。
(4)DNS欺骗
修改上一级DNS服务记录,重定向DNS请求,使受害者获得不正确的IP地址。
(5)sql注入
原理:从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取你想到得到的资料。
如:SELECT id FROM user_table WHERE username='‘ OR 1=1--'ANDpassword=PASSWORD('x')
相当于:SELECT id FROM user_table WHERE username='‘ OR 1=1
对策:、
信息过滤——过滤常用的sql关键字。
使用开发语言的安全方法——PreparedStatement进行了预编译
(6)跨站脚本XSS
攻击者可以将恶意的脚本代码注入到用户浏览的其它网页上 。
危害:。攻击者可以使用 XSS 漏洞窃取Cookie,劫持帐户,执行 ActiveX,执行Flash 内容,强迫您下载软件,或者是对硬盘和数据采取操作
防止:在查询字符串(QueryString),表单数据(PostData)以及Cookie甚至HTTP报头(Header)中防止掉一些
javascript关键字和一些敏感的字符(单引号,分号)以及SQL语言的关键字,以及防止他们使用encode编码。
信息安全——安全威胁相关推荐
- 企业级网络信息安全统一威胁监管的得力助手
伴随着互联网技术的迅猛发展,各种网络设备及信息系统与日俱增,随之而来的各种安全威胁千姿百态.无孔不入,许多政府.电信.企业单位等购置了大量的如防火墙.防病毒网关.入侵保护系统等"最佳单品&q ...
- 中小企业信息安全:基本原则
中小企业信息安全:基本原则 作者:老醋蜇头 概述: 对于大多数小企业来说,他们对信息.系统和网络的安全可能并没有比较高的优先权,但是对他们的客户.员工和贸易伙伴比较看重. 小企业在国民经济发展中占有很 ...
- 盘古开源:计算机信息安全中大数据技术的应用策略
时代经济的不断变革促进互联网的融合发展不断加快,计算机网络的大数据时代来临.人们的信息数据在这一阶段被紧密互联,给实际的网络发展提供了一定动力,但同时其中存在的隐私安全问题也不容忽视.本文从大数据背景 ...
- 计算机网络信息安全技术研究论文,v计算机网络信息安全的数据加密技术论文...
v计算机网络信息安全的数据加密技术论文 摘要:21世纪是计算机飞速发展的黄金时代,计算机网络已经成为人们不可或缺的信息交流工具.由于计算机网络信息的开放性和互联性,导致了计算机网络信息存在着极大的安全 ...
- 大数据时代,个人信息安全谁来守护
身处大数据时代,人们在享受着互联网不断普及所带来的诸多便利的同时,也逐渐发现,个人生活被网络所渗透后,越来越多的隐私信息"飞"出了自己的视线,落入他人之手. 2016年末,中国社会 ...
- 企业内部网络安全四大威胁,如何应对?
如今,网络环境愈发复杂,企业数字化程度也越来越高,加上疫情肆虐,远程办公.异地办公的方式,安全边界肆意拓宽,攻击面倍速增大,使得企业内部安全面临更为复杂的环境. 据业内安全专家实践经验总结得出,大概有 ...
- 信息安全要记忆的东西
一(重点).1.网络信息安全基本属性(基本目标)CIA: 机密性:网络信息数据在传输过程中不允许泄露.被窃取. 完成性:网络信息数据在传输过程中不允许被篡改. 可用性:网络信息数据在授权的条件下,要及 ...
- 信息安全 为“智慧城市”保驾护航
随着信息技术的发展和城市人口的膨胀,如何利用信息化来更有"智慧"地管理城市,成为了各行各业热门的话题,而作为走在信息化前沿的科技企业,也都纷纷加入到"智慧城市" ...
- 智能终端信息安全概念(八):硬件安全技术—芯片自主化与安全硬件架构
这个part是我比较关注的一点了. 其实最近在学安全相关的东西.一直软件层面,但是还是涉及的很底层,所以对于硬件的了解,也很有必要. 但是我发现初始接触某些东西,如果是第一次,就很容易陷入到先入为主, ...
最新文章
- 1035 插入与归并
- zcmu-1957(状态压缩枚举)
- 带宽测量:pathload编译及运行
- 创业几乎不要本钱,是创业圈内最大的谎言
- C++ const型成员函数与 non-const型成员函数 (二)
- mysql 30入门_mysql入门(三)
- bable转换html里面的js,javascript – 在Babel中转换插件与语法插件
- 萤石云谷歌禁用flash_mac chrome屏蔽flash插件怎么办 mac chrome flash启用方法
- 【NOIP2016提高组复赛】蚯蚓 题解
- 会议室预约系统(小程序+web端管理系统)2020.11.11-2021.02.11
- 【机器视觉锁付整体解决方案】视觉纠偏和找孔示教操作
- 锋迷商城spring-vue项目流程和笔记
- powershell免杀思路分析
- 如何知道PDF是不是正常的A4大小尺寸?
- 你若安好便是晴天——林徽因传
- 【科普】气垫船是如何浮在水面上行驶的
- Allegro焊盘种类
- 开发多商家商城系统的功能优势
- 管理连接redis server的客户端
- 软件测试这些年的变化及未来发展趋势