No.13 笔记 | 网络安全防护指南:从法律法规到技术防御
一、法律法规
《中华人民共和国网络安全法》要点
-
遵守法律:所有个人和组织在使用网络时,必须遵守宪法和法律,不得利用网络从事危害国家安全等活动。
-
个人信息保护:禁止非法获取、出售或提供个人信息。若违反但未构成犯罪,将面临罚款和没收违法所得。
二、认证崩溃与防范
定义与问题
- 认证崩溃:因错误使用身份认证或会话管理功能,导致攻击者能够破解密码。常见于开发人员忽视安全交互,如使用弱口令或缺少多因素认证。
预防措施
- 多因素认证:增加安全层级,防止暴力破解。
- 弱口令检测:定期检查并消除弱口令。
- 复杂会话ID:生成高复杂度会话ID,并设置超时失效。
三、弱口令
定义与分类
-
弱口令:容易被猜测的密码,如“123”或“abc”。
-
分类:
- 公共弱口令:常见高频密码。
- 条件弱口令:与个人信息相关的密码。
产生原因与危害
- 原因:个人习惯和安全意识不足,使用易记或默认密码。
- 危害:攻击者可进入系统后台,修改资料、盗取资金等。
四、密码破解时间
- 6位密码破解时间:
- 数字:0秒
- 字母(大/小写):30秒
- 混合字母:33分钟
- 数字+字母:1.5小时
- 数字+字母+标点:22小时
五、增加密码复杂度
- 建议:密码不少于8位,包含大小写字母、数字和特殊符号。避免使用连续字符或与个人信息相关的密码,定期修改。
六、常见漏洞与防范
- 信息收集:防止信息泄露,保护网站敏感信息。
- 弱口令攻击:采用强密码策略,防止穷举攻击。
- 框架漏洞:及时更新修复技术栈中的安全漏洞。
- 逻辑漏洞:确保授权访问,防止未授权操作。
- CSRF攻击:使用防伪令牌,防止跨站请求伪造。
- 文件上传漏洞:限制文件类型,防止上传恶意脚本。
七、暴力破解与工具
暴力破解概述
-
定义:暴力破解,又称字典攻击,是通过自动化脚本反复尝试用户名和密码组合,以窃取信息或获取权限的攻击方式。
-
产生原因:
- Web应用在开发时存在身份认证逻辑漏洞。
- 用户身份识别策略不严格或设置不当。
- 对用户身份和密码未实施强制性限制。
- 对异常访问地址未进行处理。
- 身份认证方式存在缺陷或权限分配不合理。
工具介绍:Hydra与Burp Suite
-
Hydra:开源暴力破解工具,支持多种协议。适用于SSH、RDP、MySQL等,但不适用于HTTP(S)破解。
-
Burp Suite:用于攻击Web应用程序的集成平台,提供多种工具和接口。Burp Intruder模块可自动对Web应用程序进行自定义攻击,具有高度的可配置性。
Burp爆破模块组成
- Target:配置目标服务器的详细信息,包括IP地址、端口号及是否使用HTTPS等。
- Positions:设置Payload插入点和攻击类型(如Sniper、Battering Ram、Pitchfork、Cluster Bomb)。
- Payloads:配置Payload,设置字典,定制数量、类型及选项。
- Options:包含发包和收包细节,如发包速度、记录保存,以及请求头发送和接收数据处理等设置。
靶场练习
- 后端验证:如Pikachu后端服务器在验证码检测上存在漏洞,未重置验证码,导致可被爆破。
- 前端JS检测:验证码检查在JS中进行,可利用前端验证而后端不检查的情况进行爆破。
- Token防爆破检测:服务端生成Token,前端请求携带以证明合法身份。在练习中,假设已知用户名,并将密码和Token设置为爆破点进行标记,直至爆破成功。
暴力破解防御方式
- 用户层面:避免使用弱口令。
- 服务方层面:
- 对多次登录失败的账户锁定IP。
- 使用短信或语音验证码等验证方式,并设置阈值。
- 使用复杂验证码以增加攻击成本。
相关文章:
No.13 笔记 | 网络安全防护指南:从法律法规到技术防御
一、法律法规 《中华人民共和国网络安全法》要点 遵守法律:所有个人和组织在使用网络时,必须遵守宪法和法律,不得利用网络从事危害国家安全等活动。 个人信息保护:禁止非法获取、出售或提供个人信息。若违反但未构成犯罪&#x…...
大数据毕业设计选题推荐-白酒销售数据分析-Python数据可视化-Hive-Hadoop-Spark
✨作者主页:IT研究室✨ 个人简介:曾从事计算机专业培训教学,擅长Java、Python、微信小程序、Golang、安卓Android等项目实战。接项目定制开发、代码讲解、答辩教学、文档编写、降重等。 ☑文末获取源码☑ 精彩专栏推荐⬇⬇⬇ Java项目 Python…...
shell脚本写代码
用简单的test语句来判断是否闰年 #! /bin/bash read -p "sd " yearif [ $((year%4)) -eq 0 -a $((year%100)) -ne 0 -o $((year%400)) -eq 0 ]thenecho "是润年"elseecho "不是闰年" fi判断一个数是否为偶数 #! /bin/bash read -p "…...
SLM2104S高压半桥驱动SLM2104SCA-13GTR兼容IR2104 高压、高速的功率MOSFET和IGBT驱动器
SLM2104SCA-13GTR产品概述: SLM2104SCA-13GTR是一款高压、高速的功率MOSFET和IGBT驱动器,它提供相互依存的高边、低边输出驱动信号。采用专有的高压集成电路和锁存免疫CMOS技术,提供可靠的单芯片驱动方案。逻辑输入电平与标准CMOS或LSTTL输出…...
三层网络与三层组网
"三层组网"和"三层网络"虽然名字相似,但它们的含义却有所不同 三层网络 三层网络指的是网络层的概念,它工作在OSI模型的第三层——网络层。网络层的主要功能是通过IP地址进行路由和转发数据包。三层网络设备,如路由器或…...
从0开始下载安装并使用unity
首先我们要在浏览器上找到unity的官网 这一个就是了,我们点进去后是这个界面: 然后我们点击上面这张图的左下角的“下载Unity Hub”,推荐后续安装都装在D盘: 这里他会让我们注册一个账号,如果之前有的话登录就行了&am…...
QT:计算点到线段的垂线段的距离
描述 在Qt中,要计算一个点到一条线段的垂线段的长度(即点到线段上最近点的距离,且这个点是垂直于线段的),你不能直接使用QVector2D::distanceToLine,因为这个方法计算的是点到直线的垂直距离,而…...
经典5级流水线概述
抽象化的流水线结构: 流水线的基本概念 多个任务重叠(并发/并行)执行,但使用不同的资源流水线技术提高整个系统的吞吐率,不能缩短单个任务的执行时间其潜在的加速比=流水线的级数 流水线正常工作的基本条件…...
LSTM模型实现电力数据预测
关于深度实战社区 我们是一个深度学习领域的独立工作室。团队成员有:中科大硕士、纽约大学硕士、浙江大学硕士、华东理工博士等,曾在腾讯、百度、德勤等担任算法工程师/产品经理。全网20多万粉丝,拥有2篇国家级人工智能发明专利。 社区特色&a…...
jmeter学习(7)beanshell
beanshell preprocessor 发送请求前执行 beanshell postprocessor 发送请求前执行 获取请求相关信息 String body sampler.getArguments().getArgument(0).getValue(); String url sampler.getPath(); 获取响应报文 String responseprev.getResponseDataAsString(); 获…...
TCP_SOCKET编程实现
文章目录 与UDP_SOCKET的区别第一代Tcp_ServerTcp_Client第二代Tcp_Server第三代Tcp_server多线程版本Tcp_Server线程池版的Tcp_Server使用inet_ntop来解决线程安全问题 业务逻辑编写总结补充说明&&业务代码完成ping的真实作用Translate编写Transform业务代码 整体总结…...
螺蛳壳里做道场:老破机搭建的私人数据中心---Centos下Docker学习07(基于docker容器的防火墙及NAT企业实战)
7.1 网络准备 7.2 网络规划 1)虚拟网络编辑器 点击右下方“更改设置”,点击“添加网络”假如vmnet3和vmnet4,然后分别选择vmnet3和vmnet4,设置为“仅主机模式”,按③处处理,去掉“使用DHCP”,…...
②EtherNet/IP转ModbusTCP, EtherCAT/Ethernet/IP/Profinet/ModbusTCP协议互转工业串口网关
EtherCAT/Ethernet/IP/Profinet/ModbusTCP协议互转工业串口网关https://item.taobao.com/item.htm?ftt&id822721028899 协议转换通信网关 EtherNet/IP 转 Modbus TCP (接上一章) GW系列型号 配置使用 与 EtherNet/IP 主站进行组态说明 这里介…...
)
Java 集合(Collection)
1.什么是集合? 对象的容器,定义了对多个对象进行操作的常用方法,属于接口类型。 2.集合和数组的区别 (1)数组长度固定,集合长度不固定 (2)数组可以存储基本类型和引用类型&#…...
Windows系统编程(三)线程并发
进程与线程 进程:直观的说就是任务管理器中各种正在运行的程序。对于操作系统来说,进程仅仅是一个数据结构,并不会真实的执行代码 线程:通常被称作但并不真的是轻量级进程或实际工作中的进程,它会真实的执行代码。每…...
【Qt】控件概述(2)—— 按钮类控件
控件概述(2) 1. PushButton2. RadioButton——单选按钮2.1 使用2.2 区分信号 clicked,clicked(bool),pressed,released,toggled(bool)2.3 QButtonGroup分组 3. CheckBox——复选按钮 1. PushButton QPushB…...
Java访问器方法和更改器方法
一.访问器方法 1.访问器方法的定义和用途 访问器方法,通常也称为getter方法,是一种在面向对象编程中用于从类的外部访问私有字段值的特殊方法。这些方法的设计目的是为了提供对类内部状态的受限访问,同时保持类的封装性。通过使用访问器方法&…...
CAN协议帧结构
一、数据帧的整体结构 ┌───────┬───────┬───────┬───────┬───────┬───────┬───────┬───────┬───────┬───────┬───────┐ │ SOF │ ID[11]│ RTR │ IDE │ DLC │ Data …...
)
valgrind 单例模式的自动释放(多线程)
单例模式,其中对象是由_pInstance指针来保存的,而在使用单例设计模式的过程中,也难免会遇到内存泄漏的问题。那么是否有一个方法,可以让对象自动释放,而不需要程序员自己手动去释放呢? ——嵌套类 5.1、内…...
OpenFegin
文章目录 一、OpenFegin是什么?二、基本使用三、超时重试机制4.自定义超时重传机制五、底层实现 一、OpenFegin是什么? OpenFeign的全称为Spring Cloud OpenFeign(下文简称OpenFeign),是Spring Cloud团队开发的一款基于 Feign的框架,声明式W…...
结构体的进阶应用)
基于算法竞赛的c++编程(28)结构体的进阶应用
结构体的嵌套与复杂数据组织 在C中,结构体可以嵌套使用,形成更复杂的数据结构。例如,可以通过嵌套结构体描述多层级数据关系: struct Address {string city;string street;int zipCode; };struct Employee {string name;int id;…...
springboot 百货中心供应链管理系统小程序
一、前言 随着我国经济迅速发展,人们对手机的需求越来越大,各种手机软件也都在被广泛应用,但是对于手机进行数据信息管理,对于手机的各种软件也是备受用户的喜爱,百货中心供应链管理系统被用户普遍使用,为方…...
k8s从入门到放弃之Ingress七层负载
k8s从入门到放弃之Ingress七层负载 在Kubernetes(简称K8s)中,Ingress是一个API对象,它允许你定义如何从集群外部访问集群内部的服务。Ingress可以提供负载均衡、SSL终结和基于名称的虚拟主机等功能。通过Ingress,你可…...
376. Wiggle Subsequence
376. Wiggle Subsequence 代码 class Solution { public:int wiggleMaxLength(vector<int>& nums) {int n nums.size();int res 1;int prediff 0;int curdiff 0;for(int i 0;i < n-1;i){curdiff nums[i1] - nums[i];if( (prediff > 0 && curdif…...
视频字幕质量评估的大规模细粒度基准
大家读完觉得有帮助记得关注和点赞!!! 摘要 视频字幕在文本到视频生成任务中起着至关重要的作用,因为它们的质量直接影响所生成视频的语义连贯性和视觉保真度。尽管大型视觉-语言模型(VLMs)在字幕生成方面…...
)
GitHub 趋势日报 (2025年06月08日)
📊 由 TrendForge 系统生成 | 🌐 https://trendforge.devlive.org/ 🌐 本日报中的项目描述已自动翻译为中文 📈 今日获星趋势图 今日获星趋势图 884 cognee 566 dify 414 HumanSystemOptimization 414 omni-tools 321 note-gen …...
【HTML-16】深入理解HTML中的块元素与行内元素
HTML元素根据其显示特性可以分为两大类:块元素(Block-level Elements)和行内元素(Inline Elements)。理解这两者的区别对于构建良好的网页布局至关重要。本文将全面解析这两种元素的特性、区别以及实际应用场景。 1. 块元素(Block-level Elements) 1.1 基本特性 …...
工业自动化时代的精准装配革新:迁移科技3D视觉系统如何重塑机器人定位装配
AI3D视觉的工业赋能者 迁移科技成立于2017年,作为行业领先的3D工业相机及视觉系统供应商,累计完成数亿元融资。其核心技术覆盖硬件设计、算法优化及软件集成,通过稳定、易用、高回报的AI3D视觉系统,为汽车、新能源、金属制造等行…...
MySQL用户和授权
开放MySQL白名单 可以通过iptables-save命令确认对应客户端ip是否可以访问MySQL服务: test: # iptables-save | grep 3306 -A mp_srv_whitelist -s 172.16.14.102/32 -p tcp -m tcp --dport 3306 -j ACCEPT -A mp_srv_whitelist -s 172.16.4.16/32 -p tcp -m tcp -…...
重启Eureka集群中的节点,对已经注册的服务有什么影响
先看答案,如果正确地操作,重启Eureka集群中的节点,对已经注册的服务影响非常小,甚至可以做到无感知。 但如果操作不当,可能会引发短暂的服务发现问题。 下面我们从Eureka的核心工作原理来详细分析这个问题。 Eureka的…...