トレーニング - USTC Webセキュリティ技術コースウェア

トレーニング - USTC Webセキュリティ技術コースウェア

1コース紹介

1つの基本

チュー1.1

1.2ウェブ簡潔な歴史

1.3元ポリシー

1.4 HTTP与クッキー

2 Webクライアントのセキュリティ

2.1 OWASPトップ10

2.2 XSSとCSRF

2.3クリックジャッキング

拡張セキュリティが強化された2.4のブラウザ

2.5 Webクライアントの追跡

2.6ケース系列分析

3.webサーバー側のセキュリティ

3.1 SQLインジェクション

3.2ファイルのアップロード

3.3ファイルが含まれています

3.4アイデンティティおよびアクセス制御

3.5ケーススタディ

4.webのセキュリティ対策

Webセキュリティの4.1 CTF中期評価

ウェブの4.2 CTFリズムは評価ではありません

4.3優れた大教室での作業を共有

4.4コースレビュー

4.5試験Q＆A

 

チュー1.1

1.1.1ネットワークセキュリティ状況

1.1.2 Webセキュリティアーキテクチャ

1.1.1ネットワークセキュリティ状況

1.1.1.1ネットワークセキュリティの普及、インターネットユーザーの規模と成長率から説明するために、

いくつかは、提言の最終報告書を書きます

1.非常に興味深い要約レポート上で読むビブラートビデオ、ビブラート号を参照

モバイル側から1.1.1.2、モバイルインターネットユーザーの規模と成長率

除算インスタントメッセージング、検索エンジン、オンラインニュース、オンラインビデオ、オンラインテイクアウト、オンライン教育、フォーラム/掲示板へのアプリケーションから1.1.1.3

                     インターネットバンキング、オンライン株取引や投機ファンド、ウェブキャストのサービス、オンライン行政サービス

1.1.1.4発信元トルコの衝突：2016年7月15日、アンカラでトルコ軍、資本の一部とイラクのクーデターの最大の都市

スリランカしかしブール打ち上げ、制御ステーション、ネットワーク。

                        万一、他のパーティ：FaceTimeのことでエルドアン広告

1.1.1.5ネットワークセキュリティの脅威

2004ワームウイルスゼロ日攻撃をターゲット2017スパイウェア/ボット2011事前永続的な脅威

ダイナミックトロイの木馬ステルスボット

特長：ガードへのより多様でより困難

レポートの1.1.1.6がち数

それは減少した後、2014年にピークに達しました

1.1.1.7オーロラ

時間2010年1月12日、中国からの攻撃を受けて入射GoogleのGmailサービス

ステップ1.情報のインターネットのGoogle社員投稿のFacebook、Twitterなどのソーシャル・ネットワーキング・ソフトウェアを検索

2.攻撃者が自分のWebサーバー攻撃を設定しました

3.攻撃者は、彼らは上をクリックし、Googleのリンク、すなわちブラウザ、リモートダウンロードして実行結果として実行シェルコードのオーバーフローに送信します

4.継続的に、アクセスアカウントのパスワード情報のGoogleの従業員を監視し、被害者とのSSL接続を介してセキュアなトンネルを確立します

攻撃が成功Googleのメールサーバー

1.1.1.8 APT1

Mandiantセキュリティ企業は、同社が組織と実装の攻撃は上海浦東、PLAユニット61398の12階建ての建物内に収まっ確認し、企業の攻撃の手がかりに141回の攻撃を追跡するために6年かかったことを報告しました

APT1情報;

1つの侵入物体が調査1905この攻撃2.英語圏の国になる傾向があり、使用される開始剤の95％は、システムが使用する漢字システム3.タスクuglygorilla / DOTA / supperhardを簡略化し、上海のIPアドレスに登録されています

1.1.1.9 SiのLuodeng

2013年6月の時間

1.1.1.10 NSAツールセットリーク

2016年8月13日、声明を発表し、シャドウブローカーのハッカー組織は、ハッカー方程式の侵攻が使用するツールのセットを取得します

ツールセットのプレゼンテーション、及びそれをダウンロードし、使用

の1.1.1.11 aptの動向

グローバル：主に政府と中国のエネルギー：政府や研究機関

リリース1.1.1.12 360 aptの研究報告

中国向けたケースになりやすい1.1.1.13

マハ草、サウロンの目、海ロータス

 

1.1.2 Webセキュリティアーキテクチャ

1.1.2.1サイバースペース理論的なシステムのセキュリティ

安全システムは、技術と理論体系に基づく理論的なシステムの理論体系の理論とアプリケーションを含みます

ベース：暗号とネットワーク空間理論、暗号対称暗号、公開鍵暗号化、暗号解読、サイドチャネル解析

宇宙論のセキュリティアーキテクチャ、ビッグデータ分析、および他の戦闘ゲーム

技術：システム理論と技術チップ、セキュリティ、オペレーティングシステムのセキュリティ、データベースセキュリティ、ミドルウェアのセキュリティ

      ネットワークセキュリティの理論と技術、通信セキュリティ/インターネットセキュリティ、ネットワークの対決、ネットワークのセキュリティ管理

用途：電子商取引のセキュリティ、電子政府のセキュリティ、物事のセキュリティ、クラウドコンピューティングのセキュリティ

 

1.1.2.2パスワードのセキュリティ

問題、男の求愛、5回の結果の日付に同意する前に、答えからパスワードを解読し、復号化された4段階の人間は、毎日の使用があります

トピック：

 

ズーム：

 

モールス信号：

 

復号化されました：

4194418141634192622374

書きました：

41 94 41 81 41 63 41 92 62 23 74

特徴：1.41倍、常に10桁の番号7,9に加え桁2. 1-4 3.生じ、これら二つは4×4の後に他のありません

アルファベットの26の文字

モバイル入力：41は、Gを表し、4 GHI、第1の代表Gが存在します

 

復号化するためには：

GZGTGOGXNCS

キーボードとの比較：

 

解密为：OTOEOIOUYVL

：のように書かれたラインフィード5の後にライン前6、

OTOEOI

OUYVL

再び編曲：

OOTUOYEVOLI

逆の順序で：

私もあなたを愛してます

1.1.2.3 APT攻撃指示

スピアフィッシング：GoogleのGmailの攻撃の前に、顧客に関するいくつかの情報を得た後、フィッシングサイトの勃起を通じ攻撃します

水たまり：Webサーバからカスタム勃起や侵入、悪意のあるコードを挿入し、犠牲者は、ストレージタイプのXSSなどの悪質なコードを実行するために、サイトへのアクセス

1.1.2.4 Web開発言語

.NETのJava、PHP、ASP ColdFusionのperlのpythonのJSP

1.1.2.5 OWASPトップ10

2013として既知の脆弱性を含む、認証およびセッション管理の失敗、クロスサイトスクリプティング、安全でないオブジェクトの直接参照、セキュリティ構成エラー、機密情報の漏洩、機能レベルのアクセス制御の損失、クロスサイトリクエスト偽造を注入しますコンポーネント、未検証のリダイレクトと転送

1.1.2.5ハッキング時間分布

1.1.2.6 2015インディアン主要なデータ漏洩

1.1.2.7情報セキュリティスロットケーキの2016年

利用者情報を開示1.dropbox

2.last.fmユーザー情報を開示

3.leakedsource統計愚かなユーザーパスワード

123456 /パスワード/ lastfm / 123456789 / QWERTY / ABC123 / ABCDEFG / 1234分の12345 /音楽

1.1.2.8ドラッグライブラリの使用方法

 

1.1.2.8情報開示およびオンライン詐欺

 

労働システムの1.1.2.9インターネット詐欺部門

 

書類を取得する1.1.2.10侵略教師

1.電話音声の使用は360会長周Hongyi電話をひび割れ

2.どのように書類を取得するには、教師のメールボックスによって侵略の結果を変更しませんでした

1.1.2.11は、ライフサイクルを活用します

1.1.2.12抜け穴例

SQLインジェクションの脆弱性が/plus/recommend.phpページ内に存在する1.dececms

2.雲のイベント

1.1.2.13

クロムすなわちFirefoxブラウザのサファリエッジの市場シェア

 

2Webの発展の簡単な歴史

小史2.1 Web開発

 

3.同一生成元ポリシー

ブラウザ3.1のブラウザカーネルのブラウザのセキュリティ

同一生成元ポリシー3.2ホストポートホモロジーページ間の相互の合意へのアクセス

ドム元ポリシー

文書の様々な供給源の1制限

2.同一生成元ポリシーからの<script> <IMG> <iframe>の限界<リンク>

クロスドメインの操作に自由で3.javascriptない他のページのDOM

4. <iframe>の息子同一生成元ポリシーに縛らインタラクティブページ

外部ファイル、現在のページJSのソースを導入する5. <SCRIPT> JS

HTTP和クッキー

1.概要

2.歴史的背景

3.ワークフロー位置、動作モード、典型的には、スリーウェイハンドシェイクプロセス1 - 開始要求 - 要求に応じ - 繰り返しステップ - 四光波

           Requestパケット

平文で送信さ4.httpのセキュリティ問題の古典的な攻撃データは、本人確認の欠如します

中間者攻撃で4.1。スニッフィングと男

4.2ツールmitmproxy / mitdump / burpsuite

4.3難易度はどのように悪質なデバイスの通信リンクにあります

 ワイヤレスネットワーク悪質なハイジャックフィッシング機器のDNSハイジャックを偽装ARPネットワークセットを監視

5.https合意

5.1歴史的バックグラウンドワークプロセス

証明書の5.2重要な使用は、非対称鍵に基づく対称鍵を配布し、サイトの身元を確認し、対称鍵通信

5.3 RSA非対称暗号化アルゴリズム、公開鍵と秘密鍵

デジタル証明書信頼チェーン証明書-ca-

5.4ブラウザのルート証明書

5.5 HTTPS不十分

1.セキュリティもマイナーな欠陥を持っています

2.パフォーマンスとスピード

3.コスト

6クッキー

6.1歴史的背景

メモリクッキーとクッキーを持続6.2作業プロセス

クッキーのステージを使用して生成段階の設定フェーズの3つの段階、

クッキー属性ドメイン、パス、安全で、有効期限は、HTTPのみ

セキュリティポリシー：クッキーの相同性

クッキーの盗難：平文で送信されたHTTPプロトコル

盗まれた使用してXSSスクリプト

クッキーの推測：設定するには、クッキーの簡単な、暴力の推測ソリューション

プライバシー情報開示：クッキー保存されたプライバシー情報