18.2、网络安全评测技术与攻击
目录
- 网络安全测评技术与工具
- 网络安全测评质量管理和标准
网络安全测评技术与工具
漏洞扫描技术可以用于测评,测评你安不安全,也可以用来风险评估安不安全,风险大不大
漏洞扫描包含网络安全漏洞扫描、主机安全漏洞扫描,还有数据库安全扫描,web应用安全扫描
安全渗透测试,是通过模拟攻击者对测评对象进行安全攻击
第一类叫黑盒测试是只提供测试的目标地址,授权团队从指定的测试点进行测试,就给你个IP地址,别的你什么都不知道,来攻击,这叫黑盒测试
白盒测试或叫白盒模型,白盒模型是需要尽可能的,提供详细的被测对象信息,比如说内部的网络拓扑图的编址,各种各样的服务器,这些信息都提供给你,提供详细的信息,测试团队所获取的信息就比较全面,根据所获取的信息制定
特殊的渗透测试方案对系统进行高级别的安全测试,主要运用在高级持续威胁者模拟场景,也叫apt,高级可持续威胁测试。白盒测试用来测apt攻击,因为APT攻击是比较漫长得,而且比较高级的,所以你要尽可能的得到更多信息,才可能测出来。
灰盒测试提供部分信息相当于灰的就是黑和白的中间,白的就是啥都告诉你,黑的啥都不告诉你,灰的就是也告诉你一部分,然后我们测试团队根据我们获得的信息来进行渗透,它适用于手机银行,还有代码安全测试。手机银行、代码安全测试用的是灰盒模型,灰盒测试。
代码安全审查,是按照编程语言等安全编程规范和业务安全的规范,对评测对象的原代码或者二进制的代码进行安全符合性检查。代码的缺陷有缓冲区溢出,代码注入跨站脚本,输入验证API调用等等,这些就是关于代码的问题。
程序员,包括软件测试的肯定都是要测代码的安全性。一般的像网络安全工程师,对代码这一块儿,基本上大部分人是不太深入的。我们对安全工具很熟,但是对代码这一块儿,有特别牛逼的,他自己编程,然后各种语言他都会,这种人就比较少,但大部分人搞网络安全的会点脚本语言。
其他的JAVA,有些了解,你要对所有的东西都很精通,那基本上也不太现实。这是测评用的技术和工具
网络安全测评质量管理和标准
去介绍两个标准,第一个是iso,第二个是我们国家的cnas
测评会用到的技术,协议分析。对我们的协议进行安全性的检查和分析,常见的分析工具有这两个,最常见的其实就是抓包分析,还有性能测试。性能测试用于评估我们测评对象的性能状况,检查评估对象承载性能的压力。包括安全对性能的影响等等,常见的工具有操作系统自带的,就性能监测工具。
任务管理器,调出来CPU、内存等等。利用率,包括网络的利用情况都可以看得到,这就是自带的工具,当然还有一些开源的,商业的
质量管理体系,做测评的时候管理质量有两个标准,第一个iso9001,专门做质量管理的标准
相关文章:
18.2、网络安全评测技术与攻击
目录 网络安全测评技术与工具网络安全测评质量管理和标准 网络安全测评技术与工具 漏洞扫描技术可以用于测评,测评你安不安全,也可以用来风险评估安不安全,风险大不大 漏洞扫描包含网络安全漏洞扫描、主机安全漏洞扫描,还有数据…...
在 ArcGIS Pro/GeoScene Pro 中设计专题地图的符号系统
原始 按颜色对面进行符号化 打开符号系统 选择主符号系统 选择字段及其计算方式 更改临界值</...
CSS2笔记
一、CSS基础 1.CSS简介 2.CSS的编写位置 2.1 行内样式 2.2 内部样式 2.3 外部样式 3.样式表的优先级 4.CSS语法规范 5.CSS代码风格 二、CSS选择器 1.CSS基本选择器 通配选择器元素选择器类选择器id选择器 1.1 通配选择器 1.2 元素选择器 1.3 类选择器 1.4 ID选择器 1.5 基…...
移动端如何实现上拉加载
一、理解上拉加载的原理 上拉加载是一种在移动端很常见的交互方式,其原理是当用户在页面上向上滑动(即滚动条接近底部)时,触发一个加载更多数据的操作。这通常涉及到对滚动事件的监听以及判断滚动位置是否达到了触发加载的阈值。…...
【mysql】linux安装mysql客户端
参考文章: MySQL系列之如何在Linux只安装客户端 linux下安装mysql客户端client MySQL Community Downloads 查看linux版本方法: lsb_release -a cat /proc/version下载文件: rpm -ivh mysql-community-*可以删除错误的包: RP…...
YOLOv5部署到web端(flask+js简单易懂)
文章目录 前言最终实现效果图后端实现 主界面检测函数检测结果显示 前端实现 主界面(index.html)显示图片界面 总结 前言 最近,老板让写一个程序把yolov5检测模型部署到web端,在网页直接进行目标检测。经过1个星期的努力,终于实…...
)
【机器学习】深度学习(DNN)
文章目录 1. 神经网络结构2. 训练步骤3. 反向传播4. 为什么深,而不是宽(模块化)5. 初始化参数能否全为0? 1. 神经网络结构 输入层隐藏层:用于特征转换输出层:用于分类技巧:将网络中的参数写成矩…...
12.30-1-5学习周报
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 文章链接摘要Abstract一、方法介绍1.HAT-CIR2.Horde3.DWGRNet 二、实验总结 文章链接 https://arxiv.org/pdf/2405.04101 摘要 本博客介绍了论文《Continual lea…...
【MySQL】数据操作
数据操作 一、INSERT1、介绍2、语法3、语法介绍4、注意事项5、示例 二、插入否则更新1、介绍2、语法3、语法介绍4、示例 三、ROW_COUNT1、介绍2、示例 四、REPLACE1、介绍2、语法3、示例 五、UPDATE1、介绍2、语法3、示例 六、DELETE1、介绍2、语法3、语法介绍 七、TRUNCATE1、…...
python数据分析:使用pandas库读取和编辑Excel表
使用 Pandas,我们可以轻松地读取和写入Excel 文件,之前文章我们介绍了其他多种方法。 使用前确保已经安装pandas和 openpyxl库(默认使用该库处理Excel文件)。没有安装的可以使用pip命令安装: pip install pandas ope…...
开源轻量级文件分享服务Go File本地Docker部署与远程访问
???欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学习,不断总结,共同进步,活到老学到老…...
异步背后的奥秘:事件循环
异步背后的奥秘:事件循环 复习环节 JavaScript运行时 我们都知道,JavaScript本身是一个单线程的,那JavaScript是如何处理同时发生的多个任务的呢? 首先JavaScript引擎运行在一个容器中,这个容器可能是浏览器或者nod…...
Springboot使用RabbitMQ实现关闭超时订单的一个简单示例
1.maven中引入rabbitmq的依赖: <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-amqp</artifactId></dependency> 2.application.yml中进行rabbitmq相关配置: # rabbit…...
小程序基础 —— 07 创建小程序项目
创建小程序项目 打开微信开发者工具,左侧选择小程序,点击 号即可新建项目: 在弹出的新页面,填写项目信息(后端服务选择不使用云服务,开发模式为小程序,模板选择为不使用模板)&…...
)
【Golang 面试题】每日 3 题(十五)
✍个人博客:Pandaconda-CSDN博客 📣专栏地址:http://t.csdnimg.cn/UWz06 📚专栏简介:在这个专栏中,我将会分享 Golang 面试中常见的面试题给大家~ ❤️如果有收获的话,欢迎点赞👍收藏…...
Docker命令(用法说明详解)
一、常见Docker容器命令 #根据image创建一个新容器并运行(即使该image已经存在容器,也会再创建一个新容器) docker run IMAGE_NAME #根据image创建一个新容器并运行。 #选项-d:指定容器为后台运行,--name自定义该容器…...
c++)
leetcode 热题100(131. 分割回文串)c++
链接:131. 分割回文串 - 力扣(LeetCode) 给你一个字符串 s,请你将 s 分割成一些子串,使每个子串都是 回文串 。返回 s 所有可能的分割方案。 示例 1: 输入:s "aab" 输出ÿ…...
vs2022编译opencv 4.10.0
参考:Windosw下Visual Studio2022编译OpenCV与参考区别在于,没有用cmake GUI,也没有创建build目录,直接用vs2022打开了C:\code\opencv目录,即CMakeLists.txt所在根目录。没有修改默认下载地址,采用手动下载…...
Bash 中的 2>1 | tee 命令详解
Bash 中的 2>&1 | tee 命令详解 在 Linux 和 Unix 系统中,命令行提供了强大的输出控制功能,能够灵活地处理标准输入(stdin)、标准输出(stdout)和标准错误(stderr)。本文将详…...
MySQL数据库的日志
一、概论 日志(log)是一种记录系统运行时各种状态和事件的文件。 它通常用于系统监控、故障排查、安全审计和性能分析。日志文件可以记录用户操作、系统错误、应用程序行为等信息。日志文件通常包含时间戳、事件类型、事件描述等关键信息,以…...
算法工程师简历封神指南:项目细节 + 论文 / 竞赛成果缺一不可
引言:算法岗简历的“死亡三连”,你中了吗? “熟悉CNN、Transformer、大模型微调,掌握PyTorch、TensorFlow”——当面试官第88次看到这句“算法词典式”技能描述时,已经开始默默划走简历。2026年算法岗卷到什么程度?智联招聘数据显示,硕士学历算法岗平均竞争比达300:1,…...
RDMA网络调试实战:当你的应用卡顿时,如何定位是哪种Error导致了重传?
RDMA网络性能调优实战:从重传Error定位到精准修复 RDMA(Remote Direct Memory Access)技术凭借其超低延迟和高吞吐量的特性,已经成为高性能计算、分布式存储和金融交易系统的核心网络架构。但在实际生产环境中,即使是经…...
RISC-V Coremark 移植与性能调优实战
1. Coremark基准测试与RISC-V的适配基础 Coremark作为嵌入式处理器性能评估的黄金标准,其设计初衷就是为了解决传统Dhrystone测试的局限性。我第一次在RISC-V平台上移植Coremark时,发现它确实比Dhrystone更适合现代处理器架构评估。Coremark测试包含三个…...
)
【2026最新附图文】JDK25 下载、配置、卸载 保姆级教学(全程附实操步骤图)
本文以 windows 10 系统操作演示,详细介绍了 jdk 25 的下载、配置、卸载一、下载 JDK 打开浏览器,访问 Oracle 官方 Java 下载页面:https://www.oracle.com/cn/java/technologies/downloads/向下滚动,找到 JDK (这里以…...
从8251A芯片实战出发:手把手教你用8086汇编完成串口通信初始化编程
从8251A芯片实战出发:手把手教你用8086汇编完成串口通信初始化编程 在嵌入式系统与硬件接口开发领域,掌握串口通信编程是工程师的必修技能。8251A作为经典的通用同步/异步收发器(USART)芯片,至今仍在教学和工业控制领域广泛应用。本文将带您从…...
基板式PCB与嵌入式芯片:下一代电子系统集成的核心技术解析
1. 项目概述:从一块“板子”看透一个产业干了十几年硬件,从画第一块51单片机的板子,到如今参与定义复杂的系统级封装,我越来越觉得,PCB(印制电路板)和芯片的关系,早已不是简单的“承…...
可穿戴魔法独角兽帽:从PWM控制到软硬件集成的嵌入式实践
1. 项目概述:一个会动的魔法独角兽帽子几年前,我第一次在创客展上看到有人把微控制器和伺服电机缝进衣服里,让一件普通的卫衣“活”了起来,当时就觉得这太酷了。这种将冰冷的电子元件与温暖的织物结合,创造出有生命感的…...
docker-compose修改配置后实现开机自启
如图,我四个服务,都写了个简单的restart.sh的脚本。 要让这四个服务开机自动启动,最稳妥的方法是用 systemd 服务管理: 用 systemd 管理(稳定可控) 1. 创建统一的启动脚本 # 新建一个脚本目录 mkdir -p …...
Multisim导入自定义三极管S8050/S8550保姆级教程:从SPICE文件到成功仿真
Multisim实战:从零构建S8050三极管模型与仿真验证全流程 在电子电路设计与仿真领域,准确的三极管模型往往是项目成功的关键。许多工程师和爱好者在使用Multisim时都遇到过这样的困境:官方元件库中缺少特定型号的三极管(如常见的S8…...
LM265 手持式频谱分析仪:交通超宽频监测旗舰
LM265 手持式频谱分析仪是成都鼎讯信通科技打造的超宽频高性能便携设备,覆盖 9kHz~26.5GHz,射频指标对标台式仪器,兼顾便携与精度,为铁路、高速等交通领域提供全频段信号监测与干扰排查能力。设备集成频谱分析、场强测量、信道扫描…...