信息安全工程师教程学习笔记(三)信息安全工程师教程学习笔记(三).docxVIP

信息安全工程师教程学习笔记（三）全国计算机技术与软件专业技术资格（水平）考试，这门新开的信息安全工程师分属该考试“信息系统”专业，位处中级资格。官方教材《信息安全工程师教程》及考试大纲于7月1日出版，希赛小编整理了信息安全工程师教程学习笔记，供大家参考学习。漏洞攻击? 国内外黑客组织或者个人为牟取利益窃取和篡改网络信息，已成为不争的事实，在不断给单位和个人造成经济损失的同时，我们也应该注意到这些威胁大多是基于Web网站发起的攻击，在给我们造成不可挽回的损失前，我们有必要给大家介绍几种常见的网站漏洞，以及这些漏洞的防范方法，目的是帮助广大网站管理者理清安全防范思绪，找到当前的防范重点，最大程度地避免或减少威胁带来的损失。? ??? 1.SQL语句漏洞? ? ? 也就是SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。? ? ? 有效防范手段：对于SQL注入问题的一般处理方法是账户最小权限原则。以下几种方法推荐使用：? ? ? 对用户输入信息进行必要检查；? ? ? 对一些特殊字符进行转换或者过滤；? ? ? 使用强数据类型；? ? ? 限制用户输入的长度；? ? ? 需要注意：这些检查要放在server运行，client提交的任何东西都是不可信的。使用存储过程，如果一定要使用SQL语句，那么请用标准的方式组建SQL语句。比如可以利用parameters对象，避免用字符串直接拼SQL命令。当SQL运行出错时，不要把数据库返回的错误信息全部显示给用户，错误信息经常会透露一些数据库设计的细节。? ??? 2.网站挂马? ? ? 挂马就是在别人电脑里面(或是网站服务器)里植入木马程序，以盗取一些信息或者控制被挂马的电脑做一些不法的勾当（如攻击网站，传播病毒，删除资料等）。网页挂马就是在网页的源代码中加入一些代码，利用漏洞实现自动下载木马到机器里。网站挂马的形式可分为框架挂马、数据库挂马、后台挂马、服务器挂马以及其他形式的挂马方式。? ? ? 有效防范手段：要防止网站被挂马，可以采取禁止写入和目录禁止执行的功能，这两项功能相组合，就可以有效地防止ASP木马。此外，网站管理员通过FTP上传某些数据，维护网页时，尽量不安装asp的上传程序。这对于常被ASP木马影响的网站来说，会有一些帮助。当然是用专业的查杀木马工具也是不错的防护措施。? ? ? 需要注意：管理员权限的用户名和密码要有一定复杂性，并只允许信任的人使用上传程序。? ??? 3.XSS跨站攻击? ? ? XSS又叫CSS(Cross Site Script)，属于被动式的攻击，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码（攻击者有时也会在网页中加入一些以.JS或.VBS为后尾名的代码），当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。? ? ? 有效防范手段：对于XSS跨站攻击的防范分为对网站和对个人分别来讲。? ? ? 对于网站，坚决不要相信任何用户输入并过滤所有特殊字符，这样可以消灭绝大部分的XSS攻击。? ? ? 对于个人，保护自己的最好方法就是仅点击你想访问的那个网站上的链接。有时候XSS会在你打开电子邮件、打开附件、阅读留言板、阅读论坛时自动进行，当你打开电子邮件或是在公共论坛上阅读你不认识的人的帖子时一定要注意。最好的解决办法就是关闭浏览器的Javascript功能。在IE中可以将安全级别设置为最高，可以防cookie被盗。拒绝服务攻击 拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。1．SYN Foold SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方