Security+ 4. 执行安全评估

最新推荐文章于 2025-05-06 13:18:38 发布
最新推荐文章于 2025-05-06 13:18:38 发布
阅读量470 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Security+ 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/f_carey/article/details/107780721
本文详细探讨了安全评估,包括软件漏洞、账户漏洞的类型和风险,以及如何进行安全评估和漏洞评估。重点讲解了评估技巧、常用的漏洞评估工具,如端口扫描器、协议分析器和指纹识别工具。同时,介绍了不同类型的漏洞扫描和评估准则。最后,文章阐述了渗透测试的步骤、工具和执行准则,强调了渗透测试在安全评估中的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

4. 执行安全评估

  • 主机漏洞:默认配置
  • 加密漏洞:组织没有合理配置他们的数字证书,以至于证书上的地址与实际域名不相符;证书到期,证书签名者不可信,证书格式不正确。
  • 网络架构的漏洞:内外网没有分离等
  • 操作漏洞:不合理的操作流程等

4.1 软件漏洞

  • 0Day
  • 不合理的输入处理
  • 不合理的错误处理
  • 资源耗尽(Resource exhaustion)
  • 竞争状态(Race condition)
  • 内存漏洞
内存泄露(Memory leak)发生在软件对被分配内存使用结束后无法释放的情况中,可能会引发系统的不稳定。
缓冲区溢出:指数据超出了被分配的内存缓冲区的边界,可能会对相邻内存造成破坏。
整数溢出:指一个计算结果太大而无法容纳进内存中的被分配空间,可能会引起缓冲区溢出和崩溃。
指针解引用(Pointer dereference):指代码尝试移除指针及其被指对象(pointee)之间的关系。
DLL注入:指一个基于Win的应用程序迫使另一个运行中的应用程序在内存中加载一个动态链接库(DLL),可能会使受害应用程序变得不稳定或泄露敏感信息。

4.2 账户漏洞

  • 对密码复杂性和长度未做要求或要求很低
  • 不会过期的密码
  • 在可用前提下,账户没有使用多因素认证
  • 账户被放在错误的分级或组织单元中,给这些账户赋予不合适的访问等级。
  • 账户被赋予超过需求的权限
  • 未禁用或删除停用账户
  • 未禁用或删除游客账户

4.3 评估漏洞

  • 安全评估(Security assessment):指通过一组综合的技术测试安全控制过程,暴露出你的工具,技术,服务和操作中的任何弱点或差距。
  • 漏洞评估(vulnerability assessment):是安全评估中的一个方法。

4.3.1 安全评估技巧

  1. 审核基线报告(baseline report)
  2. 执行代码审核(code review)
  3. 确定攻击面(attack surface)
  4. 审核安全架构(Security architecture review):指对组织当前安全基础架构模型的评估,确定当前系统和关键资产是否得到合理保护。
  5. 审核安全设计:确定安全设计是否满足组织的实际需求。

4.3.2 漏洞评估工具

  1. 漏洞扫描器:评估你的系统,网络和应用程序中的弱点
  2. 端口扫描器:评估网络中所有端口的当前状态,并检测可能会对组织产生风险的开放端口
  3. 协议/数据包分析器:评估网络上的流量,流量中揭示的内容以及使用的协议
  4. 指纹识别(fingerprinting)工具:确定目标的操作系统信息和运行服务,也称标志提取(banner grabbing)
  5. 网络枚举器:映射网络的逻辑结构,以确定网络上的流氓系统。
  6. 密码破解器:从存储在计算机中或通过计算机传输的数据中恢复密码。
  7. 备份工具:创建被扫描数据的复制版本
  8. 蜜罐:将可疑行为从合法网络系统中重定向到一个可以安全监控的独立系统中。

4.3.3 漏洞扫描的类型

  1. 凭证扫描:有能力真正地评估系统配置的所有方面,而不是仅评估普通用户看到的内容。
  2. 非凭证扫描:仅评估普通用户看到的内容。
  3. 误检(false positive):扫描器确定一个漏洞,实际上并不是。
  4. 漏检(false negative):扫描器确定某个项目不是漏洞,而实际上是。被认为是扫描工具中的灾难性故障。

4.3.4 评估漏洞的准则

  1. 才此主机的操作系统和平台是如何配置的。
  2. 不要依赖默认的主机配置来获得最佳安全性
  3. 创建与你的安全需求相对应的自定义主机配置。
  4. 思考软件中的0Day漏洞是如何显著增加攻击风险的。
  5. 思考组织开发或使用的应用程序是如何受到不合理输入处理和内存问题等漏洞的影响的。
  6. 思考使用过时的密码套件是如何危害网络流量加密的。
  7. 评估你的数字证书中的错误配置,如无效的格式编排
  8. 评估加密密钥管理系统中是否存在可能使攻击者更容易访问私钥的弱点
  9. 思考你的网络架构是如何使攻击者更容易地获得访问权限或改动DoS状况的
  10. 确定组织中可能极易受到社会工程攻击的任何用户,对相应人员进行培训。
  11. 确定任何缺乏有效规划的关键业务流程,如寿命末期(EOL)流程等
  12. 思考系统延伸和未登记资产是如何使组织中的所有要素变得更难保护。

4.4 实施渗透测试

  1. 侦察(Reconnaissance)
  2. 初步利用
  3. 权限扩大
  4. 跳板
  5. 维持

4.4.1 渗透测试工具

  1. 利用框架:创建并部署代码来利用系统
  2. 数据清除工具:安全地从存储媒介中擦除数据
  3. 信息隐藏工具:将数据隐藏在其他数据中避免被检测到。
  4. 社交工程工具:测试用户对社交工程策略的敏感程度
  5. 压力测试器:测试系统对计算开销和网络带宽增长的响应能力

4.4.2 实施渗透测试的准则

  • 考虑除了执行漏洞评估还执行渗透测试的优势,或渗透测试能取代漏洞评估的原因。
  • 了解执行渗透测试时涉及的风险。
  • 才此在模拟攻击中的不同阶段实施渗透测试技术。
  • 考虑使用不同的盒测试方法来执行渗透测试。
  • 理解每种盒测试方法对侦察阶段的不同需求。
  • 熟悉在系统的主动利用过程中使用的不同工具。
【Spring Security系列】10分钟实现 SpringSecurity + CAS 完美单点登录方案
c18213590220的博客
11-12 3783
在本文中,我们将通过简单易懂的步骤,带领大家完成一个基于 Spring Security + CAS 的单点登录方案实现。无论您是初次接触 SSO,还是有一定经验的开发者,都能通过本篇教程快速掌握 CAS 的基本原理、部署方式,以及如何通过 Spring Security 实现应用的统一认证。同时,我们还会进行功能测试,确保单点登录效果满足预期。
JDK安全剖析之安全处理入门
nanxiaotao的博客
04-06 1337
Java 安全包括大量 API、工具以及常用安全算法、机制和协议的实现。Java 安全 API 涵盖了广泛的领域,包括加密、公钥基础设施、安全通信、身份验证和访问控制。Java 安全技术为开发人员提供了编写应用程序的全面安全框架,还为用户或管理员提供了一组工具来安全地管理应用程序。
CompTIA Security+ (SY0-701)学习笔记Fundamental Security Concepts(基本安全概念)
2503_90719298的博客
02-19 1515
在快节奏的信息技术世界中,变化是永恒的,无论是更新软件、实施新硬件还是修改网络配置,每一次更改都可能影响组织IT基础设施的安全性和稳定性,这就是变更管理发挥作用的地方,它可以保护组织免受变更的不可预见的后果,或者更一般地说,变更管理是一种系统化的方法,用于规划、实施和监控对系统和流程的修改,以最大限度地降低风险并最大化收益,变更管理涉及一系列定义明确的业务流程,这些业务流程会影响组织内的安全操作。
Security+ 学习笔记51 风险分析
tushanpeipei的博客
10-06 2913
一、风险评估(Risk assessment) 在网络安全领域,风险是必然的。网络安全专业人员有很多工作要做。解决这些风险中的每一个都需要时间和金钱。因此,网络安全专业人员需要对这些风险进行优先排序,以便将这些宝贵的资源用在能产生最大安全效果的地方。这就是风险评估发挥作用的地方。风险评估是根据风险发生的可能性和对组织的预期影响,对组织面临的风险进行识别和分流的过程。 首先,我们需要一种大家都承认的说法。在日常生活中,人们经常交替使用Threat, Risk, and Vulnerability这些术语,但这
信息安全入门Security+认证新版601听说要出中文考试了
edu_aqniu的博客
02-22 1098
CompTIA Security+ SY0-501中文版在今年1月底下线了,有消息说601中文版将于6月上线
Security+ 学习笔记52 风险管理
tushanpeipei的博客
10-06 2873
一、风险处理方案 一旦我们完成了对组织的风险评估,就会留下一个需要我们注意的风险的优先次序列表。风险管理(Risk management),或风险处理(Risk treatment),是系统地分析对每个风险的潜在反应的过程,并实施战略来适当地控制这些风险。无论我们管理的是什么风险,都有四个基本选择来处理这种情况。我们可以进行风险规避(Risk avoidance),风险转移(Risk transference),风险缓解(Risk mitigation),或风险接受(Risk acceptance)。 当
Security+ 学习笔记36 嵌入式系统安全
tushanpeipei的博客
09-30 2630
一、工业控制系统(Industrial control system) 工业控制系统(Industrial control systems)或ICS系统是控制工业生产和运作的设备和系统。它们包括监控电力、天然气、水和其他能源基础设施和生产运营的系统,以及控制制造工厂、工业设施、物流运营和其他关键基础设施要素的系统。我们会发现ICS系统有各种各样的现代应用,包括作为建筑和设施自动化系统、工作流程自动化系统和流程自动化系统使用。黑客们喜欢以工业控制系统为目标,原因有很多: 首先,对ICS系统的成功攻击会产生巨
java.security.policy_java.security.policy 配置说明
weixin_35103924的博客
02-13 1332
众所周知,Java语言具有完善的安全框架,从编程语言,编译器、解释程序到Java虚拟机,都能确保Java系统不被无效的代码或敌对的编译器暗中破坏,基本上,它们保证了Java代码按预定的规则运作。但是,当我们需要逾越这些限制时,例如,读写文件,监听和读写Socket,退出Java系统等,就必须使用数字签名或安全策略文件(*.Policy)。在企业内部网中,本文提出了使用安全策略文件来设置java程序...
SpringBoot与Spring Security和Oauth2的安全应用开发
最新发布
weixin_30674431的博客
05-06 1219
Spring Boot是在Spring框架的基础上发展而来的,旨在简化新Spring应用的初始搭建以及开发过程。它的核心优势在于约定优于配置的原则,这意味着开发者可以无需过多配置即能快速启动和运行Spring应用程序。Spring Boot还内置了大量预设配置的依赖,方便开发者选择使用,从而减少了项目中的样板代码。认证(Authentication)是验证用户身份的过程,而授权(Authorization)则是在认证成功之后,决定用户可以访问哪些资源。
Security+ 学习笔记55 隐私和合规性
热门推荐
tushanpeipei的博客
10-06 1万+
一、法律和合规风险(Legal and compliance risks) 每当我们与敏感信息打交道时,我们会遇到一些法律和法规,这些法律和法规对我们存储、处理和传输这些信息的方式进行管理。 在处理敏感数据时,需要弄清楚的第一件事是哪些具体的法律和法规适用于我们。虽然这乍听起来很简单,但哪些司法管辖区有权监管数据的问题实际上相当复杂,合规风险会影响一个组织的风险态势。例如,某人在美国有一家公司,他们所有的业务都位于加利福尼亚州。在这种情况下,很明显,加利福尼亚州的法律适用于他们。但如果该公司有一个位于纽约的
Security+ 3. 确定安全威胁
f_carey的博客
07-29 1598
3. 确定安全威胁3.1 威胁执行者(Threat actor)3.2 社交工程3.2.1 网络钓鱼(Phishing)3.2.2 物理利用3.2.3 水坑式攻击(Watering hole attack)3.3 确定恶意软件3.4 基于软件的威胁3.4.1 密码攻击类型3.4.2 应用程序攻击(Application attack)3.4.3 权限扩大(Privilege escalation)3.5 基于网络的攻击3.5.1 欺骗攻击(Spooging)3.5.2 端口扫描攻击3.5.3 劫持攻击(Hi
Security+ 5. 实现主机/软件安全
f_carey的博客
08-05 1226
5. 实现主机/软件安全性5.1 加固(Hardening)5.2 可信计算基础(trusted computing base/TCB)5.2.1 硬件和固件安全5.2.2 软件安全5.2.2.1 软件更新5.2.2.2 应用程序黑名单与白名单5.2.2.3 防恶意软件(Anti-malware software)5.2.2.4 硬件外围设备的安全5.2.3 嵌入式系统(Embedded system)5.2.4 保护主机准则5.3 云和虚拟化安全5.3.1 虚拟化的安全性5.3.2 云计算Cloud co
Security+ 9. 实现业务安全
f_carey的博客
08-28 1120
9. 实现业务安全性9.1 评估安全框架和指导方针9.1.1 安全框架(security framework)9.1.2 安全配置指导9.2 在操作中结合文档记录9.2.1 常见安全策略的类型9.2.2 人事管理personnel management9.2.3 商业协议9.2.4 在操作安全中结合文档记录的准则9.3 实施安全策略9.3.1 部署环境9.3.2 实施安全策略准则9.4 管理数据安全的过程9.4.1 数据安全的漏洞9.4.2 数据安全9.4.3 数据安全管理准则9.5 实施物理控制9.5.1
Security+ 11. 保障业务连续性
f_carey的博客
08-28 909
11. 保障业务连续性11.1 业务连续性和灾难恢复11.1.1 灾难恢复过程11.1.1 恢复顺序(order of restoration)11.1.2 恢复站点11.1.3 备份类型11.2 业务连续性计划(business continuity plan/BCP)11.2.1 测试演习11.2.2 行动后报告11.2.3 制定BCP准则 11.1 业务连续性和灾难恢复 业务连续性(business continuity):也称为操作连续性(Continuity of operations/COOP
Security+ 6. 实现网络的安全
f_carey的博客
08-08 837
5. 实现主机/软件安全性5.1 加固(Hardening)5.2 可信计算基础(trusted computing base/TCB)5.2.1 硬件和固件安全5.2.2 软件安全5.2.2.1 软件更新5.2.2.2 应用程序黑名单与白名单5.2.2.3 防恶意软件(Anti-malware software)5.2.2.4 硬件外围设备的安全5.2.3 嵌入式系统(Embedded system)5.2.4 保护主机准则5.3 云和虚拟化安全5.3.1 虚拟化的安全性5.3.2 云计算Cloud co
Security+ 1. 基础概念
f_carey的博客
07-29 802
1. 基础概念1.1 信息安全的目标1.1.1 漏洞(vunerability)1.1.2 风险(risk)1.1.3威胁(threat)1.1.4 攻击(attack)1.1.5 控制(control)1.1.6 安全管理流程1.2 信息安全原则:CIA 三位一体1.2.1 认证(Authentication)1.2.2 特权管理(Privilege management)1.2.3 密码学 1.1 信息安全的目标 预防(Prevention) 检测(Detection) 恢复(Recovery) 1
Security+ 8. 实施密码技术
f_carey的博客
08-10 771
8. 实施密码技术8.1 密码学概念8.1.1 密码学元素8.1.2 散列概念8.1.3 数据状态8.1.4 密码套件(Cipher suite)8.2 加密算法8.2.1 密码的类型8.2.2 散列算法的类型8.2.3 对称加密算法的类型8.2.3 非对称加密算法的类型8.2.4 密钥延展算法的类型8.3 公钥基础架构(Public key infrastructure/PKI)8.3.1 PKI组件8.3.2 证书颁发机构[Certificate authority/CA]8.3.3 证书的类型8.3
Security+ 2. 风险分析
f_carey的博客
07-29 688
2. 风险分析2.1 风险管理(Risk management)2.1.1 风险分析阶段2.2.2 风险分析方式2.2.3 风险计算2.2.4 风险响应措施2.3 风险缓解的控制类型2.3.1 变更管理2.3.2 分析风险的准则2.4 分析风险的业务影响2.4.1 业务影响分析(business impact analysis/BIA)2.4.2 风险对组织造成的影响2.4.3 灾难时间 风险指威胁利用漏洞引起某种损害的可能性 2.1 风险管理(Risk management) 评估 <--->
Security+ 10. 处理安全事件
f_carey的博客
08-28 603
10. 处理安全事件10.1 安全问题10.2 响应安全事件10.2.1 事件准备10.2.2 事件的检测和分析10.2.3 事件遏制10.2.4 事件消除10.2.5 事件恢复10.2.6 经验教训10.2.7 事件响应计划(Incident Response Plan)10.3 调查安全事件10.3.1 计算机取证10.3.2 取证数据保留10.3.3 调查安全事件准则 10.1 安全问题 数据外泄(data exfiltraiton):攻击者获取了存储在私有网络内部的数据并将其移至外部网络的过程。
谷安天下Security+内部培训资料全解析
- 安全策略与合规性:学习创建和执行安全策略,以及理解合规要求如GDPR,HIPAA等。 6. 职业发展与信息安全岗位: 在信息技术行业,信息安全岗位对于组织的运行至关重要。掌握Security+认证的知识能够为从事安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值