摘要:
第5章 应用安全
通过第五章的自学学习,我学到了:
早期应用系统结构:客户/服务器模式
目前的应用系统结构:三层客户/服务器结构
针对SQL漏洞防护手段:参数类型检测,参数长度检测,危险参数过滤,参数化查询
int intval:通过使用指定的进制base转换(默认是十进制),返回变量var的integer数值。
bool is_numeric:检测变量是否为数字或数字字符串,但此函数允许输入为负数和小数。
ctype_digit:检测字符串中的字符是否都是数字,负数和小数检测不通过。
黑名单过滤:将一些可能用于注入的敏感字符写入黑名单中,如'(单引号)、union、select等,也可使用正则表达式进行过滤,但黑名单可能会有疏漏。
白名单过滤:指接收已记录在案的良好输入操作,比如用数据库中的已知值校对。
GPC过滤:对变量默认进行addslashes(在预定义字符前添加反斜杠)。
恶意文件上传的原因:文件上传时检查不严,文件上传后修改文件名时处理不当,使用第三方插件时引入。
文件上传漏洞常见防护手段:系统开发阶段的防御,系统运行阶段的防御,安全设备的防御
跨站脚本攻击(Cross Site Scripting ,XSS):指攻击者利用网络程序对用户输入过滤的不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
XSS是常见的Web应用程序安全漏洞之一。XSS属于客户端攻击,受害者是用户。(包括网站和服务器的管理人员)。
XSS的分类
反射型XSS
反射型XSS将用户输入的数据直接或未经过完善的安全过滤就在浏览器中进行输出,导致输出的数据中存在可被浏览器执行的代码数据。
存储型XSS
存储型XSS是指Web应用程序会将用户输入的数据信息保存在服务器端的数据库或其他文件形式中。网页进行数据查询展示时,会从数据库中获取数据内容,并将数据内容在网页中进行输出展示,因此存储型XSS具有较强的稳定性。
基于DOM的XSS
基于DOM的XSS是通过修改页面DOM节点数据信息而形成的XSS。不同于反射型XSS和存储型XSS,基于DOM的XSS往往需要针对具体的JavaScript DOM代码进行分析,并根据实际情况进行XSS的利用。
XSS漏洞常见的防护手段
过滤特殊字符
过滤特殊字符的方法又称作XSS Filter,其作用就是过滤客户端提交的有害信息,从而防范XSS攻击。
使用实体化编码
在测试和使用的跨站代码中几乎都会用到一些常见的特殊符号。
CSRF的原理
要完成一次CSRF攻击,受害者必须依次完成两个步骤:
登录受信任网站A,并在本地生成Cookie。
在不登出A的情况下,访问危险网站B。
CSRF的三种不同危害方式
论坛等可交互的地方:Web攻击者,网络攻击者
CSRF漏洞的常见防护手段:添加验证码,验证referer,利用token
远程代码执行漏洞的防范:禁用高危系统函数,严格过滤关键字符,严格限制允许的参数类型
恶意代码:逻辑炸弹,rootkit,木马,病毒,蠕虫,zombie, webshell
独立的恶意代码:蠕虫,zombie
具有自我复制能力的代码:病毒,蠕虫,zombie
恶意代码特点:具有恶意破坏的目的、其本身为程序、通过可执行发生作用
恶意代码的危害:破坏数据,占用磁盘存储空间,抢占系统资源,影响计算机运行速度
防范方法:
- 服务器安全设置
(1)加强对脚本文件的代码审计
(2)Web服务器通过正则表达式、限制用户输入信息长度等方法对用户提交信息的合法性进行必要的验证、过滤;使用参数化的SQL查询来代替动态拼接的SQL注入语句,完善操作日志记录和日志记录。
(3)数据库是Web应用系统的重要组成部分,使用数据库系统自身的安全性设置访问数据库权限。
2.应用安全防护
(1)Web软件开发的安全
(2)FTP文件上载安全
(3)文件系统的存储权限
(4)不要使用超级用户运行Web服务
3.控制文件上传
(1)加强对脚本文件的代码审计
(2)将应用系统的重要文件放在不同的文件夹中,通过设置虚拟目录访问这些文件夹,尤其是上传文件,并合理设置这些文件夹的访问权限
中间件:一种独立的系统软件或服务程序,分布式应用程序借助这种软件在不同的技术之间共享资源。中间件位于客户机/服务器的操作系统之上,管理计算资源和网络通信。
企业使用中间件具有一些优势:开发的简便、开发周期的缩短
减少了系统的维护、运行和管理的工作量,还减少了计算机总体费用的投入
将不同时期、在不同操作系统上开发应用软件集成起来,彼此之间像一个天衣无缝的整体协调工作。
中间件的分类:
应用服务类中间件
这类中间件为应用系统提供一个综合的计算环境和支撑平台,包括对象请求代理(ORB)中间件、事务监控交易中间价、Java应用服务器中间件等。
应用集成类中间件
应用集成类中间件是提供各种不同网络应用系统之间的消息通信、服务集成和数据集成的功能,包括常见的消息中间件、企业集成EAI、企业服务总线以及相配套的适配器等。
业务架构类中间件
它包括业务流程、业务管理和业务交互等几个业务领域的中间件。
数据库:存储数据的“仓库”,是长期存放在计算机内、有组织、可共享的大量数据的集合。数据库技术是计算机处理与存储数据的有效技术,其典型代表就是关系型数据库。目前应用到Web系统当中的关系型数据库主要有SQL Server、MySQL、Oracle等。
对于数据库的防护方法:
需要加强像SA这样的账号的密码
对扩展存储过程进行处理
执行use master sp_dropextendedproc 'xp_cmdshell'去掉Guest账号,阻止非授权用户访问
加强对数据库登录的日志记录,最好记录所有登录事件
用管理员账号定期检查所有账号,看密码是否为空或者过于简单,如发现这类情况应及时弥补
第8章 舆情分析
通过第八章的自学学习,我学到了:
网络舆情:指在网络空间内。民众围绕舆情因变事项的发生、发展和变化,通过互联网表达出来的对公共政策及其制定者的意见。
舆情分析对政府和企业管理的重要的意义。
有些网络舆情可能影响政府形象,进行舆情监测和分析,能够及时地了解事件及舆论动态,对错误、失实的舆论进行正确的引导。
政府通过舆情监测和分析,能够掌握社会民意,通过了解社会各阶层成员的情绪、态度、看法、意见以及行为倾向,有助于对事件做出正确的判定。
对企业来说,有效地监测和分析舆情,及时地处理企业在网络上的相关影响,特别是负面影响显得尤为重要。
网络舆情的特点:表达的直接性,舆情信息在数量上具有海量性,舆情信息在内容上具有随意性和交互性,传播的迅速性,产生的突发性,舆情信息在时间上具有实时性和继承性,情绪的非理性,舆情信息在发展上具有偏差性
人们在面对一个受关注事件的时候,会经历几个阶段:关注前期,发展期,爆炸期,冷静期,冷却期
网络舆情分析方法:包括检索方法与分析方法两个部分。数据检索是网络舆情分析的准备阶段,研判是分析的核心技术环节。
机器检索:借助信息检索工具(如搜索引擎)在网络上抓取与给定关键词相关的信息,借助累加器、网址指向判断等简单的程序给出信息的来源和信息的浏览量,并可以按照用户要求进行排序和筛选(例如,按时间顺序排列和按来源筛选)。
人工检索:并不是指完全依靠人工实现信息管理,而是借助开放性工具(如商业搜索引擎)完成网络舆情分析工作。这里的“人工”主要是相对于单一机器检索而言,指以人工操作模拟搜索引擎的工作原理与方式。
舆情分析中的检索方法有以下特点:
实际操作中自主研发的检索工具使用频率不高,普通商业搜索引擎的使用率较高。
机器检索需要事先设定一个目录。
机器检索负责数据的粗检索,人工检索负责数据的精细检索。
检索的起点是关键词或者排行榜,检索的内容是信息的属性,包括转发量、点击量、评论量、传播关键点。
定量研判分析包括:舆情按区域统计分析,舆情按时间,舆情按年龄,舆情按性别,舆情按行业,舆情按性质,舆情按密度
定性研判分析包括:
舆情可信度统计研判分析
舆情价值:无价值、潜在价值、一般价值、重大价值、特大价值五个等级。
舆情等级:(严重程度),不严重、一般、严重、非常严重、特别严重;紧急程度等级,长期(可以以年为单位)、短期(月)、一般(周)、紧急(天)、立即。
舆情历史关联
舆情趋势预测
舆情转预警预测
典型的舆情分析方法
1.双层分析法
双层分析法包括传播层分析和动因层分析。
(1)传播层分析
传播者的身份特征对生产传播内容和调整传播策略具有重要的意义,因此需要进行传播者分析。
(2)动因层分析
治本还需解病因,才能真正改善社会公共治理和企业的形象,所以有必要进行动因层分析。
2.语义统计分析方法
基于语义分析的内容识别方法是舆情分析的重要方法之一。
3.情感倾向分析方法
倾向性分类主要有基于语义词典的方法和基于机器学习的无监督的方法。
4.基于Web的文本挖掘技术的分析方法
关联规则挖掘、序列模式挖掘、聚类分析和自动分类技术。
舆情分析应用:网络舆情分析系统
网络舆情分析系统通常具有下列功能:
热点话题、敏感话题识别
倾向性分析
主题跟踪
趋势分析
突发事件分析
报警系统
统计报告
大数据环境下舆情系统一般由网络舆情数据采集、数据预处理、数据聚类和舆情分析和结果呈现等模块组成。
系统管理人员根据需要为各种组及用户分配各种的使用权限。
管理主要实现对系统操作的记录,管理人员可以查看所有用户的操作的记录以及其他相关操作。
Web信息挖掘四个步骤:定位Web信息源,数据的选择与预处理,有效模式的挖掘,模式的验证分析
网络舆情监控要做到:
1)依托公开管理的职能,切实掌握网络情况,积极建立健全系统的信息数据库。
2)对于网络上的热点新闻、事件以及人物,在实现网络监控的同时,视情况可进行网下的深入调研。
3)充分利用计算机技术与网络技术,对网络舆情监控系统的信息进行深层挖掘,切实掌握维稳工作所涉及的各类网络舆情信息,注重與情的有效引导。
网络舆情监测系统的作用:及时、全面地收集舆情,分析舆情,监测结果将成为重要决策依据。