网络安全(31-33)

31.计算机安全

身份验证

admin/user 通过用户权限来控制用户行为，确定你在该服务器上的额权限

权限管理

不能向上读表示，你在低权限位置不能读取高权限的内容，这样能防止非管理员窃取到机密，不能向下写表示，你在高权限位置不能在低权限的区间写内容，这样能防止管理员权限的核心内容被泄露到低权限区域。

网络安全的目的(三个)：

保密性，完整性，可用性

32.黑客&攻击

社会工程学

通过欺骗获取他人信息和配置电脑系统，生成社工字典，使易于攻击

钓鱼攻击

通过发送钓鱼链接获取受害者信息

边界检查

DDOS发送垃圾数据进行服务器攻击

• WEB安全

sql注入`、`XSS`、`CSRF`、`前端安全`、`SSRF`、`XXE`、`JSONP注入`、`SSTI`、`代码执行/命令执行`、`文件包含`、`文件上传/解析漏洞`、`逻辑漏洞`、`未授权访问/信息泄露`、`PRO`、`Web Cache`、`PHP相关`、`java-web`、`Python-web`、`Node-js`、`WAF相关

33.加密

排列加密

将一列数据字符，按照一定的矩阵排布，然后从矩阵的左下角往上，从左往右依次读取，这样原先的信息就被打乱了，难以发现里面的加密规则。

公钥加密

一个公开的密文，双方都知道，然后把这个公钥和自己的私钥按一定规则混合，形成新的自己的私钥，然后把这份新私钥发送给对方，对方再将这个新私钥混合自己的私钥，形成最终秘钥，这样一来双方都得到了一致的最终秘钥，外界无法知道。

密文转换(可能出现转换错误)

一个字符，经过转盘换成另一个字符，这个字符又经过新的转盘换成另一个字符，最终输出新字符。原先的内容就完全变化了。