Chinaunix

标题: 移动互联时代的网络安全讨论 [打印本页]

---

作者: myworkstation    时间: 2015-03-27 14:28
标题: 移动互联时代的网络安全讨论
获奖名单已公布：http://bbs.chinaunix.net/thread-4174435-1-1.html


话题背景

当下网络无处不在，移动互联网的发展如火如荼，wifi的安全、服务器的网络安全对许多人来讲也是生活和工作中不可或缺的一环。大多数IT从业人员应该都听说了“蹭网神器”之类的产品，在其早期就是以“渗透测试工具”的面目出现。而家里的wifi被人“蹭网”了也时有发生；公司服务器被恶意攻击也是司空见惯；当你的生活与工作每天都与网络产生交集时你对网络安全怎么看？大家可以就移动互联网时期的网络安全问题畅所欲言。

讨论话题

1、学习网络安全的实用性和好处？

2、你在进行网络相关的开发时是否考虑过网络安全问题？

3、你对网络安全的认识是什么样的？是否与时俱进的在同步你的网络安全认识？

4、你在实际的生活和工作中遇到多少网络安全引发的问题？

讨论时间
2015-03-27至2015-04-12


活动奖励
活动结束后将选取4名讨论精彩的童鞋，每人赠送一本《Kali Linux渗透测试技术详解》作为奖励。


奖品简介

作者： 杨波     
出版社：清华大学出版社
出版日期：2015 年3月
开本：16开
页码：311
版次：1-1


内容简介

本书由浅入深地介绍了Kali Linux的各种渗透测试技术。书中选取了最核心和最基础的内容进行讲解，让读者能够掌握渗透测试的流程，而不会被高难度的内容所淹没。本书涉及面广，从基本的知识介绍、安装及配置Kali Linux，到信息收集和漏洞扫描及利用，再到权限提升及各种渗透测试，均有涉及。

样章试读
第1章.pdf (4.03 MB, 下载次数: 165)

2015-03-27 14:40 上传

点击文件名下载附件

第2章.pdf (5.52 MB, 下载次数: 185)

2015-03-27 14:40 上传

点击文件名下载附件

---

作者: 蛮多肉    时间: 2015-03-27 18:37
1、学习网络安全的实用性和好处？
     
     网络安全，从网络诞生那一刻起，就是一个不得不面对的问题。

     和人一样，网络也有两面性。

     如果说，好好做人，是得理解真善美，

     那要好好做网络，就得学习网络安全。
   
     由此可见网络安全的重要性，是不言而喻的。

     学习网络安全的实用性和好处，在做网络的过程中，你会充分体验到

     没有网络安全，那在网络里是寸步难行的。

2、你在进行网络相关的开发时是否考虑过网络安全问题？

     我在开发，s-c模式的网络应用时，总是尽量把网络安全是放在首位的

     现在虽然有着众多的加密方法，可以保护数据包，即使被拦截，也无法迅速快捷的破解

     但那只是假设，破解方没有充足计算资源的前提下

     是的，我在这里要说句实话，没有无法破解的数据包，只是花多少时间来破解而已。

     所以，我不建议，高机密的信息，用任何形式的网络传播

    不是我悲观，是现实不容乐观

3、你对网络安全的认识是什么样的？是否与时俱进的在同步你的网络安全认识？
     
     网络安全防范的具体细节，这里就不一一称述了。本质上的原理和一些民用初级的加密软件类似

     比如斯诺顿常用的GPG，之类。

     都是把数据，通过一种或几种形式，传播，然后再通过一种或几种形式接受，并确保这个过程在可控和非可控的部分，都安全，可靠！

     也许我是悲观的，我直到现在，都是觉得。

     这只是一个道高一尺魔高一丈的游戏模式，有人说他是智力竞赛，我更倾向于说，这是体力活，因为他们无论技术形式上怎么变，本质上是不变的

    那就是，没有绝对破解不了的技术，也没有绝对能破解得了的技术

     是的，没有哪个矛，也没有哪个盾！

4、你在实际的生活和工作中遇到多少网络安全引发的问题？

     很庆幸，我身边有一些，热衷于网络安全的伙伴，他们年龄层分布差异很大，有几个年纪相差已超过25岁.
  
     现在比较热门的无线支付安全问题，在这里，就不谈了，因为它不是一个网络安全新问题，只是换了个传输模式。

     接触网络安全时间越长，你越会发现

    很多所谓的新问题，都是些老问题，只是新瓶装老酒

    有的时候，更多的是，老瓶装老酒

    至于，新瓶新酒，老瓶新酒，那还真是不多见

    不得不说，有时候，真的还是有些期待，那些真的新问题出现

    道要高一丈，现实里还是需要魔高一尺来刺激下的


总结：楼主，那本书，要是可以寄给我的话，记得短消息我一下

---

作者: action08    时间: 2015-03-27 20:15
感觉这书蛮神秘的，安全问题真是够复杂的

---

作者: oyzx_sp    时间: 2015-03-27 21:38
好活动，支持！

---

作者: liyaweihesmz    时间: 2015-03-30 10:30
回复 2# 蛮多肉


    1、学习网络安全的实用性和好处？

学校网络安全的好处，还有就是可以保证自己计算机中机密信息的安全，避免使自己的计算机处于被侵害状态。

---

作者: liyaweihesmz    时间: 2015-03-30 10:31
回复 3# action08


    确实是。

---

作者: liyaweihesmz    时间: 2015-03-30 10:43
回复 4# oyzx_sp

---

作者: forgaoqiang    时间: 2015-03-30 12:47
Kali  BT Linux

---

作者: woxizishen    时间: 2015-03-30 15:10
支持一下.
1.楼主所说的蹭网更多安全问题是因为现在大多数家用甚至企业路由器硬件厂家，在加密协议这块太弱了，都是一个模子套出来的，除了WEP/WPA/EAP就是中国自己出的WAPI，就没有破解不了的。如果密码设的简单，破起来是分分钟功夫，现在网上所谓的万能钥匙以及其他破解wify密钥的，基本上是很多黑客嗤之以鼻不会使用的字典破解，更高级的密码学专家是从算法上破解，那速度是相当的快。鬼佬有一个网站能够破解各种密钥，直接从算法破解，支付美元，你用抓包工具抓取的加密数据包发过去,立马给你破解，而国内有一个破解各种密钥网站，号称世上存放了最大的字典容量，破解方法就不说他了，就这速度，你老人家得有耐心啦，毕竟他免费的，你就别奢求了。

---

作者: ylky_2000    时间: 2015-03-30 18:11


2015-03-30 全手写内容
这个活动一定要参加，最近正在学习这个方面，资料来自互联网，了解了跨站、sql注入、cmd5解密、提权等，对网络安全的认识逐渐加深，安装了BT5R2-GNOME-VM。
1、学习网络安全的实用性和好处？
      这个是我学习这个知识的动力。主要是公司业务发展需要，公司不少业务开始放公网，类似saas的业务应用开始增多，办公的app也上线了，必须必须从一个被动的被攻击者变成一个主动发现漏洞的主动者。这些就是适用性。
     好处呢:扩大知识结构，保障企业的业务安全稳定运行。
2、你在进行网络相关的开发时是否考虑过网络安全问题？
    有考虑过。关于安全考虑的一般的流程如下：开发人员提交代码和测试环境-》网络安全人员（就是我们）用各种业界知名的工具进行扫描测试找出漏洞-》将报告发送给开发针对优化漏洞点。实际上我们扮演了软件测试人员的角色，只是侧重在网络安全这个点上。
   以上是研发流程上的安全措施。在架构上我们也开始有所动作。比如最典型的是，web前台页面以前都是采用http的方式访问，后来我们利用nginx的强制跳转到https的方式访问。大家也可以看到baidu的搜索首页也是自动转到https://www.baidu.com 从一个侧面也反映了我们的这个思路是正确的。
3、你对网络安全的认识是什么样的？是否与时俱进的在同步你的网络安全认识？
    我对网络安全的认识是：
   1）要求非常全面：这是个与人斗、与天斗的行业，对网络安全人员的知识结构要求十分全面，比如脚本的能力、代码的书写能力、数据库语句的能力
、网络基本功、linux系统、windows服务器各个版本、cmd命令行、网络安全各种工具（扫描工具nmap等、漏洞利用工具sqlmap等）等，还有社会工程学的知识。
2）道德素质要求高：黑客 红客 白帽子等。。我个人最佩服白帽子。
  3）安全无处不在：除操作系统本身的补丁不全漏洞、数据库注入漏洞、跨站攻击漏洞、甚至集成的运行环境、代码本身的漏洞等都是可以怀疑的地方。。。
   同步网络安全知识：有的，订阅了像“乌云网”白帽子社区，会经常看里面的案例，关注的最多的是sql注入和文件上传这块。包括业界最新的网络安全消息，如最近的心血漏洞、strust2的版本漏洞、海康卫视视频终端的默认密码、最新的思科的版本漏洞等等。记得刚开始学习的时候之前的xp系统蓝屏漏洞还测试重现过。
4、你在实际的生活和工作中遇到多少网络安全引发的问题？
    举例吧：
1）弱口令  我们的防火墙设备口令比较弱，一般大家都知道防火墙习惯用admin帐号，密码最初上线的时候不太习惯修改都是使用默认的。就被人利用过；
  2）文件上传漏洞,导致被提权 我们有个报名系统，由于tomcat版本过低+strust版本有漏洞，被人上传了jspspy提权脚本，可以远程执行，导致数据库被插入了非法数据，造成了极坏的影响；
  还有其他一些吧。

2015-03-31
1、网友补充：说arp攻击，确实我们之前也遇到过，导致整体网络瘫痪，防御也简单，绑定好arp表即可。
2、补充案例：以前大部分的soho家庭的路由器，存在配置文件没有加密的情况导致，宽带帐号密码明文记录。不过这个有个好处是你忘记了宽带帐号密码了，可以直接用记事本打开保存的配置文件，里面就明文记录了帐号密码。

2015-04-01
深信服发表了一篇关于最近10086伪基站获得用户信息和网银密码的文章。大家有兴趣可以找一找了解下。
其实还是很low的，就是钓鱼网站而已。这个倒不怕，最怕的是钓鱼的手机app，确实很难判断。

---

作者: wenhq    时间: 2015-03-30 23:09
很好的一个话题。

---

作者: liyaweihesmz    时间: 2015-03-31 09:18
回复 8# forgaoqiang


    Kali是BT的升级版。

---

作者: liyaweihesmz    时间: 2015-03-31 09:21
回复 9# woxizishen


    万能钥匙虽然能将密码破解出来，但是也有一个缺点，就是将你设备连接过的所以WiFi密码都会共享出去。准确的说万能钥匙不是破解密码，只是有人将该密码共享了。所以，使用万能钥匙即可连接某个网络。

---

作者: liyaweihesmz    时间: 2015-03-31 09:22
回复 11# wenhq


   

---

作者: liyaweihesmz    时间: 2015-03-31 09:31
回复 10# ylky_2000


    你在实际的生活和工作中遇到多少网络安全引发的问题？

还有ARP攻击，导致重要信息被泄漏。

---

作者: liyaweihesmz    时间: 2015-03-31 09:32
回复 11# wenhq


   

---

作者: ylky_2000    时间: 2015-03-31 09:41
回复 15# liyaweihesmz
谢谢补充，arp算比较古老的方式了，绑定基本就解决了。

   

---

作者: Fl_wolf    时间: 2015-03-31 10:26
1、学习网络安全的实用性和好处？
作为一个运维人员，学习网络安全是非常有必要的。
因为随着技术越来越先进，有些偏激或者投机的开发者会利用网络的一些漏洞展示自己的才能或者谋取他想要的利益。
没有去了解学习安全技术这块，你将在网络安全那块非常的被动，而且被攻击或被黑了还不一定能及时发现。
要保障不管是办公网络还是机房网络的安全稳定，学习网络安全技术都是非常必要的。
学习的好处当然是可以提前对可发生的网络灾难或者不安全事故进行预防，尽可能减免上面所述的灾难。

2、你在进行网络相关的开发时是否考虑过网络安全问题？
在开发一些小玩意的时候没有太多的考虑，只是简单的考虑了是否会有一些漏洞会对程序或者机器造成损坏。

3、你对网络安全的认识是什么样的？是否与时俱进的在同步你的网络安全认识？
对网络安全知识都会在论坛或者咨询里了解，并且会及时排查服务器或网络内是否存在该类问题，如果存在会及时进行修复。
并且会对出现的 安全隐患进行 记录方便以后能再次排查是否还存在该隐患。

4、你在实际的生活和工作中遇到多少网络安全引发的问题？
较多的还是电脑的一些病毒，木马造成的ARP或者洪水。其次就是服务器有可能会有黑客利用注入漏洞等进行渗入。这一点比较难排查，只能是出现后及时治疗。
还在学习中 暂时能说的就这么多。。

---

作者: liyaweihesmz    时间: 2015-03-31 16:20
回复 17# ylky_2000


    嗯。但是，如果网络中计算机太多的话，太浪费时间，不太划算。主要还需要双向绑定了，如果只在一端绑定，还是解决不了问题的。请问，你有更好的方法吗？

---

作者: ylky_2000    时间: 2015-03-31 16:24
802.1x认证。arp防火墙。
一般现在的arp病毒攻击，杀毒软件可以防御了。

回复 19# liyaweihesmz


   

---

作者: liyaweihesmz    时间: 2015-04-01 09:36
回复 20# ylky_2000


    嗯

---

作者: lyhabc    时间: 2015-04-02 20:44
@woxizishen
请问是哪一个网站呢？

---

作者: liyaweihesmz    时间: 2015-04-07 09:37
回复 1# myworkstation

1、学习网络安全的实用性和好处？

通过学习网络安全，经常可以评估自己的网络是否安全。当发现有漏洞时，可以及时修复其漏洞。


3、你对网络安全的认识是什么样的？是否与时俱进的在同步你的网络安全认识？
网络安全就是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到**、更改、泄露，系统连续可靠正常地运行，网络服务不中断。


4、你在实际的生活和工作中遇到多少网络安全引发的问题？

常遇到的就是ARP攻击。

---

作者: forgaoqiang    时间: 2015-04-09 08:59
无线中基本上不存在arp问题 因为 AP isolation是非常好用的 直接组织客户端之间的通讯

ylky_2000 发表于 2015-03-31 09:41
回复 15# liyaweihesmz
谢谢补充，arp算比较古老的方式了，绑定基本就解决了。

---

作者: wsysx    时间: 2015-04-09 15:36
1、学习网络安全的实用性和好处？
网络已经融入了现代人的日常生活，而联网就涉及到网络安全问题。
网络安全做的不好，就可能会被人入侵，造成隐私信息泄露、被植入后门等问题。

2、你在进行网络相关的开发时是否考虑过网络安全问题？
考虑的有限，一般只是进行常规的加密。

3、你对网络安全的认识是什么样的？是否与时俱进的在同步你的网络安全认识？
网络安全是随着黑帽子和白帽子的斗争而发展的，很佩服那些人的技术能力，可以不断找到新的漏洞，像去年暴露出来的心脏流血、bash的漏洞。
之前想换一本《白帽子讲web安全》，但是赶上CU没有这本书的库存了，也就只看了点试读章节。

4、你在实际的生活和工作中遇到多少网络安全引发的问题？
小时候有一次在家里偷着上网，结果被人入侵了，有两个磁盘被格式化了，还中了很多的木马病毒。换来了一顿胖揍，还好当时电脑里也没什么重要的资料。
工作中，有一次公司网络遭遇了arp攻击，造成网络瘫痪。

---

作者: liyaweihesmz    时间: 2015-04-10 13:57
回复 25# wsysx


    了解网络安全后，可以很好的保护自己的计算机不受侵害。目前，为了防止ARP攻击，可以通过IP-MAC地址绑定来解决该问题。

---

作者: gxustudent    时间: 2015-04-12 22:38
1、学习网络安全的实用性和好处？

一个不懂网络安全技术的开发人员不是一个合格的网络应用开发人员。
对于一个开发人员而言，学习网络安全的好处就是能够树立安全意识，开发出更健壮的代码，避免给公司和自己带来损失。


2、你在进行网络相关的开发时是否考虑过网络安全问题？

考虑过，但考虑的不多。
但是让人悲哀的不仅仅我一个人是这样，国内大多数从业者都是这样，这是由外部环境决定的。
目前，国内的开发现状更多强调的是各种功能的实现，而不是功能的安全性。
因为互联网的特点是节奏快 ，瞬息万变，变数非常大，一个产品如果不能按照计划开发出来，可能就失去了相关市场，
因此研发部门都加班加点的赶着实现功能，而安全问题大部分时候都排在实现功能，程序稳定的后面，得不到管理人员和开发人员的重视。
其次，很多从业者在学习的时候，都没有受到过安全方面的教育，没有相关的安全意识，
这又和我国的教育体制有关，目前的很多高校教育者自己本身就安全意识不强，自然就没有给学生灌输相关的意识。


3、你对网络安全的认识是什么样的？是否与时俱进的在同步你的网络安全认识？

我的认识是：在国内大部分项目里面，安全都是一块影响整个系统的短板。
即使是国内的三大互联网公司BAT，雇佣了几乎是国内最优秀的人才，还是不时能在乌云上爆出各种安全漏洞，
这固然与这些互联网巨头产品线众多有关，但也从侧面说明了，在我国其他的互联网厂商中，仍然存在众多的安全问题。
这些一旦爆发，将给公司造成不可估量的损失。
远的且不说，就在今年江苏省公安厅发布特急通知称，海康威视生产的监控设备存在严重安全隐患，部分设备已经被境外IP地址控制。
消息一出，海康威视股票立即跌停，公司蒙受了巨大损失！
那么这个所谓的严重安全隐患是什么呢？呵呵，就是弱口令漏洞。
海康威视这样一家上市安防公司，尚且存在如此低级的安全问题，其他公司的情况究竟怎么样，我们也能够想得出来！

网络安全知识当然要更新，OWASP十大漏洞每年都不一样，FUZZ测试，形式化测试等等新技术的出现都会给安全测试带来了不一样的变化。
而CVE，EXPLOIT-DB都要不时关注，了解是否有最新的大漏洞爆出来。
像今年一下就爆了两个大的网络安全漏洞，心脏出血和破壳漏洞，这两个漏洞虽然和开发无关，但工程人员在项目部署时还是需要注意软件版本的更新。


4、你在实际的生活和工作中遇到多少网络安全引发的问题？

前年朋友所在的公司电子商务网站上线，研发部门的项目部刚刚拿完项目奖，财务就报告说商城账目不对，测试部门表示不是自己的责任，研发部门也一样。
好吧，事情不了了之。第二个月，账目继续不对，高层要求研发部彻查，研发部报告代码审计没有发现问题。
请了安全公司黑盒测试才发现问题，原来前端一个页面没有进行参数检查，导致在post的时候被用户篡改为-1，用户不仅不要花钱，公司反而需要给用户贴钱，呵呵！
好嘛，责任人扣当月工资，项目经理扣当月工资，测试部经理扣当月工资，公司因为商城延迟上线，安全审计费用等等应该损失了小二十万吧！

---

作者: ccjsj1    时间: 2015-04-13 02:20
1、学习网络安全的实用性和好处？
随着网络越来月普及和移动互联网的兴起，网络安全越发显得重要，一定要了解网络安全的实用性和攻防方面的知识；作为运维人员安全是必不可少的一项内容；

2、你在进行网络相关的开发时是否考虑过网络安全问题？
考虑网络安全，由其对密码和口令的处理方面；

3、你对网络安全的认识是什么样的？是否与时俱进的在同步你的网络安全认识？
新建系统需要安全部门对对其进行安全扫描，根据结果对其进行安全加固；
需要与时俱进的在同步你的网络安全认识，如前段时间新发现的新漏洞，如openssl、bash、glibc等，要及时进行修复；

4、你在实际的生活和工作中遇到多少网络安全引发的问题？
生活中较多的还是电脑的一些病毒和木马等；
工作中遇到的是大部分是DDos功能和根据系统弱口令入侵后注入成为肉鸡；

---

作者: 蛮多肉    时间: 2015-04-13 10:55


求书一本

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2