移动互联时代的网络安全讨论

myworkstation

获奖名单已公布：http://bbs.chinaunix.net/thread-4174435-1-1.html


话题背景

当下网络无处不在，移动互联网的发展如火如荼，wifi的安全、服务器的网络安全对许多人来讲也是生活和工作中不可或缺的一环。大多数IT从业人员应该都听说了“蹭网神器”之类的产品，在其早期就是以“渗透测试工具”的面目出现。而家里的wifi被人“蹭网”了也时有发生；公司服务器被恶意攻击也是司空见惯；当你的生活与工作每天都与网络产生交集时你对网络安全怎么看？大家可以就移动互联网时期的网络安全问题畅所欲言。

讨论话题

1、学习网络安全的实用性和好处？

2、你在进行网络相关的开发时是否考虑过网络安全问题？

3、你对网络安全的认识是什么样的？是否与时俱进的在同步你的网络安全认识？

4、你在实际的生活和工作中遇到多少网络安全引发的问题？

讨论时间
2015-03-27至2015-04-12


活动奖励
活动结束后将选取4名讨论精彩的童鞋，每人赠送一本《Kali Linux渗透测试技术详解》作为奖励。


奖品简介

作者： 杨波     
出版社：清华大学出版社
出版日期：2015 年3月
开本：16开
页码：311
版次：1-1


内容简介

本书由浅入深地介绍了Kali Linux的各种渗透测试技术。书中选取了最核心和最基础的内容进行讲解，让读者能够掌握渗透测试的流程，而不会被高难度的内容所淹没。本书涉及面广，从基本的知识介绍、安装及配置Kali Linux，到信息收集和漏洞扫描及利用，再到权限提升及各种渗透测试，均有涉及。

样章试读
第1章.pdf (4.03 MB, 下载次数: 165)

2015-03-27 14:40 上传

点击文件名下载附件

第2章.pdf (5.52 MB, 下载次数: 185)

2015-03-27 14:40 上传

点击文件名下载附件

蛮多肉

1、学习网络安全的实用性和好处？
     
     网络安全，从网络诞生那一刻起，就是一个不得不面对的问题。

     和人一样，网络也有两面性。

     如果说，好好做人，是得理解真善美，

     那要好好做网络，就得学习网络安全。
   
     由此可见网络安全的重要性，是不言而喻的。

     学习网络安全的实用性和好处，在做网络的过程中，你会充分体验到

     没有网络安全，那在网络里是寸步难行的。

2、你在进行网络相关的开发时是否考虑过网络安全问题？

     我在开发，s-c模式的网络应用时，总是尽量把网络安全是放在首位的

     现在虽然有着众多的加密方法，可以保护数据包，即使被拦截，也无法迅速快捷的破解

     但那只是假设，破解方没有充足计算资源的前提下

     是的，我在这里要说句实话，没有无法破解的数据包，只是花多少时间来破解而已。

     所以，我不建议，高机密的信息，用任何形式的网络传播

    不是我悲观，是现实不容乐观

3、你对网络安全的认识是什么样的？是否与时俱进的在同步你的网络安全认识？
     
     网络安全防范的具体细节，这里就不一一称述了。本质上的原理和一些民用初级的加密软件类似

     比如斯诺顿常用的GPG，之类。

     都是把数据，通过一种或几种形式，传播，然后再通过一种或几种形式接受，并确保这个过程在可控和非可控的部分，都安全，可靠！

     也许我是悲观的，我直到现在，都是觉得。

     这只是一个道高一尺魔高一丈的游戏模式，有人说他是智力竞赛，我更倾向于说，这是体力活，因为他们无论技术形式上怎么变，本质上是不变的

    那就是，没有绝对破解不了的技术，也没有绝对能破解得了的技术

     是的，没有哪个矛，也没有哪个盾！

4、你在实际的生活和工作中遇到多少网络安全引发的问题？

     很庆幸，我身边有一些，热衷于网络安全的伙伴，他们年龄层分布差异很大，有几个年纪相差已超过25岁.
  
     现在比较热门的无线支付安全问题，在这里，就不谈了，因为它不是一个网络安全新问题，只是换了个传输模式。

     接触网络安全时间越长，你越会发现

    很多所谓的新问题，都是些老问题，只是新瓶装老酒

    有的时候，更多的是，老瓶装老酒

    至于，新瓶新酒，老瓶新酒，那还真是不多见

    不得不说，有时候，真的还是有些期待，那些真的新问题出现

    道要高一丈，现实里还是需要魔高一尺来刺激下的


总结：楼主，那本书，要是可以寄给我的话，记得短消息我一下

action08

感觉这书蛮神秘的，安全问题真是够复杂的

oyzx_sp

好活动，支持！

liyaweihesmz

回复 2# 蛮多肉


    1、学习网络安全的实用性和好处？

学校网络安全的好处，还有就是可以保证自己计算机中机密信息的安全，避免使自己的计算机处于被侵害状态。

liyaweihesmz

回复 3# action08


    确实是。

liyaweihesmz

回复 4# oyzx_sp

forgaoqiang

Kali  BT Linux

woxizishen

支持一下.
1.楼主所说的蹭网更多安全问题是因为现在大多数家用甚至企业路由器硬件厂家，在加密协议这块太弱了，都是一个模子套出来的，除了WEP/WPA/EAP就是中国自己出的WAPI，就没有破解不了的。如果密码设的简单，破起来是分分钟功夫，现在网上所谓的万能钥匙以及其他破解wify密钥的，基本上是很多黑客嗤之以鼻不会使用的字典破解，更高级的密码学专家是从算法上破解，那速度是相当的快。鬼佬有一个网站能够破解各种密钥，直接从算法破解，支付美元，你用抓包工具抓取的加密数据包发过去,立马给你破解，而国内有一个破解各种密钥网站，号称世上存放了最大的字典容量，破解方法就不说他了，就这速度，你老人家得有耐心啦，毕竟他免费的，你就别奢求了。

ylky_2000

2015-03-30 全手写内容
这个活动一定要参加，最近正在学习这个方面，资料来自互联网，了解了跨站、sql注入、cmd5解密、提权等，对网络安全的认识逐渐加深，安装了BT5R2-GNOME-VM。
1、学习网络安全的实用性和好处？
      这个是我学习这个知识的动力。主要是公司业务发展需要，公司不少业务开始放公网，类似saas的业务应用开始增多，办公的app也上线了，必须必须从一个被动的被攻击者变成一个主动发现漏洞的主动者。这些就是适用性。
     好处呢:扩大知识结构，保障企业的业务安全稳定运行。
2、你在进行网络相关的开发时是否考虑过网络安全问题？
    有考虑过。关于安全考虑的一般的流程如下：开发人员提交代码和测试环境-》网络安全人员（就是我们）用各种业界知名的工具进行扫描测试找出漏洞-》将报告发送给开发针对优化漏洞点。实际上我们扮演了软件测试人员的角色，只是侧重在网络安全这个点上。
   以上是研发流程上的安全措施。在架构上我们也开始有所动作。比如最典型的是，web前台页面以前都是采用http的方式访问，后来我们利用nginx的强制跳转到https的方式访问。大家也可以看到baidu的搜索首页也是自动转到https://www.baidu.com 从一个侧面也反映了我们的这个思路是正确的。
3、你对网络安全的认识是什么样的？是否与时俱进的在同步你的网络安全认识？
    我对网络安全的认识是：
   1）要求非常全面：这是个与人斗、与天斗的行业，对网络安全人员的知识结构要求十分全面，比如脚本的能力、代码的书写能力、数据库语句的能力
、网络基本功、linux系统、windows服务器各个版本、cmd命令行、网络安全各种工具（扫描工具nmap等、漏洞利用工具sqlmap等）等，还有社会工程学的知识。
2）道德素质要求高：黑客 红客 白帽子等。。我个人最佩服白帽子。
  3）安全无处不在：除操作系统本身的补丁不全漏洞、数据库注入漏洞、跨站攻击漏洞、甚至集成的运行环境、代码本身的漏洞等都是可以怀疑的地方。。。
   同步网络安全知识：有的，订阅了像“乌云网”白帽子社区，会经常看里面的案例，关注的最多的是sql注入和文件上传这块。包括业界最新的网络安全消息，如最近的心血漏洞、strust2的版本漏洞、海康卫视视频终端的默认密码、最新的思科的版本漏洞等等。记得刚开始学习的时候之前的xp系统蓝屏漏洞还测试重现过。
4、你在实际的生活和工作中遇到多少网络安全引发的问题？
    举例吧：
1）弱口令  我们的防火墙设备口令比较弱，一般大家都知道防火墙习惯用admin帐号，密码最初上线的时候不太习惯修改都是使用默认的。就被人利用过；
  2）文件上传漏洞,导致被提权 我们有个报名系统，由于tomcat版本过低+strust版本有漏洞，被人上传了jspspy提权脚本，可以远程执行，导致数据库被插入了非法数据，造成了极坏的影响；
  还有其他一些吧。

2015-03-31
1、网友补充：说arp攻击，确实我们之前也遇到过，导致整体网络瘫痪，防御也简单，绑定好arp表即可。
2、补充案例：以前大部分的soho家庭的路由器，存在配置文件没有加密的情况导致，宽带帐号密码明文记录。不过这个有个好处是你忘记了宽带帐号密码了，可以直接用记事本打开保存的配置文件，里面就明文记录了帐号密码。

2015-04-01
深信服发表了一篇关于最近10086伪基站获得用户信息和网银密码的文章。大家有兴趣可以找一找了解下。
其实还是很low的，就是钓鱼网站而已。这个倒不怕，最怕的是钓鱼的手机app，确实很难判断。