fairry

摘要： 一、实践内容 1、浏览器渗透攻击 就是利用对浏览器的控制，根据当前形势，探寻攻击的可能性。这种攻击有多种形式，包括对浏览器的“本地”攻击，对浏览器所在操作系统的攻击，以及对任意位置远程系统的攻击。 对浏览器进行核心攻击的方法： （1）、避开同源策略。 将SOP看作是浏览器的重要沙箱。若您可以避开它， 阅读全文

摘要： 一、实践内容 1、SQL注入攻击 （1）定义： SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。对于Web应用程序而言，用户核心数据 阅读全文

摘要： 一、实践内容 1、软件安全的概述 定义：软件安全（Software Security）就是使软件在受到恶意攻击的情形下依然能够继续正确运行及确保软件被在授权范围内合法使用的思想。 解决软件安全问题的根本方法就是改善我们建造软件的方式，以建造健壮的软件，使其在遭受恶意攻击时依然能够安全可靠和正确运行。 阅读全文

摘要： 一、实践内容 1、恶意代码基础知识 （1）恶意代码定义 恶意代码：恶意代码(Unwanted Code)是指没有作用却会带来危险的代码，一个最安全的定义是把所有不必要的代码都看作是恶意的，不必要代码比恶意代码具有更宽泛的含义，包括所有可能与某个组织安全策略相冲突的软件。 （2）恶意代码分类 计算机病 阅读全文

摘要： 一、实践内容 1、渗透攻击 渗透是攻击者常用的一种攻击手段，也是一种综合的高级攻击技术，同时渗透也是安全工作者所研究的一个课题，在他们口中通常被称为”渗透测试(Penetration Test)"。 无论是网络渗透(Network Penetration)还是渗透测试(Penetration Tes 阅读全文

摘要： 一、实践内容 1、metasploit软件 （1）metasploit简介 metasploit框架，即msf，是一个用于渗透测试的开源工具， 可以理解为如果你是一名电工，要修理电器的话，而msf就相当于是你完备的工具箱。 （2）metasploit用途 我们可以通过使用msf的所有插件，如payl 阅读全文

摘要： 一、实践内容 （一）、安全模型 1、传统安全评估和防范方法 对网络进行风险分析，制定相应的安全策略，然后采取安全技术作为防护措施，主要针对固定、静态的威胁和环境弱点。2、动态可适应网络安全模型 PDR安全模型：基于闭环控制理论的时间动态可适应网络安全模型，以经典的网络安全不等式P>D+R（保护、检测 阅读全文

摘要： 一、实践内容 （一）网络攻击模式 在网络通信中，攻击者可以采取如下四种基本的攻击模式，包括截获、中断、篡改与伪造。 1、截获 是一种被动攻击模式，其目的是获取网络通信双方的通信信息内容，是对机密性的违反，主要的攻击技术为嗅探 (Sniffing) 与监听 (Eavesdropping)； 2、中断 阅读全文

摘要： 一、实验内容 1、网络嗅探 1.1 网络嗅探定义 网络嗅探技术是一种常用的窃听技术，利用计算机的网络接口截获并监听数据流中所包含的隐私信息。 嗅探技术按照链路可以分为：有线局域网和无线局域网嗅探技术；也可以按照实现方式分为：软件嗅探器和硬件嗅探器。 1.2 网络嗅探原理 网络嗅探技术是一把双刃剑，即 阅读全文

摘要： 一、实验内容 1、网络扫描类型 主机扫描：找出网段内活跃主机 端口扫描：找出主机上开放的网络 操作系统/网络服务辨识：识别操作系统类型和开放网络服务类型 漏洞扫描：找出主机/网络服务存在的安全漏洞 2、网络信息收集方法 （1）网络踩点(footprinting) 网络踩点是指攻击者通过对目标组织或个 阅读全文