你没准备好成为安全测试员的10个迹象
成为一个安全测试人员是艰难的。它需要深度培训和专业的系统架构,计算机工程、网络理论,和人类心理学。学习这些技能需要相当多的时间,所以测试人员要真正成为一个安全大师要努力数年时间。如果你正在学习成为一个安全测试人员,这里有十个迹象表明你没有准备好:
10、你的密码出现在这个列表[注1]。
9、你的概念的社会工程[注2]是抛出一个很棒的聚会,然后找出每个人如何能有好的可能的时间。
8、你认为56位DES[注3]应该适合任何人。
7、你不能记住如果你的医生给你一个SQL注入[注4]和你的后一组接种疫苗。
6、你认为Van Eck phreaking[注5]是Armin Van Buuren[注5]的新专辑。
5、当你听到有人提到一个缓存溢出[注6],你开始寻找一个拖把。
4、你认为钓鱼式攻击[注7]也意味着被人用石头砸,去Vermont乐队演唱会。
3、当你听到OWASP(网络开源应用安全项目),你认为是一罐杀虫剂。
2、你认为跨站点脚本[注8]是一个花哨的形式的书法。
1、你担心如果私钥不公开一点,它永远不会被接受,它的朋友和公共密钥将永远是受欢迎的一个。
注1:“糟糕的密码”列表
制作密码管理应用程序的“数据飞溅”公司发布了其年度“糟糕的密码”列表,这些密码被黑客从常见的密码。排名前三的是——“password”、“123456”和“654321”——自去年以来一直没有改变。新加入的包括“Master”、“Shadow”、“football”。其他的密码有上榜和出榜的波动。
“这意味着人们甚至不改变默认的密码”,首席执行官Morgan Slain告诉TIME科技。“并不需要那么多时间去做一个新密码”。你应该为您的所有账户设置不同的密码。为了使它更容易记住他们, Slain建议考虑密码为“密码短语”。例如,使用一个短语像“狗吃骨头(dog eats bone)”和添加下划线,破折号、连字符,和其他标点符号来满足特殊字符要求:“狗_吃_骨_头!(dog_eats_bone!)”。
下面是榜单的完整列表:
注2:
社会工程为某些非容易的获取讯息,利用社会科学(此指其中的社会常识)尤其心理学,语言学,欺诈学将其进行综合,有效的利用(如人性的弱点),并终获得信息为终目的学科称为“社会工程学”。
注3:
数据加密标准(DES,Data Encryption Standard)是一种使用密钥加密的块密码,1976年被美国联邦政府的标准局确定为联邦资料处理标准(FIPS),随后在国际上广泛流传开来。它基于使用56位密钥的对称算法。这个算法因为包含一些机密设计元素,相对短的密钥长度以及被怀疑内含美国安全局(NSA)的后门而在开始时是有争议的,因此DES因此受到了强烈的学院派式的审查,并以此推动了现代的块密码及其密码分析的发展。
DES现在已经不被视为一种安全的加密算法,主要因为它使用的56位密钥过短。1999年1月,distributed.net与电子前哨基金会合作,在22小时15分钟内即公开破解了一个DES密钥。也有一些分析报告提出了该算法的理论上的弱点,虽然在实际中难以得到应用。为了提供实用所需的安全性,可以使用DES的派生算法3DES来进行加密,虽然3DES也存在理论上的攻击方法。在2001年,DES作为一个标准已经被高级加密标准(AES)所取代。另外,DES已经不再作为标准科技协会(前标准局)的一个标准。
注4:
所谓SQL注入,是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
注5:
Van Eck phreaking是指通过侦测显示器(CRT或LCD)发出的电磁辐射,来窃听其内容。Van Eck phreaking这一名字来自荷兰计算机研究员Wim van Eck,是他在1998年早发表了有关这一技术的论文,包括proof of concept。Phreaking这一词的意思是指利用电话网络的漏洞,在这里使用是因为它的意思跟窃听有关。
Van Eck phreaking有可能会威胁使用到电子投票系统的选举的安全性。这导致荷兰政府禁止在2006年的选举中使用SDU制造的NewVote电子投票机器,因为他们认为投票的信息可能被人窃听。
阿明·范·比伦(Armin van Buuren,1976年12月25日-),男,荷兰人。荷兰Trance音乐DJ及唱片制作人。2007年他在DJ Mag的年度百大票选中获选为的DJ。
注6:
缓存溢出(Buffer overflow),是针对程序设计缺陷,向程序输入缓冲区写入使之溢出的内容(通常是超过缓冲区能保存的大数据量的数据)从而破坏程序运行并取得程序乃至系统的控制权。
缓存溢出原指当某个数据超过了处理程序限制的范围时,程序出现的异常操作。造成此现象的原因有:
A、存在缺陷的程序设计。
B、尤其是C语言,不像其他一些高级语言会自动进行数组或者指针的边界检查,增加溢出风险。
C、C语言中的C标准库还具有相当一些非常危险的操作函数,使用不当也为溢出创造条件。
后因黑客在Unix的内核发现:通过缓存溢出可以获得系统的高等级权限,而成为黑客的攻击手段之一,同时有人发现相同的问题也会出现在Windows操作系统上,以致其成为黑客为常用的攻击手段,蠕虫病毒利用操作系统高危漏洞进行的破坏与大规模传播均是利用此技术。比较知名的蠕虫病毒冲击波蠕虫基于Windows操作系统的缓存溢出漏洞。
注7:
钓鱼式攻击(Phishing,与钓鱼的英语fishing发音一样,又名“网钓法”或“网络网钓”,以下简称网钓)是一种企图从电子通信中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称(自己)来自于风行的社交网站(YouTube、Facebook、MySpace)、拍卖网站(eBay)、网络银行、电子支付网站(PayPal)、或网络管理者(雅虎、互联网服务提供商、公司机关),以此来诱骗受害人的轻信。网钓通常是通过e-mail或者实时通信进行。它常常导引用户到URL与接口外观与真正网站几无二致的假冒网站输入个人数据。算使用强式加密的SSL服务器认证,要侦测网站是否仿冒实际上仍很困难。网钓是一种利用社会工程技术来愚弄用户的实例。它凭恃的是现行网络安全技术的低亲和度。种种对抗日渐增多网钓案例的尝试涵盖立法层面、用户培训层面、宣传层面、与技术保全措施层面。
网钓技术早于1987年问世,而首度使用“网钓”这个术语是在1996年。该辞是英文单词钓鱼(fishing)的变种之一[4],大概是受到“飞客”(phreaking)一词影响,意味着放线钓鱼以“钓”取受害人财务数据和密码。
注8:
Cross Site Script英文缩写:CSS又叫XSS,中文意思:跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。
