2019-2020-1学期20192431《网络空间安全导论》第十一周学习总结
问题:1、单行函数?
2、什么叫做已经被注释了?
3、URL?
4、Cookie是什么?起到什么作用?
5、中间件到底起到了什么样的作用?
第五章、应用安全
1、早期的应用系统采用的客户/服务器模式是一种双层的结构,通常是将一台个人计算机做客户机使用,另外一台服务器用于存放后台的数据库系统,应用程序可以和客户端直接相连,中间没有其他的逻辑。程序的业务逻辑一般存储在前台的应用程序中,即程序员根据客户的业务要求定制客户端程序,这种定制的程序没有通用性,并且有一个很大的缺点:一旦客户的业务逻辑改变,将引起应用程序的修改以及后台数据库组件的修改。
2、三层客户/服务器结构,构建了一种分割式的应用程序,由三个层次共同组成应用系统。在这种结构中,用户使用标准的浏览器,通过Internet和Http协议访问服务方提供的WEB应用服务器,此应用服务器分析用户浏览器提出的请求,如果是页面请求,则直接用HTTP协议向用户返回要浏览的页面。如果有数据库查询操作的请求,则将这个需求传递给服务器和数据库之间的中间件,由中间件向数据库系统提出操作请求,得到结果后再返回给web应用服务器,web应用服务器把数据库操作的结果形成HTML页面,再返回给浏览器
3、常见的WEB应用安全漏洞:
1)、SQL安全注入漏洞:要想更好地研究SQL,就必须深入了解每种数据库的SQL语法及特性。每种数据库都有自己的单行函数及特性。用户输入的数据被SQL解释器执行。
关于SQL的防护手段:
参数类型监测:面向纯字符型的参数查询。
参数长度检测。危险参数过滤:包括关键字,内置函数,敏感字符的过滤。其过滤方法:
黑名单过滤、白名单过滤、GPC过滤、
参数化查询
4、文件上传漏洞
1)、文件上传漏洞的原理:文件上传时检查不严,文件上传后修改文件名时处理不当,使用第三方插件时引入。
2)文件上传攻击实例分析:图片文件的上传
3)文件上传漏斗常见的防护手段:系统开发阶段的防御
系统运行阶段的防御
安全设备的防御
5、XSS
1)、XSS的定义:跨站脚本攻击,是指攻击者利用网站程序对用户输入过滤的不足,输入可以显示在页面上对其他用户造成影响的HEML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
XSS属于客户端攻击,受害者是用户。XSS攻击允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话、危害网站或者将用户转至恶意网站。
2)、XSS的分类:
1、反射型:该类型只是将用户输入的数据直接或未经过完善的安全过滤就在浏览器中进行输出,导致输出的数据中存在可被浏览器执行的代码数据。存在在URL中。
2、存储型:存储型是指Web应用程序会将用户输入的数据信息保存在服务器端的数据库或其他文件形式中。网页进行数据查询展示时,会从数据库中获取数据内容,并将数据内容在网页中进行输出展示,因此存储型XSS具有较强的稳定性。
3、基于DOM的XSS:是通过修改页面DOM节点数据信息而形成的XSS。不同于反射型和存储型,基于DOM的XSS往往需要针对具体的JSDOM代码进行分析,并根据实际情况进行过XSS的利用。
3)、XSS漏洞常见的防护手段:
1、过滤特殊字符:其作用就是过滤客户端提交的有害信息,从而防范XSS攻击。
2、使用实体化编码:如果能够对特殊字符进行编码和转义,让浏览器能区分这些字符是被用作文字显示而不是代码执行,就会到时攻击者没有办法让代码被浏览器执行。
6、CSRF
1)CSRF的原理:CSRF是指跨站请求造伪,攻击者盗用了你的身份以你的名义进行某些非法操作。要完成一次CSRF攻击,受害者必须依次完成两个步骤:
1、登录受信任网站A,并在本地生成COOKIE
2、在不登出A的情况下,访问危险网站B。
不能保证你登录了一个网站后,不再打开另一个TAB页面并访问另外的网站,
不能保证你关闭浏览器之后,本地的COOKIE立刻过期,上次的会话已经结束,
所谓的攻击网站,可能是一个存在其他漏洞的,可信任的、经常被人访问的网站
2)CSRF的三种不同的危害方式:
1、论坛等可交互的地方
2、Web攻击者
3、网络攻击者
3)CSRF漏洞的常见防护手段:
1、添加验证码
2、验证referer
3、利用Token
7、远程代码执行漏洞:
1)原理:通过函数执行一个正则表达式的搜索和替换
2)防范:1、禁用高危系统函数
2、严格过滤关键字幅
3、严格限制允许的参数类型
8、恶意代码
1)定义:恶意代码又称为恶意软件,是能够在计算机系统中进行非授权操作的代码,恶意代码是一种程序,他通过把代码在不被查觉得情况下镶嵌到另一端程序中,从而达到破坏被感染电脑数据,运行具有入侵性或破坏性的程序,破坏被感染电脑数据的安全性,完整性和可用性,盗取应用系统和用户重要数据的目的。
2)恶意代码的特点:恶意代码通常是一段可以执行的程序,能够在很隐蔽的情况下嵌入另一个程序中,通过运行别的程序而自动运行。
3)恶意代码的分类:分类恶意代码的标准是代码的独立性和自我复制性,独立的恶意代码指的是具备一个完整程序所应该具有的全部功能,能够独立传播、运行的恶意代码,这样的恶意代码不需要寄宿在另一个程序中。非独立恶意代码只是一段代码,必须嵌入某个完整的程序中,作为该程序的一个组成部分进行传播和运行。对于非独立恶意代码,自我复制过程就是将自身嵌入宿主程序的过程。对于独立恶意代码,自我复制的过程就是将自身传播给其他系统的过程,不具有自我复制的 能力的恶意代码必须借助其他媒介进行传播。
常见的恶意代码:逻辑炸弹、Rootkit,木马,病毒、蠕虫、Zombie,WebShell。
4)恶意代码的危害:
1、破坏数据
2、占用磁盘存储空间
3、抢占系统资源
4、影响计算机运行速度
5)、防范方法:
(1)服务器安全设置
①加强对脚本文件的代码审计,对出现FSO、Shel对象等操作的页面进行重点分析借助漏洞扫描工具,及时发现系统漏洞,安装相关补丁;经常关注微软官方网站,及时安装操作系统及相关软件的补于,并对eb服务器进行安全设置,关闭不必要的端口,停止不必要的服务,禁止建立空链接;建立本地安全策略和审核策略。
②Web服务器通过正则表达式、限制用户输入信息长度等方法对用户提交信息的合法性进行必要的验证、过滤,可以有效防范SQL注入攻击和跨站脚本攻击;尽量使用参数化的SOL查询来代替动态拼接的SQL注入语句,尽量完善操作日志记录和日志记录,也是防范SOL注人攻击的有效手段。
③数据库是Web应用系统的重要组成部分,使用数据库系统自身的安全性设置访问数据库权限。如果数据库允许匿名访问,建议创建个别具有高权限的用户,并以此用户执行数据库的操作。
2)应用安全防护①Web软件开发的安全
程序开发时应防止文件上载的漏洞,防SPL注入、防暴库、防 cookies欺骗、防跨站脚本攻击。
②FTP文件上载安全
应设置好FTP服务器,防止攻击者直接使用FTP上传木马程序文件到Web程序的目录中。
③文件系统的存储权限
取可以果用分静态文件解析服器和Web服务器两种服务器分别读取( Apache/Nginx加m 部分目录写权限给系统用户。 将Web应用和上传的任何文伴(包括)分开,保持Web应用的纯净,而文件的读tomcat等Web服务器)或者读取图片,有程序直接读文件,以流的形式返回到客户端。④不要使用超级用户运行Web服务 对于 Apache、 Tomcar等web服务器,安装后要以系统用户或指定权限的用户运行,如
果系统中被植入了ASP、PHP、SP等木马程序文件,以超级用户身份运行,通过 Weasel提权后获得超级用户的权限进而控制整个系统和计算机。
攻击者在获得Web漏洞之后,为了获得服务器的更多管理权限,最直接的方法就是 (3)控制文件上传上传 Webshell,然后再进行提权处理,因此防范 Webshell最直接的方法就是控制文件上传。控制文件上传可以采取以下措施:
①加强对脚本文件的代码审计,对出现FSO、 Shell X对象等的操作页面进行重点分析。借助漏洞扫描工具,及时发现系统漏洞,安装相关补丁;经常关注官方网站,及时安装操作系统及相关软件的补丁,并对Web服务器进行安全设置,关闭不必要的端口,停止不必要的服务,禁止建立空链接;建立本地安全策略和审核策略。
②将应用系统的重要文件放在不同的文件夹中,通过设置虚拟目录访问这些文件夹,尤其是上传文件,并合理设置这些文件夹的访间权限,以保证Web应用系统的安全。此外,设置好Web程序目录及系统其他目录的权限,相关目录的写权限只赋予超级用户
部分目录写权限赋予系统用户。
5.4中间件安全
5.4.1中间件概述
随着计算机技术的飞速发展,各种各样的应用程序需要在各种平台之间进行移植,或者一个平台需要支持多种应用程序和管理多种应用系统,软、硬件平台和应用系统之间需要可靠和高效的数据传递或转换,使系统的协同性得以保证。这些都需要一种构筑于
环境下应运而生。 软、硬件平台之上,同时对更上层的应用程序提供支持的软件系统,而中间件正是在这个由于中间件技术正处于发展过程之中,因此目前尚不能对它进行精确的定义。
中间件的分类:
1、 应用服务类中间件
2、 应用集成类中间件
3、 业务架构类中间件
10、数据库安全
防范方法: 1)首先,需要加强像8A这样的号的密码。与系统账号的使用配置相似,一般操 数据库不要使用像SA这样拥有最高权限的号,而尽量使用能满足要求的一般账号。 对于数据库的防护方法如下2)对扩展存储过程进行处理。首先要删除 xp cmdshell,以及上面那些存储过程,因为一般用不到这些存储过程。 pxoe'xP_ cmdshe11・去掉 Guest
3)执行 use master ap_ dropextended账号,阻止非授权用户访问。
4)加强对数据库登录的日志记录,最好记录所有登录事件。
5)用管理员账号定期检查所有账号,看密码是否为空或者过于简单,如发现这类情况应及时弥补。
第八章
舆情作为一种重要的社会精神现象,很早就收到了政治家和哲学家的关注。
舆论是舆情的近亲,很多余情的研究都是以舆论为起点。
舆情从字面上可以理解为舆论的总体情况。民众是政府公共决策的重要基础。
舆情包括网络舆情和社会舆情,两者相互映射,存在互动关系。
网络舆情是社会舆情的一部分,是媒体或网民借助互联网,对某一焦点问题,社会公共事务所变现出的具有一定社会影响力,带有倾向性的意见或言论,是社会舆情在互联网上的一种特殊反映。
网络舆情是指在网络空间内,民众围绕舆情因变事项的发生,发展和变化,通过互联网表达出来的对公共政策及其制定者的意见。
舆情分析的重要意义:
- 影响政府形象,及时了解可以对错误,失实的舆论进行正确的引导。
- 政府通过对于情的分析,能够掌握社会的民意
- 企业进行舆情的分析,能够及时的处理企业在网络上的相关影响
网络舆情的特点: - 表达的直接性
- 舆情信息在数量上具有海量性
- 舆情信息在内容上具有随意性和交互性
- 传播的迅速性
- 产生的突发性
- 舆情信息在时间上具有实时性和继承性
- 情绪的非理性
- 舆情信息在发展上具有偏差性
- 人们对一件事的关注分为几个阶段:关注前期(信息还未被大批受众关注);发展期(一些具有影响力的人物开始关注事件并加以传播);爆炸期(公众对事件的关注度到达顶峰);冷静期(开始有一些冷静下来分析时间的声音出现);冷却期(经历了前四个时期之后,该时间已经满足了人们的好奇心)
8.2网络舆情的分析方法
检索方法主要包括机器检索和人工检索两类
机器检索是借助信息检索工具在网络上抓取与给定关键词相关的信息,借助累加器,网址指向判断等简单的程序给出信息的来源和浏览量,并按照用户的要求进行筛选和排序。
机器检索的基本理论来自信息管理科学,典型的应用就是网络搜索引擎。搜索引擎包括索引处理和查询处理,核心是索引,即目录。
人工搜索是借助开放性工具完成网络舆情的分析工作。
检索方法的特点: - 实际操作中自主研发的检索工具使用频率不高,普通商业搜索引擎的使用率较高
- 机器检索需要事先设定一个目录
- 机器检索负责数据的粗检索,人工检索负责数据的精选搜索
- 检索的起点是关键词或排行榜,检索内容是信息的属性
网络舆情的研判主要关注舆情发生的动因,核心诉求,传播路径和传播影响力,并判断舆情的传播走势的影响。需要完成两个任务:分析思路和理论支持。
人民网舆情监测室一般列举舆情事件的传播路径和关键节点,通过人工采样分析的方法分析网民的意见倾向,并通过简单的评书提供舆情引导策略
新华网:舆情解码是典型的例案研究,通过对单个网络舆情事件的全过程讨论,分析其特征与借鉴意义;今日舆情特点是针对单日网名的点击量,搜索量或者评论量较高的新闻做出的排行榜。
网络舆情信息的分析研判主要包括定量研判分析和定性研判分析两种
定量研判分析包括: - 与请按区域统计分析
- 与请按时间统计分析
- 舆情按年龄统计分析
- 舆情按性别统计分析
- 舆情按行业统计分析
- 舆情按性质统计分析
- 舆情按密度统计分析
定性研判分析包括 - 舆情可信度统计研判分析
- 舆情价值统计研判分析
- 舆情等级统计研判分析
- 舆情历史关联统计研判分析
- 舆情趋势预测统计研判分析
- 舆情转预警预测统计研判分析
典型的舆情分析方法
双层分析法:传播层分析(对传播者分析);动因层分析
语义统计分析方法:现在基于语义分析的研究成果基本上是以词为研究单元,适当人工参与,有一定的主观性。
情感倾向分析方法:文本的情感倾向性分析关注的不是文本本身内容,而是能否主动分析出文本内容所表达的情感和态度。倾向性分类主要有基于语义词典的方法和基于机器学习的无监督方法
基于Web的文本挖掘技术的分析方法:该技术主要包括:关联规则挖掘,序列模式挖掘,聚类分析和自动分类技术: - 关联规则挖掘可挖掘出隐藏在数据之间的相互关系
- 序列模式挖掘重点在于分析数据间的前后序列关系
- 聚类分析以某种相似性度量为标准,将未标注类别的文本分成不同的类别
- 自动分类技术是将一个对象划分到事先定义好的类中分类的准则是预先设定好的
8.3网络舆情分析系统
网络舆情分析系统通常具有一下功能:热点话题,敏感话题分析;倾向性分析;主题跟踪;趋势分析;突发事件分析;报警系统;统计报告。
大数据环境下舆情系统一般有网络舆情数据采集,数据预处理,数据聚类,舆情分析,结果呈现等模块组成
网络爬虫是相对成熟的一种自动采集网页信息的方式,适用于网络舆情监控与分析系统。
网络爬虫技术可以作为搜索引擎在互联网上下载所需网页,它只需要访问网页URL与分析Web页面。
话题是舆情的关注点,根据话题检测与跟踪评测会议对话题的定义,话题是一个核心事件或活动以及与之直接相关的事件或活动。
一般话题发现的研究方法可分为两类:寻找合适话题发现的聚类算法或者对已有的据类算法进行改造;挖掘新的话题特征来提高检测的效果
舆情分析的另一个任务是感知人们的官邸啊,态度倾向等主管信息。
情感倾向性分析可以分为两步:首先对文章中的词语进行倾向判断,提取情感词语并得出个情感词语的倾向权值;然后根据情感词语的倾向权值计算出句子或文章的语义倾向性
信息过滤技术是根据用户的设定在抓取网页内容中过滤不掉的部分,留下有用信息并将其保存到指定的位置。
Web信息挖掘主要由四个步骤构成 - 定位Web信息源
- 数据的选择与预处理
- 有效模式的挖掘
- 模式的验证分析
数据存储是整个舆情监控与分析系统中所有数据和功能的基础
数据存储功能主要体现在设计并创建良好数据库表
系统数据库表中一般分为5个数据表:站点信息表;文档信息表;话题信息表;话题发现结果表;情感分析结果表
8.4网络舆情监测系统
网络舆情监控要做到: - 一同公开管理的职能,切实掌握网络情况,积极建立健全系统的信息数据库
- 对于网络上的热点新闻,时间及人物,在实现网络监控的同时,视情况可进行网下的深入调研
- 充分利用计算机技术与网络技术
网络舆情监测系统可分为以下几个模块: - 信息采集模块:从互联网网站上采集网页信息,为网络舆情监测系统提供原始数据
- 正文提取模块:从采集到的网页中提取正文信息
- 文本聚类模块:对采集到的文本进行聚类
- 文本分类模块:对聚类后的各个类别中的文本进行分类
- 情感分析模块:实现对同一类别中的文本进行情感分析
网络舆情监测系统的作用: - 及时全面的收集舆情
- 分析舆情
- 检测结果将成为重要的决策依据