不急不躁

漏洞扫描的种类按漏洞类型分类ACL 扫描ACL 扫描用来按一定的周期监视公司服务器及网络的 ACL 的，其作用如下：安全部分可以根据扫描报告整改暴露在公网中的高危服务某些应用发现新漏洞时，可以快速从数据库中查询对应服务与版本，报到业务部门修复ACL 扫描周期至少一天一次：服务器数量较少，直接用 nmap 扫描，扫描结果直接存放到数据库中服务器数量很多，用 ...

主机入侵检测开源 HIDSOSSEC、Mozilla InvestiGator 和 OSqueryOSSEC 是典型的 B/S 架构，通常一个 Server 集群最多配置 2000 台 agent 接入。在此基础上，OSSEC 也支持在开发插件、采集数据、解析/检测规则三个方面的功能扩展Mozilla InvestiGator 具备了现代 HIDS 架构的雏形，但是整体上 MI...

凯撒（Caesar)密码是一种基于字符替换的对称式加密方法，它是通过对26个英文字母循环移位和替换来进行编码的。设待加密的消息为”Alibaba Group”，加密后的密文是”RCzsrsr XIFLG”，则采用的密匙k是（）A:10 B:11 C:13 D:15 E:17E常见的加密算法不包括（）A:DES B:AES C:DHA D:RSAC上网的时候，...

文件隐藏常用的文件隐藏方法有基于用户模式的 Rootkit 也有基于内核模式的 Rootkit基于用户模式的 Rootkit在 Windows 中，应用层的大多数功能都是通过调用 Native API 完成的。以 Windows7 为例，Native API 通过 sysenter 指令进入内核，进而调用 SSDT（System Service Dispatch Table，系...

Windows 系统启动过程基于 UEFI 的启动过程UEFI 固件接口可以实现 BIOS 固件接口类似的功能，逐步成为主流的固件接口之一。它主要提供一组在操作系统启动之前在所有平台上一致的服务，是在 EFI 1.0 基础上发展起来的新型可扩展固件接口，得到了大多数行业主流企业的支持UEFI 的几乎所有组件都用 C 语言开发完成，不再使用中断、硬件端口直接操作的方法，而是采用 ...

2017_baidu_spring_1请回答如下端口默认对应的服务，以及在渗透测试过程中我们可以从哪些角度考虑其安全问题。端口：21、22、873、1433、3306、6379、11211 端口服务说明 21FTP匿名访问\弱口令 22SSH弱口令 873rsync未授权访问\弱口令 1433mssql弱口令 ...

免杀原理基于特征码的检测基于病毒特征码的检测方法，是目前反病毒软件最常用的检测技术。经过长时间的收集与积累，反病毒软件建立了庞大的已知病毒的特征数据库。在对可疑软件进行检测时，会从特征数据库中匹配已有特征。这种方法相对比较准确、快速，而且可以很容易地通过快速分析，结合新的模板，添加新的病毒文件特征。 特征码可以是一个简单的字符串或者代码字节序列，也可以是包含了已知恶意文件各项特点的...

常见的恶意软分析技术主要包含静态分析和动态分析两大类反调试木马程序使用反调试技术，可以阻止调试器对木马程序的加载；阻止调试器对木马程序的执行控制；阻止对木马程序设置断点；阻止调试器读取被调试进程的内存信息，进而延缓整个分析过程Windows 系统实现了专门的调试器接口，而大多数调试器都是基于这些调试接口实现的调试器工作机制反病毒分析过程中，由于不可能获取到被分析软件的源码，...

对比 32位系统 64位系统 物理内存最大容量 4GB 2TB 单进程地址空间最大容量 3GB 8TBWindows 64 位系统当前64位平台上只实现了48位的线性地址空间，0-47位是地址，48-63保持与第47位相同。低地址范围：0x0000000000000000-0x00007FFFFFFFFFFF，高地址范围：0xFFF...

基于 TCP 的木马控制通信TCP 协议是字节流式的传输协议 ，木马通信还需要自定义应用层的协议被控机器的唯一标识一般是对被控机器的硬盘序列号、MAC 地址等固定信息进行 Hash 计算得到粘包与分包处理 粘包是指在接收方接收数据时，可能一次接收到多个数据包的数据组成的数据段，也可能收到一个或者几个完整的包与一个后续包的部分数据组成的数据段TCP粘包产生有两方面原因：...

1、在 php + mysql + apache 架构的web服务中输入GET参数 index.php?a=1&a=2&a=3 服务器端脚本 index.php 中$GET[a] 的值是？ A 1 B 2 C 3 D 1,2,3参考答案: C2、以下哪些不是CSRF漏洞的防御方案？ A 检测HTTPreferer B 使用随机token C 使用验证码 D ...

模块化的木马系统架构被控端是整个木马的核心，它包含 Dropper 与常驻模块两部分DropperDropper 是木马在植入过程中执行的组件，只在目标机器上执行一次，然后自行删除。Dropper 首先判断系统环境，如果检测出在沙盒或者虚拟机中运行，则执行错误的功能，或者非木马本身的功能。如果有调试器存在，则放弃执行。如果没有发现异常，则继续获取系统中安装的安全软件类型等信息，...

通信隐蔽化为了更好地逃避目标主机上的安全软件、防火墙的拦截，越来越多的木马采用更底层的通信协议，甚至实现不同于 TCP/IP 协议的私有协议，以达到更好的通信过程隐蔽化基于 Tor 的通信Tor 提供了一个顶级域 .onion，用户只能通过 Tor 访问网络中的服务和主机，有效地保护了提供服务的主机位置和所有者的身份标识卡巴斯基发现了多种使用 Tor 进行通信的木马，如 64 ...

外部评价指标攻防能力——如果安全团队没几个懂攻防的骨干，那像样的安全团队这件事就无从谈起、对攻防的理解是做安全的基础，业界普遍的状况是整体实力强的安全团队攻防能力必然不弱，而攻防能力弱的团队其安全建设必然强不到哪里去。一般能养得起一堆攻防人才的安全团队预算都比较充足，说明公司相对重视。攻防技术在安全建设中属于”单点”技术，决定的是单点的驾驭和深入程度视野和方法论——单点技术代表局部的执...

据我和朋友们观察，10 多年依赖在同一个公司同一个级别上的工程师，大多数安全比运维和开发的工资高，但 CTO 大多来自运维和开发，鲜有从安全晋升来的本质上，安全行业是由理解网络攻防的人为核心构成的。只有以攻防为主线，和以安全咨询体系为主线的人才是和安全行业绑定的安全管理的趋势：企业安全管理最终都会向互联网公司学习云是一种趋势倾向于以技术和产品（工具自动化）解决问题如果你是体...

技术很重要，但攻防只解决了一半问题，安全的工程化以及体系化的安全架构设计能力是业内普遍的软肋，多数人不擅此道大多数乙方安全公司的顾问或者工程师其实都没有企业安全管理的真正经验，虽不能把这些直接等价于纸上谈兵，不过确实是乙方的软肋产品线安全里，一切都会更进一步，不只是像互联网企业那样关注入侵检测、漏洞扫描等，而是从设计和威胁建模的角度去看整体和细节的安全不想当将军的士兵不是好士兵，虽然有...

以找到未正确过滤数据类型的漏洞为例，定位问题可以简单分为以下几个步骤：标注出高危行为入口函数标注数据获取来源标注数据过滤函数回溯调用过程自动化审计产品1976 年科罗拉多大学的 Lloyd D.Fosdick 和 Leon J.Osterweil 在 ACM Computing Surveys 上发表了著名的 Data Flow Analysis in Software ...

互联网公司的安全体系基本上以运维安全、应用安全、业务安全三管齐下签名管理对于应用开发方，应该保护好本公司用于应用签名的私钥，推荐的解决方案是建立签名服务器，开发者上传需要签名的应用，服务器完成签名提供下载。这样可以对申请应用签名的人员进行权限控制，并包含日志记录，保存上传应用副本等功能，这样做的好处是降低私钥泄漏的风险同一家公司内的应用推荐使用相同的签名密钥，避免不同的应用使用不同的签...

数据加密TDE 透明数据加密TDE 可对数据和日志文件执行实时 I/O 加密和解密，这种加密使用数据库加密密钥（DEK），该密钥存储在数据库引导记录中以供恢复时使用。DEK 是使用存储在服务器的 master 数据库中的证书保护的对称密钥，或者是由 EKM（扩展密钥管理模块）保护的非对称密钥。TDE 保护对象为静态数据（相对于内存中的热数据而言），即数据和日志文件，开发人员可以使用 A...

网络入侵检测传统 NIDS绿盟 IDS 体系架构 绿盟 IPS 体系架构 IDS/IPS 部署示意图 大型全流量 NIDS由于 NIDS 采用的是基于攻击特征的签名库，只要加载的攻击特征一多，系统负载会马上飙升，远到不了系统的标称负载就会出现丢包和误报的上升。不能跟基础架构一起扩展的安全解决方案最终都会掣肘 针对 IPS 一个打折扣的版本就是利用 DDo...

安全域划分终端管理补丁管理微软自身解决方案中的 SCCM（WSUS/SMS 替代品，支持 Linux 和 OSX）利用第三方终端管理软件中附带的补丁推送功能组策略（GPO）例如允许客户端运行软件的黑白名单，系统配置选项，USB 权限管理等终端 HIPS深究其技术意义不大，甲方唯一要做的就是选型，然后买网络准入 NAC802.1x...

帐号安全注册账号安全要从源头抓起，对抗垃圾注册的手段一般包括：图片验证码邮件验证码短信验证码语音验证码电话语音验证码逆向的协议如果经常变化或者复杂程度较高就会成为黑产的门槛，甲方安全团队应持有各种社工库，并随时更新，在用户注册时比对社工库内容，如个人注册信息相同，做出风险提示或者强制修改密码登录登录环节的问题包括：撞库、暴力破解、盗号登录、非常用设备登录...

设计方案数据流视角服务器视角IDC 视角逻辑攻防视角场景裁剪应对规模自研 HIDS、RASP 都是奢侈品，可以用 OSSEC、OSquery 等产品代替 网络分光可以用扫描器+ Web 日志分析代替 SQL 审计可以在 CGI 层解决业务类型如果业务流量中中大部分都是 HTTP 类型的，那么应该重点投入 WAF、R...

宏观过程第一阶段是基础安全策略的实施，ROI 最高，大多属于整改项，不需要太多额外的投入就能规避 80% 的安全问题第二阶段是系统性整体建设，如果是大型互联网公司，应该直接进入自研之路第三阶段是业务风险分析与业务风控体系建设第四阶段是运营环节，所谓的 PDCA 工作第五阶段安全建设进入自由发挥区间清理灰色地带资产管理的灰色地带（例如，资产管理系统数据不准确，运...

纵深防御互联网安全有几个比较核心的需求：快速检测、有限影响、快速溯源、快速恢复攻击者视角Plan-A：通常路径，从目标系统正面找漏洞，远程直接 rootshell 在现代基本没有了，大多数是以应用为入口，先获取上层应用的权限，然后通过上传 webshell 等方式间接获得系统 shell，最后提权获得 rootshell，后面继续扩大战果的事情就不提了，安全建设的思路自然是要反...

互联网服务安全域抽象示例虚线部分代表安全域的边界，把不同的业务（垂直纵向）以及分层的服务（水平横向）切开，只在南北向的 API 调用上保留最小权限的访问控制，在东西向如无系统调用关系则彼此隔离生成网络和办公网络生产网络的 SSH 22 端口在前端防火墙或交换机上默认阻止访问远程访问（运维连接）通过 VPN 或专线连接到机房生产网络通过生产网络的内网而非外网登录各服务器或自...

初期三件事事前的安全基线事中的监控能力事后的应急响应其实做攻防和研发安全产品完全是两码事，存在巨大的鸿沟，如果拿做攻防的团队直接去做安全工具开发，恐怕挫折会比较多，即便有些研究员擅长做底层的东西，但对于高并发生产环境的服务器工具而言，还是有很大的门槛。另一方面做攻防和做研发的思路也截然不同，此时其实是在交付产品而不是在树立安全机制，所以往往要分拆团队，另外招人如何推动安全策...

级别高的人估计还是挖不动的，能挖动的主要就是骨干那一层的人，通常你需要容忍他们业务上有深度但不一定面面俱到，很可能情商和管理能力也差强人意，不过能解决问题就行，面面俱到的人才毕竟还是太贵了Leader 的跨组织沟通能力应该比较高，不是安全策略提的正确就一定会被人接受单纯攻防型的人在前期培养比较快，但当安全团队随着公司规模和业务快速成长时，思维过于单点的人可能会出现“瓶颈”，安全建设实际上是...

1 下面对于 Cookie 的描述中错误的是？ A Cookie通过HTTP Headers从浏览器端发送到服务器端并存储在服务器端 B Cookie的大小限制在4kb左右，对于复杂的存储需求来说是不够用的 C 如果在一台计算机中安装多个浏览器，每个浏览器都会以独立的空间存放cookie D 由于在HTTP请求中的Cookie是明文传递的，所以安全性成问题 参考答案：A Cook...

1. 程序构建一般源代码提供的程序安装需要通过配置、编译、安装三个步骤； 1. 配置做的工作主要是检查当前环境是否满足要安装软件的依赖关系，以及设置程序安装所需要的初始化信息，比如安装路径，需要安装哪些组件；配置完成，会生成makefile文件供第二步make使用； 2. 编译是对源文件进行编译链接生成可执行程序； 3. 安装做的工作就简单多了，就是将生成的可执行文件拷贝到配置时设置的初始路径

一、对上篇的补充 urlopen返回的对象提供了如下方法： read() , readline() ,readlines() , fileno() , close()这些的使用方式与文件对象完全一样 info()：返回一个httplib.HTTPMessage对象，表示远程服务器返回的头信息 getcode()：返回Http状态码。如果是http请求，200请求成功完成;404网址未找到

本次学习的环境是基于Python 3.3.5，实验的工具是Pycharm 5.0.1 基础的知识我就不再介绍，比如HTTP的基础知识、爬虫的相关背景 直接开始爬虫的学习吧！一、用Python抓取指定页面常见的urllib2库在Python3.X的版本中改名啦！叫urllib.request了！ urlopen()可以接收三个参数即urlopen(url, data, timeout) url

技巧1.1 在空白行上按Ctrl+C不会丢失剪贴板的内容 工具→选项→文本编辑器→所有语言→常规→没有选定内容时对空行应用剪切或复制命令 技巧1.2 循环使用剪贴板 Ctrl+Shift+V 技巧1.3 插入空行 使用Ctrl+Enter在上方插入一行，使用Ctrl+Shift+Enter在下方插入一行 技巧1.4 选择当前

正则表达式必知必会1、匹配任意字符       .可以匹配除换行符以外的任意一个字符，如想要匹配.必须使用\进行转义，即\.2、匹配指定字符       将需要匹配的字符放在[ ]中，这样一个字符集合中的任意字符都可以被匹配3、匹配字符区间       把需要匹配的字符区间放在[ ]中，比如0-9，a-z，即可匹配在字符区间内的每个字符       字符区间的首、尾字母

技巧1.1         在空白行上按Ctrl+C不会丢失剪贴板的内容工具→选项→文本编辑器→所有语言→常规→没有选定内容时对空行应用剪切或复制命令技巧1.2         循环使用剪贴板Ctrl+Shift+V技巧1.3         插入空行使用Ctrl+Enter在上方插入一行，使用Ctrl+Shift+Enter在下方插入一行技巧1.4         选择当

第一章1.1  VBScript代码的基本格式方法一：方法二：          VBScript代码         方法三：也可以把VBScript代码放在客户端进行执行                       VBScript代码1.2  数据类型VBScript中只有一种数据类型，称为变体类型，根据不同的使用方式可以包含不同的数据类别信息

第三章3.1使用using声明就无须专门的前缀，usingnamespace::name3.2头文件不应该使用using声明，因为头文件的内容会拷贝到所有引用它的文件中去，如果头文件里有某个using声明，那么每个使用了该头文件的文件就都会有这个声明3.3使用等号初始化一个变量，实际上执行的是拷贝初始化，编译器把右侧的初始值拷贝到新创建的对象中去，如果不使用等号，则执行的是直接初始

第二章2.1一个char的空间应确保可以存放机器基本字符集中任意字符对应的数字值，也就是说一个char的大小和一个机器字节一样2.2可寻址的最小内存块称为字节，存储的基本单元称为字2.3一般来说，float和double分别有7和16个有效位2.4在算术表达式中不要使用char或bool，因为char在一些机器上是有符号的，在另外一些机器上是无符号的2.5当我们赋给无符号类

一、文件流的字符1、输入流读取字符输入文件流.get（字符型变量）通过输入流获取一个字符，空格和换行符都会被读取出来2、输出流写入字符输出文件流.put（字符值或者字符型变量）通过输出流输出一个字符3.EOF输入文件流.eof（）确定是否读取到文件末尾，如果到文件尾返回true，否则返回false二、字符函数处理字符函数所在库为cctypetoupp

第一章1.1在Unix和Windows系统中，执行完一个程序后，都可以通过echo命令获得其返回值1.2我们通常用cerr来输出警告和错误消息，用clog来输出程序运行时的一般性信息，默认情况下，写到clog的数据是被缓冲的1.3我们将endl称为操纵符，写入endl的效果是结束当前行，并将与设备关联的缓冲区中的内容刷到设备中1.4我们可以使用一个istream作为条件，其效果