Hacker
2025-03-26 23:20:43 0 举报AI智能生成
"黑帽黑客攻破"是一份高度机密的文件,其中详细记录了一位不知名黑客群体对某大型跨国公司的网络系统进行的一次高级持续性威胁(APT)攻击的过程。这份文件包含了核心内容,即黑客如何利用精心策划的手段,通过多层代理和加密通道隐蔽地潜入目标网络内部,并在长达数月的时间里未被发现地窃取敏感数据。 修饰语"不为人知的细节"对此描述进行了增强,突出了黑客高超的技术和策略,他们如同潜伏在黑暗中的影子,悄无声息地进行着攻击,这也给整个事件增添了一层神秘和危机感。这份文件揭露了黑客是如何一步步地扩大其在网络内部的控制范围,它不仅揭示了现代网络战争的一个缩影,同时也为防范未来可能出现的类似攻击提供了一个反思的机会。
作者其他创作
大纲/内容
Windows下Hacker学习发展流程图
学习基础
数据库
学习数据库的基本原理和操作,包括但不限于SQL语言的使用,数据库的建立、查询和维护等。
脚本语言
掌握至少一种脚本语言,如Python、Perl等,用于自动化任务和简单的程序开发。
C、C++
深入学习C、C++编程语言,了解其语法、数据结构、内存管理等核心概念。
汇编
学习汇编语言,理解计算机底层的工作原理,为逆向工程和漏洞分析打下基础。
网络基础
服务器、网络配置
了解服务器的基本架构和网络配置,掌握TCP/IP协议栈的工作原理。
社会工程学
学习社会工程学的基本原理和技巧,了解人类心理和行为模式,用于识别和防范社会工程攻击。
编程与开发
Windows编程
掌握Windows平台下的编程技术,包括Win32 API、.NET Framework等。
TCP/IP
深入理解TCP/IP协议,包括其各个层次的协议和工作原理。
PE文件
学习PE文件格式,了解可执行文件的结构和组成。
核心技能
Windows操作系统原理
深入研究Windows操作系统的内部原理,包括进程管理、内存管理、文件系统等。
算法、数据结构
掌握基本的算法和数据结构,提高编程效率和解决问题的能力。
通信封包分析
学习如何分析网络通信封包,了解数据在网络中的传输过程。
进阶技能
内核编程
涉足内核编程领域,开发驱动程序或系统级别的应用程序。
ShellCode编写
学习编写ShellCode,用于漏洞利用和渗透测试。
逆向工程
掌握逆向工程技术,分析二进制文件和程序的行为。
软件破解
学习软件破解的基本方法和技巧,了解软件保护机制。
软件加密
了解软件加密的原理和方法,保护软件不被非法破解。
攻击技术
溢出攻击
学习缓冲区溢出等漏洞的利用方法,进行渗透测试。
木马编写
掌握木马程序的编写技巧,了解其工作原理。
网游外挂
学习网游外挂的开发方法,了解游戏安全机制。
免杀技术
学习如何使恶意软件逃避杀毒软件的检测。
发展方向
网络攻防方向
**服务器入侵与攻击**:研究服务器的安全漏洞和攻击方法。
**内网渗透**:学习如何渗透到内部网络,获取敏感信息。
**数据窃取**:掌握数据窃取的技术和防范措施。
**服务器安全**:了解服务器安全防护的方法和策略。
**网络安全**:研究网络安全的各个方面,包括防火墙、入侵检测等。
软件安全方向
**软件加密,版权保护**:学习软件加密技术,保护软件的知识产权。
**软件破解、恶意软件编写**:了解软件破解的原理和方法,防范恶意软件。
**软件漏洞挖掘**:研究软件漏洞的挖掘技术和工具。
**软件安全测试**:掌握软件安全测试的方法和流程。
**病毒、蠕虫编写**:了解病毒和蠕虫的编写原理,提高防范能力。
中国黑客现状
入侵渗透
第一金字塔
**高端入侵,手握各种0day,各种国际出口流量,足以影响互联网并且低调得可怕。**
**刷库级别,可以独立渗透各大公司的数据库,井拖库,比如xxxx,xxxx,xxxx,xxxx,xxxx,xxxx,这类人经验丰富,各种手法使用游刃有余。**
第二金字塔
**脚本漏洞级别,具有一定的漏洞挖掘知识,类似DZ,xss,gmail转站,hetmail转站,等等漏洞挖掘。**
**国内挂马级别,一般可以渗透指定防护一般的,具有万级别以上流量的网站,并且有一定的经验,入侵使用的工具也逐渐接触类似尖山,JSky等。**
第三金字塔
**低端脚本入侵,只会按照教程使用网D注入,眼小子旁注,入侵手法也仅限于批处理找注入点,上传漏洞,没有提权经验,一般搞的多数是虚拟主机。**
**只会DDOS,甚至没有自己的肉鸡,DDOS的流量都是用自身宽带打。**
**通过网上教程学习抓鸡技术,然后大面积的IP扫描弱口令抓肉鸡,一般的黑客技术群里居多。**
编程代码
第一金字塔
**高端rootkit编写,漏洞挖掘,各种外挂等集大成的神级。**
第二金字塔
**漏洞挖掘,比如IE,Adobe,CDA,本地提权。**
**轻量型rootkit,可以绕过windows自带工具,但是却无法回避类似xuetr,gmer,等工具的扫描。**
**还原vmp,游戏外挂,游戏木马编写,以及修改网络公布的代码达到比较久的免杀时间,编程功力不可小视。**
第三金字塔
**具有一定编程水平,可根据网络公布的技术或者代码,编写小病毒,感染型病毒变种,并且具备一定pe免杀,源码免杀水平,但是对于强势的主动防御束手无策。**
**低端破解,一般只会破解无壳软件,以及没有过多技术防护的软件。**
**只会根据已知漏洞原理,编写一些简单的漏洞利用工具。**
攻击
APT攻防
攻防框架
**APT特性**
长期性、隐蔽性、高针对性
**攻击链模型**
侦察 → 武器化 → 投递 → 利用 → 安装 → 控制 → 行动
防御策略
**网络层防御**
流量异常检测(如NetFlow分析)
入侵防御系统(IPS)
**终端防护**
EDR(端点检测与响应)
白名单机制
案例分析
**极光行动**
利用IE漏洞(CVE-2010-0249)
目标:窃取企业知识产权
**Byzantine Hades**
供应链攻击(通过软件更新植入后门)
DDoS攻击
DDoS攻击方法及治理思维导图
一、攻击方法分类
1.1 网络层攻击(带宽资源)
**直接攻击**
**反射放大攻击**
ICMP/IGMP攻击(Hping工具)
UDP洪水攻击(Hping/LOIC)
ACK Flood
DNS/NTP/SNMP反射放大
链路骨干网攻击
1.2 传输层攻击(系统资源)
**TCP连接攻击**
TCP连接数洪水
SYN洪水
PSH+ACK洪水(强制提交数据至应用层)
RST攻击(强制中断连接)
**SSL连接攻击**
Sockstress(TCP窗口位慢速攻击)
THC SSL DOS(Renegotiation报文攻击)
SSL洪水攻击(SSLPieceze工具)
1.3 应用层攻击(应用资源)
**DNS服务攻击**
DNS Query洪水(虚假域名)
DNS NXXDOMAIN(真实域名)
**Web服务攻击**
HTTP洪水
Slowloris攻击(不发送结束标识)
慢速Post攻击(大content-length值)
数据处理攻击(恶意正则表达式)
二、治理体系
2.1 源头治理
僵尸网络治理(终端病毒清理/大规模清除)
地址伪造治理(防IP欺骗)
反射点清理(DNS限制原地址查询/限速)
2.2 流量清洗
CDN代理(减少源站流量)
IP信誉检查
攻击特征匹配(静态规则/动态指纹)
协议完整性校验(报文格式验证)
TCP代理验证(代理发送ACK)
客户端真实性验证(JS脚本/验证码)
速度限制(QPS控制)
三、常见误区
误区1:仅增加带宽/依赖防火墙
误区2:云端擅长流量型攻击,本地擅长组合型攻击
四、发展趋势
僵尸网络载体演进:PC → 服务器/智能终端/物联网
攻击工具智能化升级
混合型攻击(多层联动)
DDoS攻击应对策略框架
一、攻击识别与分类
1.1 攻击类型
**流量型攻击**:带宽耗尽、协议攻击
**应用层攻击**:Web CC攻击、游戏服务器宕机
**复合型攻击**:网络协议攻击+业务系统攻击
1.2 影响评估
业务流失(游戏玩家举报/视频用户流失)
系统瘫痪(服务器无法响应)
财务损失(公司利润下降/声誉受损)
二、实时应急响应
2.1 技术处置
启用清洗设备:金盾/绿盟黑洞流量清洗
防火墙策略调整:规则优化、流量限速
网络切换:受攻击IP段切换
带宽扩容:紧急联系运营商
2.2 取证分析
流量抓包(Wireshark取证)
日志收集:服务器日志/防火墙日志
攻击特征分析:数据包指纹识别
三、协同处置机制
3.1 运营商协作
黑洞路由启用
骨干网流量清洗
BGP流量牵引
3.2 法律应对
电子证据保全
司法鉴定准备
网警部门联动
四、防护体系建设
4.1 基础设施
设备选型:Cisco Guard/专业DDoS防火墙
架构优化:分布式部署、弹性带宽
监控体系:流量基线分析/异常告警
4.2 管理机制
应急演练:团队响应能力培养
攻防研究:最新攻击技术追踪
法律预案:电子取证流程标准化
五、后期处置
5.1 攻击溯源
僵尸网络分析
攻击软件逆向
C2服务器追踪
5.2 系统加固
漏洞修复
防护规则优化
安全配置核查
关键指标监控
网络攻击及防御技术
一、网络攻击技术
(一)扫描技术
**端口扫描**:用于发现目标主机开放的端口,进而推测其运行的服务和可能存在的漏洞。
**漏洞扫描**:检测目标系统是否存在已知的安全漏洞,为后续攻击做准备。
(二)监听技术
**网络嗅探**:截获网络中传输的数据包,获取敏感信息,如用户名、密码等。
**中间人攻击**:通过拦截并篡改通信双方的数据包,实现对通信内容的窃取和篡改。
(三)拒绝服务攻击(DoS/DDoS)
**洪水攻击**:通过发送大量请求或数据包,使目标服务器无法正常响应合法用户的请求。
**反射攻击**:利用第三方服务器反射放大攻击流量,增加攻击的隐蔽性和破坏性。
(四)社会工程学攻击
**钓鱼攻击**:通过伪造合法网站或邮件,诱骗用户输入敏感信息。
**电话欺诈**:冒充客服、技术支持等身份,获取用户信任并套取信息。
二、网络防御技术
(一)防火墙技术
**包过滤防火墙**:根据预设规则对数据包进行过滤,允许或拒绝其通过。
**状态检测防火墙**:不仅检查数据包本身,还考虑其与之前通信的关联性,提高安全性。
(二)入侵检测与防御系统(IDS/IPS)
**异常检测**:通过分析网络流量和系统行为,发现异常活动并发出警报。
**入侵防御**:在检测到攻击时,主动采取措施阻止攻击行为,如阻断连接、修改防火墙规则等。
(三)加密技术
**对称加密**:使用相同的密钥进行加密和解密,效率高,适用于大量数据加密。
**非对称加密**:使用公钥和私钥对进行加密和解密,公钥可公开,私钥需保密,常用于密钥交换和数字签名。
(四)认证技术
**身份认证**:验证用户身份是否合法,如用户名密码认证、指纹认证等。
**数字证书**:由权威机构颁发,证明公钥的合法性,用于SSL/TLS等安全协议。
(五)安全协议
**SSL/TLS**:用于保障网络通信的安全性,广泛应用于网页浏览、电子邮件等场景。
**IPSec**:在IP层提供安全服务,包括数据加密、身份认证和完整性校验等。
三、攻防实战
(一)攻击案例分析
**实际攻击过程剖析**:详细讲解典型网络攻击的步骤和手法,帮助理解攻击者的思维方式。
**攻击后果评估**:分析攻击对目标系统和用户造成的影响,强调防御的重要性。
(二)防御策略制定
**综合防御体系构建**:结合多种防御技术,形成多层次、全方位的安全防护。
**应急响应计划**:制定应对安全事件的预案,包括检测、响应、恢复等环节,降低损失。
(三)攻防演练
**模拟攻击与防御**:通过实际操作,提高应对网络攻击的能力和经验。
**漏洞挖掘与修复**:主动发现系统中的漏洞并及时修复,增强系统的安全性。
IT、网络攻击和防御技术的演变
一、网络攻击
(一)20世纪80年代
**1980's**
**Virus**:计算机病毒开始出现,通过软盘等介质传播,主要目的是破坏数据或展示技术能力。
**Worm**:蠕虫病毒出现,能够自我复制并自动传播,占用系统资源,导致系统性能下降甚至崩溃。
**Trojan**:特洛伊木马出现,伪装成合法软件,诱使用户安装,从而获取用户系统的控制权。
(二)20世纪90年代
**1990's**
**Stack overflow**:栈溢出攻击成为常见的漏洞利用方式,攻击者通过向程序的栈空间写入过多数据,覆盖返回地址,从而控制程序的执行流程。
**Botnet**:僵尸网络开始形成,攻击者通过控制大量受感染的计算机,进行分布式拒绝服务攻击(DDoS)、垃圾邮件发送等恶意活动。
(三)21世纪初
**2000's**
**APT(高级持续威胁)**:针对特定目标的长期、有组织的网络攻击活动,通常由国家级或专业黑客团队实施,旨在窃取敏感信息。
**ROP(返回导向编程)**:一种利用程序中存在的函数进行恶意操作的攻击方式,通过构造特定的栈布局,迫使程序执行攻击者指定的指令序列。
**Internet**:随着互联网的普及,网络攻击的范围和复杂性大幅增加,攻击者可以远程攻击全球范围内的目标。
(四)2010年代至今
**2010's**
**Mobile**:移动设备成为攻击目标,恶意软件通过应用商店、短信等方式传播,窃取用户隐私信息。
**Big-data**:大数据技术的应用使得数据泄露的风险增加,攻击者通过分析大量数据,挖掘有价值的信息。
**Cloud**:云计算环境中的安全问题日益突出,如云服务提供商的数据泄露、虚拟机逃逸等。
**IoT**:物联网设备的安全性问题凸显,由于设备数量庞大且安全防护能力较弱,容易成为攻击的入口。
**AI**:人工智能技术被用于网络攻击,如生成对抗网络(GAN)用于生成虚假数据,深度学习算法用于自动化漏洞挖掘和利用。
**AR**:增强现实技术的安全风险,如恶意软件通过AR应用获取用户位置和设备信息。
二、防御技术
(一)20世纪80年代
**1980's**
**AV(防病毒软件)**:开始出现,主要用于检测和清除计算机病毒。
**PC**:个人计算机的安全防护开始受到关注,简单的防火墙和用户权限管理功能出现。
(二)20世纪90年代
**1990's**
**Firewall(防火墙)**:用于监控和控制进出网络的数据流,防止未经授权的访问。
**Stack Guard**:一种防止栈溢出攻击的技术,通过在栈上设置保护区域,检测溢出行为。
(三)21世纪初
**2000's**
**NX(No-Execute)**:一种内存保护技术,防止攻击者在内存中执行恶意代码。
**ASLR(地址空间布局随机化)**:通过随机化程序和库的内存地址,增加攻击者预测和利用漏洞的难度。
**Client Firewall**:客户端防火墙的普及,增强用户对网络连接的控制能力。
**Internet**:互联网安全防护技术的发展,如安全协议(SSL/TLS)、入侵检测系统(IDS)等。
(四)2010年代至今
**2010's**
**Big-data Analytics**:利用大数据分析技术进行安全威胁检测和响应,通过分析大量日志和网络流量数据,发现异常行为和潜在威胁。
**Encryption**:加密技术的广泛应用,如数据加密、网络通信加密等,保护数据的机密性和完整性。
**AI**:人工智能技术用于安全防护,如异常检测、恶意软件分析、自动响应等。
**AR**:增强现实技术在安全培训和应急响应中的应用,提高人员的安全意识和应对能力。
**Blockchain**:区块链技术的安全特性,如去中心化、不可篡改等,用于构建更安全的系统和应用。
**IoT**:物联网安全防护技术的发展,如设备认证、数据加密、网络隔离等,保障物联网环境的安全。
**Mobile**:移动设备安全防护技术,如移动设备管理(MDM)、应用安全检测、加密通信等,保护移动设备和数据的安全。
**Cloud**:云计算安全防护技术,如云防火墙、身份和访问管理(IAM)、数据加密等,确保云环境的安全。
三、信息技术
(一)20世纪80年代
**1980's**
**PC**:个人计算机的普及,推动了信息化的发展。
**Virus**:计算机病毒的出现,促使人们开始关注信息安全。
(二)20世纪90年代
**1990's**
**Internet**:互联网的兴起,信息传播和共享更加便捷,同时也带来了新的安全挑战。
**Firewall**:防火墙技术的发展,为网络边界提供了基本的安全防护。
(三)21世纪初
**2000's**
**Client Firewall**:客户端防火墙的普及,增强了用户对网络连接的控制能力。
**ASLR**:地址空间布局随机化技术的引入,提高了系统对缓冲区溢出攻击的抵抗力。
**NX**:No-Execute内存保护技术的应用,防止恶意代码在内存中执行。
**Stack Guard**:栈保护技术的发展,有效防止了栈溢出攻击。
**AV**:防病毒软件的不断进化,能够检测和清除更多种类的恶意软件。
(四)2010年代至今
**2010's**
**Big-data**:大数据技术的应用,数据量和数据类型大幅增加,数据安全和隐私保护成为重要议题。
**Cloud**:云计算的快速发展,资源的动态分配和共享带来了新的安全风险,如多租户环境下的数据隔离、云服务提供商的安全性等。
**Mobile**:移动设备的广泛使用,移动应用的安全性、移动支付的安全性等问题日益突出。
**IoT**:物联网的兴起,大量设备接入网络,设备的安全性、数据传输的安全性等问题需要解决。
**AI**:人工智能技术的广泛应用,如机器学习、深度学习等,带来了新的安全挑战,如对抗样本攻击、模型窃取等。
**AR**:增强现实技术的发展,涉及用户隐私、数据安全等方面的问题。
**Blockchain**:区块链技术的出现,为信息安全提供了新的思路和方法,如去中心化存储、智能合约安全等。
SSL 威胁模型框架
一、证书验证缺陷
1.1 信任路径验证
信任链验证错误
无效证书链确认
验证其他根证书时的偏差
1.2 证书内容缺陷
空字节证书(NUL-byte certificates)
无效主机名验证
国际化域名欺骗
自签名证书滥用
1.3 CA 相关风险
CA证书泄露
伪造CA证书
管理员攻击(Bribery/Attack against Sysadmins)
二、服务器配置风险
2.1 密钥管理缺陷
私钥重复使用(Private Key Reuse/Duplication)
未加密私钥存储
备份系统泄露(Backup Compromise)
2.2 协议配置错误
SSLv2 降级攻击
弱密码套件使用(*标注项)
非FIPS认证密码
匿名密钥交换
三、协议与实现弱点
3.1 协议漏洞
截断攻击(Truncation Attack)
Bleichenbacher选择密文攻击
Klima-Pokorny-Rosa攻击
弱密钥交换机制(*标注项)
3.2 实现缺陷
混合SSL/非SSL区域
不安全的Cookie实现
客户端认证缺失
缺乏吊销检查机制
四、网络层攻击
4.1 中间人攻击
BGP路由劫持
DNS缓存投毒
无线网络MITM
企业级流量拦截
4.2 传输层暴露
SNI主机名泄漏
IP层保护缺失
非端到端加密
五、用户与客户端风险
5.1 用户行为漏洞
钓鱼攻击
XSS跨站脚本
安全警报忽略
证书信息误判
5.2 客户端缺陷
吊销检查缺失
验证软件局限
界面可用性问题
未修补客户端代码
木马攻击与防御技术
一、概述
(一)定义
(二)历史发展
二、攻击技术
(一)社会工程学
(二)漏洞利用
(三)恶意软件下载
三、防御技术
(一)安全意识培训
(二)防病毒软件
(三)系统更新
(四)防火墙
(五)入侵检测系统(IDS)
四、检测与分析
(一)行为分析
(二)流量分析
(三)静态分析
五、案例分析
(一)知名木马案例
(二)新型木马案例
六、未来趋势
(一)技术趋势
(二)威胁趋势
七、总结
ARP
一、什么是ARP?
将 IP 地址解析为 MAC 地址的协议
二、ARP类型有哪些?13; 什么情况产生ARP?
动态ARP
产生的情况?13;二层互访会出现ARP请求和应答报文。
详细过程。13;当同网段A访问B时,A先查ARP表,13;A有B的表项则直接ARP表中的MAC对报文二层封装,将报文交给B。13;A没有B的表项,先缓存报文,13;广播发ARP请求,报文源IP、MAC为发送主机的,目标IP为目标主机的IP,目标MAC全为FF13;B收到报文后,将请求的IP和自己的IP比较,相同,则将报文都源IP、MAC放到自身ARP表中,13;单播ARP应答给A,应答报文中标识B的MAC13;A是先查ARP表,判断表项做不同的处理行为。13;B是先判断请求都是否是自己的IP,是自己就“加表项”和做“应答”
通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口Down时会删除相应的动态ARP表项。
静态ARP
产生的情况?13;管理员手工将IP地址和MAC地址做映射关系。13;有什么特点?13;静态ARP表项不会被老化,不会被动态ARP表项覆盖。13;什么需要静态ARP表项?13;因为动态ARP会被老化和更新、当有ARP攻击时,造成通信异常。13;静态ARP不会被覆盖和老化,安全性高。13;怎么部署?13;一般部署在网关上配置。
免费arp
①IP地址冲突检测13;例如在设备接口上配置IP,接口协议状态UP时,设备主动发免费ARP13;②通告一个新的MAC地址。13;更换了网卡,MAC地址变化了会发免费ARP,让设备老化之前的表项13;③VRRP备份组主备切换。13;新master 广播发免费arp,通知主备切换,引导用户流量。
设备收到arp报文后处理行为
当免费ARP源IP地址和自己的IP地址相同,则周期性广播发免费ARP应答报文,说地址冲突,直到冲突解除。
当免费ARP中源IP地址和自己的IP地址不同,免费ARP报文从VLANIF接口收到的,13;并且存在免费ARP报文中源IP地址在自身动态ARP表项中,就更新该ARP表项。其他情况不处理免费ARP。
ARP攻击
攻击方式有哪些?
①ARP泛洪攻击。13; 设备处理ARP报文和维护ARP表项消耗系统资源,因此ARP表项规模有限制的。13;攻击者通过伪造大量源IP变化都ARP报文,耗尽ARP表资源。造成无法对合法用户生成ARP条目,通信中断13;攻击者通过扫描工具,发大量不能解析的目标IP,让设备触发ARP Miss消息,造成设备CPU负载过重。
②ARP欺骗
发送伪造的 ARP 报文,恶意修改用户主机的ARP表项,网络的报文通信异常
解决方案
ARP泛洪攻击解决方案13;①ARP 报文限速,避免处理大量ARP报文13;②ARP Miss 消息限速,防止触发 ARP Miss 消息13;③ARP 表项严格学习 13;设备主动发arp请求报文的应答报文才会触发ARP学习。13;④ARP 表项限制13;对设备接口设置最大动态ARP表项条目
ARP欺骗攻击解决方案13;①ARP表项固化,设备首次学习ARP后,不允许用户更新该ARP表项或只能更新部分。13;②发送免费 ARP 报文,网关主动发13;③ARP 报文内 MAC地址一致性检查13;④ARP 报文合法性检查13;⑤ARP 表项严格学习
ARP缺省配置
分支主题
威胁建模
一、如何发现威胁
(一)STRIDE方法
**Spoofing(假冒)**
用户认证:用户名密码、多因子认证
认证信息:HTTPS/SSL、数字签名
用户所拥有的:卡号、邮箱、手机
用户所具有的:生物特征、手机特征、图片
用户所认识的:朋友、历史行为
**Tampering(篡改)**
信息泄露:ACL、HTTPS/SSL、数字签名
拒绝服务:弹性资源、结构化异常处理、容错机制、沙盒
权限提升:ACL、避免反射放大、结构化异常处理、沙盒
**Repudiation(抵赖)**
信息泄露:ACL、HTTPS/SSL、数字签名
拒绝服务:弹性资源、结构化异常处理、容错机制、沙盒
权限提升:ACL、避免反射放大、结构化异常处理、沙盒
**Information Disclosure(信息泄露)**
信息泄露:ACL、HTTPS/SSL、数字签名
拒绝服务:弹性资源、结构化异常处理、容错机制、沙盒
权限提升:ACL、避免反射放大、结构化异常处理、沙盒
**Denial of Service(拒绝服务)**
信息泄露:ACL、HTTPS/SSL、数字签名
拒绝服务:弹性资源、结构化异常处理、容错机制、沙盒
权限提升:ACL、避免反射放大、结构化异常处理、沙盒
**Elevation of Privilege(权限提升)**
信息泄露:ACL、HTTPS/SSL、数字签名
拒绝服务:弹性资源、结构化异常处理、容错机制、沙盒
权限提升:ACL、避免反射放大、结构化异常处理、沙盒
(二)攻击树
**确定根节点**
系统的某个组件
**节点关系**
AND/OR
**子节点**
子节点
**考虑完整性**
考虑完整性
**修剪树**
修剪树
**展示树**
展示树
二、如何解决威胁
(一)欺骗威胁:认证
HTTP摘要
SSL/TLS
数字签名
认证信息:用户名密码、多因子认证
用户所拥有的:卡号、邮箱、手机
用户所具有的:生物特征、手机特征、图片
用户所认识的:朋友、历史行为
(二)篡改威胁:完整性
SSL
SSH
IPsec
数字签名
哈希
加密机制
签名
(三)抵赖威胁:不可否认性
数字签名
日志记录
日志分析
可信的第三方
数字证书
(四)信息泄露威胁:机密性
HTTPS/SSL
SSH
IPsec
加密的密钥管理
避免敏感信息泄露
漏洞扫描
漏洞修复
(五)拒绝服务威胁:可用性
弹性资源
近源过滤
近目的过滤
高可用性设计
最小权限原则
ACL访问控制
基于角色的访问控制
沙箱
输入验证
(六)权限提升威胁:授权
弹性资源
近源过滤
近目的过滤
高可用性设计
最小权限原则
ACL访问控制
基于角色的访问控制
沙箱
输入验证
三、如何管理威胁
(一)威胁建模的时间点
需求分析阶段
设计阶段
编码阶段
测试阶段
部署阶段
维护阶段
(二)威胁建模的频率
每个 Sprint 开始
每周一次(关注变化)
每月一次(关注变化)
(三)威胁建模的深度
重点关注核心功能
重点关注数据流
重点关注外部接口
重点关注敏感信息
(四)威胁建模的广度
从项目启动开始
从系统设计开始
从编码开始
从测试开始
(五)威胁建模的深度优先
高风险
中风险
低风险
(六)风险等级
高风险
发生频率:高
影响程度:高
预估损失:高
中风险
发生频率:中
影响程度:中
预估损失:中
低风险
发生频率:低
影响程度:低
预估损失:低
(七)处理威胁的方案
接受风险
改变设计
更新功能
删除功能
缓解风险
应用标准解决方案
平台提供解决方案
开发者自己实现解决方案
转移风险
购买保险
外包
避免风险
改变设计
删除功能
监控风险
持续监控
监控异常活动
监控影响
忽略风险
不采取行动
(八)权衡威胁(优先级)
高风险
对系统的影响:大
处理威胁的成本:高
人天:多
中风险
对系统的影响:中
处理威胁的成本:中
人天:中
低风险
对系统的影响:小
处理威胁的成本:低
人天:少
(九)跟踪威胁
确认威胁解决方案
复查威胁
恶意软件
恶意软件分析与逆向工程速查表
寄存器
通用寄存器
状态寄存器
指令
数据处理指令
负载与存储指令
分支指令
条件执行
系统控制
逆端与字节顺序
示例代码
简单的加法操作
条件分支
循环示例
参考资源
分支主题
分支主题
分支主题
恶意软件分析与逆向工程速查表
寄存器
通用寄存器
状态寄存器
指令
数据处理指令
负载与存储指令
分支指令
条件执行
系统控制
逆端与字节顺序
示例代码
简单的加法操作
条件分支
循环示例
参考资源
分支主题
分支主题
分支主题
0 条评论
下一页
