安全基础知识

一、 安全基础知识

互联网的组成:TCP/IP协议

广域网的构成:广域网-城域网-接入网-局域网

二、互联网的风险

网络通讯五元组:源IP、目的IP、源端口、目的端口、传输所用的协议

IP和port(相当于城堡和城门)

安全相关概念:基础运营商(联通电信移动)-骨干网-IDC(数据中心)-BGP协议(边际网关协议)-ABTN(阿里巴巴骨干网用于数据中心与公网连接)-路由器-交换机-防火墙-安全策略(规则)

TCP三次握手DDOS攻击原理:客户端与服务端建立连接需完整三次握手的过程,DDOS攻击目的是耗尽TCP资源,当第三次握手客户端不在发送ACK报文,服务器丢弃时间为1分钟,从而造成DDOS攻击

TOP N攻击详解

1、应用程序安全风险:威胁来源(人)-攻击向量(攻击)-安全弱点(弱点)-安全控制(控制)-技术影响(资产、功能)-业务影响(影响);攻击向量+漏洞普遍性+漏洞可检测性平均数在乘以技术影响=承受风险的应用等级

2、基于OWASP风险等级排序方法的简单评级方案(威胁来源、攻击向量、漏洞普遍先、漏洞可检测性、技术影响、业务影响)

复制代码
> 排行:
> 1、注入类安全风险:将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生SQL注入、OS注入、LDAPA注入的注入缺陷。攻击者的恶意数据可以使解析器没有适当授权情况下执行非预期命令的访问数据
> 2、失效的身份认证 
> 3、敏感数据泄露:包括传输过程中的数据、存储的数据、浏览器的交互数据
> 4、XML外部实体(XXE) 
> 5、失效的访问控制 
> 6、安全配置错误 
> 7、跨站脚本(XSS) 
> 8、不安全的反序列化
> 9、使用含有一直漏洞的组件 10、不足的日志记录和监控
相关推荐
Piko61416 小时前
H3C IRF2 堆叠实战:打造高可靠核心交换网络
运维·网络·笔记
技术不好的崎鸣同学16 小时前
[ACTF2020 新生赛]Exec 思路及解法
算法·安全·web安全
minge000118 小时前
【世界杯中的AI】(2026-07-05)当足球遇见AI:7月5日世界杯的“人机共舞”与冷门之夜
人工智能·科技·世界杯
茯苓gao18 小时前
嵌入式开发笔记:CANopen相关移位运算与通信协议术语详解
网络·嵌入式硬件·学习·信息与通信
万联WANFLOW18 小时前
SD-WAN 控制平面高可用怎么做?SDWAN 控制器挂了,全网会发生什么
运维·网络·分布式·架构
酱学编程19 小时前
【从零到一实现一个 AI Agent 框架 · 第四篇】04. 任务规划:拆解复杂目标 -
服务器·网络·数据库·人工智能
风行南方20 小时前
密码学之分组密码
网络·密码学
艾莉丝努力练剑21 小时前
OpenCode AI 编程:Ubuntu 24.04 环境安装与使用指南
linux·服务器·网络·人工智能·tcp/ip·ubuntu
谷雪_6581 天前
Linux 网络命名空间:从内核原理到企业级容器网络架构全景实战
linux·网络·架构
liulilittle1 天前
KCC 拥塞控制算法缺陷修复记录(26/07/05)
网络·tcp/ip·计算机网络·c·信息与通信·tcp·通信