No.13 笔记 | 网络安全防护指南:从法律法规到技术防御

时间:2024-10-09 11:07:35

一、法律法规

《*网络安全法》要点

  • 遵守法律:所有个人和组织在使用网络时,必须遵守宪法和法律,不得利用网络从事危害国家安全等活动。

  • 个人信息保护:禁止非法获取、出售或提供个人信息。若违反但未构成犯罪,将面临罚款和没收违法所得。

二、认证崩溃与防范

定义与问题

  • 认证崩溃:因错误使用身份认证或会话管理功能,导致攻击者能够破解密码。常见于开发人员忽视安全交互,如使用弱口令或缺少多因素认证。

预防措施

  1. 多因素认证:增加安全层级,防止暴力破解。
  2. 弱口令检测:定期检查并消除弱口令。
  3. 复杂会话ID:生成高复杂度会话ID,并设置超时失效。

三、弱口令

定义与分类

  • 弱口令:容易被猜测的密码,如“123”或“abc”。

  • 分类

    • 公共弱口令:常见高频密码。
    • 条件弱口令:与个人信息相关的密码。

产生原因与危害

  • 原因:个人习惯和安全意识不足,使用易记或默认密码。
  • 危害:攻击者可进入系统后台,修改资料、盗取资金等。

四、密码破解时间

  • 6位密码破解时间
    • 数字:0秒
    • 字母(大/小写):30秒
    • 混合字母:33分钟
    • 数字+字母:1.5小时
    • 数字+字母+标点:22小时

五、增加密码复杂度

  • 建议:密码不少于8位,包含大小写字母、数字和特殊符号。避免使用连续字符或与个人信息相关的密码,定期修改。

六、常见漏洞与防范

  1. 信息收集:防止信息泄露,保护网站敏感信息。
  2. 弱口令攻击:采用强密码策略,防止穷举攻击。
  3. 框架漏洞:及时更新修复技术栈中的安全漏洞。
  4. 逻辑漏洞:确保授权访问,防止未授权操作。
  5. CSRF攻击:使用防伪令牌,防止跨站请求伪造。
  6. 文件上传漏洞:限制文件类型,防止上传恶意脚本。

七、暴力破解与工具

暴力破解概述

  • 定义:暴力破解,又称字典攻击,是通过自动化脚本反复尝试用户名和密码组合,以窃取信息或获取权限的攻击方式。

  • 产生原因

    • Web应用在开发时存在身份认证逻辑漏洞。
    • 用户身份识别策略不严格或设置不当。
    • 对用户身份和密码未实施强制性限制。
    • 对异常访问地址未进行处理。
    • 身份认证方式存在缺陷或权限分配不合理。

工具介绍:Hydra与Burp Suite

  • Hydra:开源暴力破解工具,支持多种协议。适用于SSH、RDP、MySQL等,但不适用于HTTP(S)破解。

  • Burp Suite:用于攻击Web应用程序的集成平台,提供多种工具和接口。Burp Intruder模块可自动对Web应用程序进行自定义攻击,具有高度的可配置性。

Burp爆破模块组成

  1. Target:配置目标服务器的详细信息,包括IP地址、端口号及是否使用HTTPS等。
  2. Positions:设置Payload插入点和攻击类型(如Sniper、Battering Ram、Pitchfork、Cluster Bomb)。
  3. Payloads:配置Payload,设置字典,定制数量、类型及选项。
  4. Options:包含发包和收包细节,如发包速度、记录保存,以及请求头发送和接收数据处理等设置。

靶场练习

  • 后端验证:如Pikachu后端服务器在验证码检测上存在漏洞,未重置验证码,导致可被爆破。
  • 前端JS检测:验证码检查在JS中进行,可利用前端验证而后端不检查的情况进行爆破。
  • Token防爆破检测:服务端生成Token,前端请求携带以证明合法身份。在练习中,假设已知用户名,并将密码和Token设置为爆破点进行标记,直至爆破成功。

暴力破解防御方式

  • 用户层面:避免使用弱口令。
  • 服务方层面
    • 对多次登录失败的账户锁定IP。
    • 使用短信或语音验证码等验证方式,并设置阈值。
    • 使用复杂验证码以增加攻击成本。