2018-2019-2 20189206 《密码与安全新技术专题》 第一次作业

学号 2018-2019-2 《密码与安全新技术专题》第X周作业

课程：《密码与安全新技术专题》

班级： 1892

姓名： 王子榛

学号：20189206

上课教师：张健毅

上课日期：2019年2月25日

1.本次讲座的学习总结

信息技术的发展阶段

• 通信

  • 电报、电话

• 计算机

• 网络

• 网络化社会

  通过以上信息技术的发展阶段，信息安全伴随着通信技术的出现而出现并且一直是信息技术中不可忽视的重中之重。

信息安全技术的发展阶段

• 羊皮卷
• 图灵破解
• IOT->IOE 提出安全的新要求
• GPT上帝攻击模式

以上信息安全技术的变化预示着攻击方式的改变：可探测->可访问->可掌控

著名的网络攻击

• 震网攻击 出现标志着物理隔离也不再安全

震网病毒又名Stuxnet病毒，是一个席卷全球工业界的病毒。
震网（Stuxnet）病毒于2010年6月首次被检测出来，是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”病毒，比如核电站，水坝，国家电网。互联网安全专家对此表示担心。
作为世界上首个网络“超级破坏性武器”，Stuxnet的计算机病毒已经感染了全球超过 45000个网络，伊朗遭到的攻击最为严重，60%的个人电脑感染了这种病毒。计算机安防专家认为，该病毒是有史以来最高端的“蠕虫”病毒。蠕虫是一种典型的计算机病毒，它能自我复制，并将副本通过网络传输，任何一台个人电脑只要和染毒电脑相连，就会被感染。

• APT攻击 高等级持续性攻击

APT（Advanced Persistent Threat）是指高级持续性威胁,本质是针对性攻击。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

APT入侵客户的途径多种多样，主要包括以下几个方面。
——以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。
——社交工程的恶意邮件是许多APT攻击成功的关键因素之一，随着社交工程攻击手法的日益成熟，邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现，这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始，就是针对某些特定员工发送钓鱼邮件，以此作为使用APT手法进行攻击的源头。
——利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。
总之，高级持续性威胁(APT)正在通过一切方式，绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等)，并更长时间地潜伏在系统中，让传统防御体系难以侦测。

• xcodeGhost

Xcode Ghost，是一种手机病毒，主要通过非官方下载的 Xcode 传播，能够在开发过程中通过 CoreService 库文件进行感染，使编译出的 App 被注入第三方的代码，向指定网站上传用户数据。
也就是说，开发者下载的非官方途径的Xcode带有XcodeGhost 病毒。

通过Xcode从源头注入病毒Xcode Ghost，是一种针对苹果应用开发工具Xcode的病毒。它的初始传播途径主要是通过非官方下载的 Xcode 传播，通过 CoreService 库文件进行感染。当应用开发者使用带毒的Xcode工作时，编译出的App 都将被注入病毒代码，从而产生众多带毒APP。

信息化发展凸显的信息安全问题

威胁方-防护方的非对称性

• 攻防技术非对称

  • 信息技术属于高科技技术，但大量自动化攻击工具的出现，使得入侵网络与信息系统的门槛降到极低
  • 国内外“肉鸡”的价格也不一样，发达国家相比发展中国家，价格更高

• 攻防成本非对称

  • 攻防技术的非对称带来了攻防成本的非对称
  • 风险成本低
    • 网络攻击有很好的隐藏性，易于掩饰隐藏身份和位置
  • 对国家安全而言，攻防成本的非对称性具有特殊意义

• 攻防主体非对称

  • 弱小一方与超级大国之间的实力得到了大大的弥补，个人拥有了挑战弱势群体的机会

常见的web漏洞

SQL注入

由于程序中对用户输入检查不严格，用户可以提交一段数 据库查询代码，根据程序返回的结果，获得某些他想得知 的数据，这就是所谓的SQL Injection，即SQL注入。

• 按提交字符类型可分为： 数字型 字符型 搜索型
• 按HTTP提交方式可分为： GET、POST、Cookie javascript:alert(document.cookie="id="+escape("x"))
• 按注入方式可分为： 盲注 、 union注入、 报错注入
• 编码问题：宽字节注入(构造[`])

XSS跨站脚本攻击

恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。

XSS, 即为（Cross Site Scripting）, 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的，当渲染DOM树的过程成发生了不在预期内执行的JS代码时，就发生了XSS攻击。
跨站脚本的重点不在‘跨站’上，而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际上是在目标网站的作用域下执行了这段js代码。

分类

• 反射型XSS
• 存储型XSS

CSRF跨站请求伪造

CSRF（Cross-site request forgery）跨站请求伪造 。
攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够 做的事情包括：以你名义发送邮件，发消息，盗取你的账号， 甚至于购买商品，虚拟货币转账......造成的问题包括：个人隐私 泄露以及财产安全。

验证不充分之上传漏洞

• 客户端检测(javascript扩展名检测)
  • 浏览器禁用JavaScript
• 服务端检测(MIME类型检测)
  • 伪造Content-type: image/gif
• 服务端检测(文件头检测)
  • 伪造文件头(GIF89a)
• 服务端检测(目录路径检测)
  • %00截断
• 服务端检测(文件扩展名检测)
  • ①白名单 ②黑名单

解析漏洞

解析漏洞就是web容器将其他格式的文件解析为可执行脚本语言，攻击者可以利用这个特征去执行一些攻击行为。

• IIS 6.0解析漏洞
  • ①目录解析 /test.asp/test.jpg
  • ②文件解析 /test.asp;1.jpg
• IIS6.0 默认的可执行文件除了asp还包含这三种
  • ①/test.asa
  • ②/test.cer
  • ③/test.cdx
• Apache解析漏洞
  Apache 是从右到左开始判断解析，如果为不可识别解析，就再往左判断。
  • /test.php.xxx
  • /test.php.rar
• Nginx解析漏洞
  • 影响版本:0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37
  • /test.jpg/1.php
  • /test.jpg%00.php

第三方漏洞

Struts2远程命令执行

弱口令

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。
弱口令指的是仅包含简单数字和字母的口令，例如“123”、 “abc”等，因为这样的口令很容易被别人破解，从而使用户的计 算机面临风险，因此不推荐用户使用。

社会工程学

---

隐私安全

用户轨迹

提到了国外的strava户外运动健身软件使用手机的GPS功能追踪用户何时何地进行锻炼，其发布的数据可视化图标上三万亿个经纬度点用户进行的活动可以轻易泄露军事基地的位置和人员位置信息。

“黄金眼产品”患者手机只要处于开启状态，就可以获得患者的用户画像包括性别、年龄、职业、搜索记录，家庭住址等。

机器学习

• 鱼叉

  • 网络钓鱼是今天天最常见的攻击媒介，而且非常成功。这种攻击利用了个人对 通信工具的熟悉，如社交媒体和电子邮件，通过附件或链接向不知情的收件 人发送恶意内容。这种攻击的有效性依赖于攻击者误导最终用户点击或下载 恶意有效载荷并在之后绕过内部控制的能力。
  • AII可以通过从电子邮件中捕获元数据来检测这些威胁，而且这种做法不会影 响用户的隐私。通过查看电子邮件标题以及对邮件正文数据的二次抽样，机 器学习算法可以学习识别能够暴露恶意发件人的电子邮件模式。通过提取和 标记这些微观行为，我们可以训练我们的模型来检测是否有人正在尝试网络钓鱼。

• 水坑式攻击

  • 水坑式攻击看起来似乎是合法的网站或网络应用程序 。但是，这些网站或应用程序虽然是真实的，可已经被盗用了，或者根本就 是假冒的网站或应用程序，旨在引诱没有疑虑的访问者输入个人信息。
  • 机器学习可以通过分析诸如路径/目录遍历统计等数据来帮助机构对网络应 用程序服务进行基准测试。随着时间推移不断学习的算法可以识别出攻击者 或恶意网站和应用程序的常见互动。机器学习还可以监控到罕见或不寻常的 重新定向模式的行为，重新定向可能指向站点主机或者来自站点主机，还可 以监控引荐链接–所有这些都是典型的风险警示指标。

• 内网漫游

  • 内网漫游特别能够表明风险沿着杀伤链–攻击者从侦察到数据提取的活动–上升，特别是当攻击者从低级用户的机器转移到更重要的人员(可以访问有价值的数据)时。
  • 机器学习了解数据的语境，可以动态地提供正常通信数据的视图。有了对典型通信流的更好理解，算法可以完成变化点检测(也就是说，当给定通信模式的概率分布发生变 化，并变得不太可能像是”正常”的通信活动的时候，它能够识别出来)，以此监测潜在的威胁。

• 隐蔽信道检测(Covert Channel Detection)

  • 使用隐蔽信道的攻击者通过不用于通信的信道传输信息。使用隐蔽信道让攻击者保持对受到威胁的资产的控制，并使用可以随时间执行攻击的战术，而且不被发现。
  • 机器学习技术可以摄取并分析有关稀有领域的统计数据。有了这些信息，安全操作团队可以更轻松地让云端攻击者现形。

• 注入攻击

  • 数据库日志是可以帮助识别潜在攻击的另一个信息来源。机构可以使用机器学习算法来构建数据库用户组的统计概况。随着时间的推移，算法学习了解了这些组如何访问企业中的各个应用程序，并学习发现这些访问模式中出现的异常。

• 网页木马

  • 可以上传到网络服务器的脚本，以便远程管理机器”。通过远程管理，攻击者可以启动数据库数据转存、文件传输和恶意软件安装等进程。
  • 网页木马(Webshell)攻击者的目标通常是后端的电子商务平台，攻击者通过这些平台来瞄准购物者的个人信息。机器学习算法可以聚焦正常购物车行为的统计，然后帮助识别出不应该以这种频率发生的异常值或行为。

• 凭证盗窃

  • 凭证盗窃通常使用诸如网络钓鱼或水坑式攻击等手段来实现，攻击者以此从受害者那里提取登录凭证，以便访问组织维护的敏感信息。
  • 互联网用户–消费者–经常留下登录模式。网站和应用程序可以跟踪位置和登录时间。机器学习技术可以跟踪这些模式以及包含这些模式的数据，以了解什么样的用户行为是正常的，哪些行为则代表了可能有害的活动。

---

2.学习中遇到的问题及解决

• 问题1：什么是web标准

• 问题1解决方案： 由于我本科所学专业是物联网涉及知识较多，很多知识并没有很深入的了解，本次讲座也详细系统地讲解了web安全和内容安全的相关知识。首先我需要掌握的概念就是什么是web标准，web标准是如何定义的，针对与这个问题我查找了百度百科。

  WEB标准不是一某一个标准，而是一系列标准的集合。这些标准大部分由万维网联盟（外语缩写：W3C）起草和发布，也有一些是其他标准组织制定的标准。比如ECMA（Europe Computer Manufacturers Association）的ECMAScript标准。

  网页主要由三部分组成：

  结构（Structure）
  表现（Preseentation）
  行为（Behavior）

  对应的标准也分三方面：
  结构化标准语言主要包括XHTML和XML
  表现标准语言主要包括CSS
  行为标准语言主要包括对象模型（如W3C DOM）、ECMAScript等

• 问题2：什么是渗透？什么是渗透测试？

• 问题2解决方案： 本学期还选择了网络攻防这门课，一开始就对渗透测试这个名词很好奇。渗透，顾名思义就是逐步深入的意思，通过百度、参考课本等方式，对渗透测试有了初步的了解，但是具体渗透测试所要经过的步骤，如何才是一个好的渗透测试，都是需要继续学习。

渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。

• 问题3：什么是Struts2？
• 问题3解决方案： 这个漏洞不是很懂，主要是因为不了解这个技术，经过百度，知道Struts2是一个基于MVC设计模式的Web应用框架，本质上相当于一个servlet，在MVC的设计模式中，Struts2作为Controller来建立模型与视图的数据交互。

MVC模式：MVC全名是Model View Controller，是模型(model)－视图(view)－控制器(controller)的缩写，一种软件设计典范，用一种业务逻辑、数据、界面显示分离的方法组织代码，将业务逻辑聚集到一个部件里面，在改进和个性化定制界面及用户交互的同时，不需要重新编写业务逻辑。MVC被独特的发展起来用于映射传统的输入、处理和输出功能在一个逻辑的图形化用户界面的结构中。

看到这里又要问什么是web容器？web容器是一种服务程序，在服务器一个端口就有一个提供相应服务的程序，而这个程序就是处理从客户端发出的请求，如JAVA中的Tomcat容器，ASP的IIS或PWS都是这样的容器。一个服务器可以有多个容器。

Struts2漏洞：Apache Struts 2被曝存在远程命令执行漏洞，漏洞编号S2-045，CVE编号CVE-2017-5638，在使用基于Jakarta插件的文件上传功能时，有可能存在远程命令执行，导致系统被黑客入侵。恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞，进而执行系统命令。

3.本次讲座的学习感悟、思考等）

听完张健毅老师的讲座，对网络安全有了一定的了解，通过网络安全与隐私安全两个方面的相关知识的介绍以及对最后机器学习的大致了解， 有些内容由于以前本科时并没有接触过，所以不是特别明白，知识大致知道其原理，如果真的想在这一领域方向进行研究还是需要从基础的知识学起，只有掌握了其中的基础知识才能进一步了解在网络安全这方面应该如何继续深入，网络攻防一直以来是经久不衰的话题，学习网络攻防，需要有多方面的知识，涉及知识面广，多看书，多看文献才能从中了解到最新的研究现状，并找到学习的入口点。

老师在课上举出的许多例子也十分发人深思，在技术飞速发展的今天，隐私保护难上加难，许多时候在我们自己不经意间就泄露了个人信息，所以我认为，保护隐私首先要学习隐私的保护方法，利用技术手段克制技术手段。同时随着大数据、云计算的发展，我们需要学会利用数据，来不断提升技术手段。

4.最新研究现状

Network and Distributed Systems Security (NDSS) Symposium 2018

Didn’t You Hear Me? — Towards More Successful Web Vulnerability Notifications

针对于现存的安全威胁，主要由于系统中存在的诸多漏洞，攻击往往都是通过安全漏洞进行，所以，修复漏洞是一个十分必要的环节。老师在课上也介绍了许多常见的web漏洞，查阅相关资料，网络攻防的周期中0day攻击是还没有补丁漏洞，攻击者利用漏洞进行攻击。

即关注点不应仅仅局限于如何查找漏洞，更是应该找到一种快速通知漏洞给受众的方式。（文章这里是指存在漏洞易受到攻击的系统或网站的管理员，如何精确快速地通知到他们并让管理员及时采取有效的措施）

这篇论文主要研究关于漏洞通知的方式，如何进行安全通知使漏洞得到及时的修复，在以往的漏洞通知方式中，存在的问题仍然是修复不及时，这也正是最大的安全威胁。文章分析了哪些技术和人是阻碍大规模披露漏洞的，比如电子邮件中的垃圾邮件过滤、收件人缺乏信任、有意识但在修复漏洞方面犹豫不决，最终确定出未来如何改进安全通知的方式。

作者通过大规模地群发全自动邮件、不同沟通渠道手动通知等方式，最后进行匿名调查，总结出的如何进行更加有效的安全漏洞通知的方式的报告。

在利用电子邮件通知漏洞的时候，最好的方式是用WHOIS技术联系管理员是当下最有效的方法。在对比了手动通知会消耗的人力物力、设立基础架构以大规模检测漏洞的方式等给前端加载的费用问题、全自动化方法产量不理想等，现下最有效的方式仍然是发送邮件，在WHOIS技术的支持下，建立良好的信任和相互合作关系。

通过这篇论文，我能够知道的是随着大量应用的出现，应用中大规模漏洞的披露也很多，针对漏洞的及时修复至关重要，现在有很多工具能够方便地发现系统存在的漏洞，所以如何能够快速通知管理员及时修补漏洞是提升整体系统安全的重要方法。

Network and Distributed Systems Security (NDSS) Symposium 2018

Synode: Understanding and Automatically Preventing Injection Attacks on Node.js

关于注入攻击老师上课也讲了很多，于是我找了一篇关于注入攻击的论文，这篇论文的主旨是理解并在NODE.JS上执行JavaScript代码所带来的注入攻击危害，通过自动化手段抵御注入攻击。本文介绍了一项涵235,850的大规模研究Node.js模块用于探索注入漏洞。并提出了我一种自动缓解技术Synode，它结合了静态分析和运行时实施
安全策略如何安全使用易受攻击的模块办法。关键的想法是静态计算模板传递给易于注入的API的值，并从中综合基于语法的运行时策略这些模板。

Node 是一个让 JavaScript 运行在服务端的开发平台，它让 JavaScript 成为与PHP、Python、Perl、Ruby 等服务端语言平起平坐的脚本语言。 发布于2009年5月，由Ryan Dahl开发，实质是对Chrome V8引擎进行了封装。

Node对一些特殊用例进行优化，提供替代的API，使得V8在非浏览器环境下运行得更好。Node是一个基于Chrome JavaScript运行时建立的平台，用于方便地搭建响应速度快、易于扩展的网络应用。Node 使用事件驱动， 非阻塞I/O 模型而得以轻量和高效，非常适合在分布式设备上运行数据密集型的实时应用。

JavaScript作为Web应用程序客户端最广泛使用的编程语言，其中超过90%的网站都在使用，利用其开发的服务器和桌面应用程序Node.js，移动编程甚至是操作系统……其广泛的使用得益于强大的可复用性，但可复用性也会导致新类型的漏洞和攻击变得更多，文章彻底研究了在Node.js上执行JavaScript特有的安全问题：eval API以及exec API

基本思想是：基本思想是检查所有第三方模块作为其安装的一部分并重写它们以启用本文提出的安全模式。两种策略的混合作为重写的一部分应用。

• 静态：静态地分析可能传递给易于注入的api的值。静态分析还提取一个模板，该模板描述传递给这些危险api的值
• 动态：对于静态分析不能确保没有注入的代码位置，同时提供了一个动态执行机制，在将恶意输入传递给api之前阻止它们。

2016 IEEE Symposium on Security and Privacy

Seeking Nonsense, Looking for Trouble: Efficient Promotional-Infection Detection through Semantic Inconsistency Search

文章主要介绍了Promotional infection促销感染应该如何防治，Promotional infection是指对手利用网站的弱点注入非法广告内容，检测这种感染具有挑战性，因为这种非法广告和合法广告十分相似。作者发现这种攻击往往在感染者之间产生很大的语义差距，基于语义差距开发出语义不一致性搜索，用于高效准确地检测出非法广告对顶级域名进行的注入。方法是使用自然语言处理(NLP)来识别“bad terms”，这些不相关的坏术语用于在sTLD下查询搜索引擎以查找可疑域。

促销感染是一种利用弱点的攻击一个促进内容的网站。它已被用来服务各种恶意在线活动（例如，黑帽搜索引擎优化（SEO），网站污损，假冒防病毒（AV）促销，网络钓鱼）通过各种利用渠道（例如，SQL注入，URL重定向攻击和博客/论坛垃圾邮件）。

2016 IEEE Symposium on Security and Privacy

I Think They’re Trying to Tell Me Something: Advice Sources and Selection for Digital Security

用户每天都会收到大量的数字和物理安全建议。实际上，如果实施了收到的所有安全建议，就永远不会离开家或使用互联网。相反，用户有选择地选择一些建议接受和一些（大多数）拒绝;然而，目前尚不清楚它们是否有效地优先考虑最重要或最有用的东西。如果能够从哪里以及为什么理解用户采取安全建议，可以开发更有效的安全干预措施。

作为第一步，对人口统计学上广泛的用户群进行了25次半结构式访谈。这些访谈产生了一些有趣的发现：（1）参与者根据建议来源的可信度评估了数字安全建议，但基于对建议内容的直观评估评估了物理安全建议; （2）精心设计的虚构叙事中描绘的负面安全事件具有相关的特征，可能是数字和物理安全行为的有效教学工具; （3）参与者因多种原因拒绝了建议，包括发现建议包含过多的营销材料或威胁他们的隐私。

研究结果表明，用户认为他们缺乏评估数字安全建议内容的技能，而必须依赖于在确定是否接受建议时对建议来源的可信度进行评估。他们信任的来源包括他们的工作场所，数字服务提供商，IT专业人士，家庭成员和朋友。的参与者也依赖媒体作为建议的来源，但前提是它通过了启发式可信度测试。
其次，发现用户拒绝安全建议有一些令人惊讶的原因，包括包含太多的营销信息和威胁用户的隐私感。此外，大多数参与者认为某人或其他人在至少一个数字域（例如，网上银行）中对其安全性负责。
第三，发现证据表明电视节目或电影中的负面体验的小插曲可能能够将类似经理中的行为改变为直接经历的负面体验。因此，通过进一步研究测试虚构的负面事件小插曲在安全行为变化中的功效，或许能够开发出一种新颖，高效的干预措施。

2017 Association for Computing Machinery

Towards Realistic Threat Modeling: Atack Commodification, Irrelevant Vulnerabilities, and Unrealistic Assumptions

当前的威胁模型通常考虑攻击者可以穿透系统的所有可能方式，并根据某个度量（例如，折衷时间）将概率分配给每个路径。 在本文中作者讨论这种观点如何阻碍当前威胁建模的技术（例如攻击图）和战略（例如博弈论）方法的真实性，并建议通过更仔细地观察攻击特征和攻击者环境来避开。 作者使用玩具威胁模型进行ICS攻击，以显示如何通过对攻击阶段和攻击者限制的简单分析来呈现真实的攻击实例视图。

威胁建模是指利用抽象来帮助思考风险，通过识别目标和漏洞来优化系统安全，然后定义防范或减轻系统威胁的对策的过程。现代威胁建模从潜在的攻击者的角度来看待系统，而不是防御者的观点。威胁建模可以在软件设计和在线运行时进行， 按照“需求-设计-开发-测试-部署-运行-结束”的软件开发生命周期，威胁建模在新系统/新功能开发的设计阶段，增加安全需求说明，通过威胁建模满足软件安全设计工作；如果系统已经在上线运行，可以通过威胁建模发现新的风险，作为渗透测试的辅助工作，尽可能的发现所有的漏洞。

根据文章观点，威胁建模分为两大类：漏洞和技术风险，漏洞在威胁建模中起着核心作用；战略方法，攻击者策略的模型采用了不同的视角，通常是针对目标的防御姿态。尽管采用的视角或应用场景存在多样性，但所有当前的方法都有一个共同的基本假设：攻击者可以任意选择他/她认为最大化模型分配给他或她的功能的攻击向量或序列。这会使防守者处于高压状态，防御所有漏洞。文章以ICS系统为例子建立了一个玩具威胁模型显示了一个真实的攻击实例视图。

---

以上是听完讲座后查阅资料的一些心得体会，由于本科没有过多学习过网络编程这方面的知识，感觉很多知识都不是很了解，在以后的学习中会慢慢补上，也会继续积累这方面的知识。