0002 安全问题的根源

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了0002 安全问题的根源相关的知识,希望对你有一定的参考价值。

0002 安全问题的根源

1. 全面把握安全,不要追求局部片面的安全

不得不说的是,要想在安全行业有所造诣。所要学习的知识面是非常广的,安全不是片面的,虽然从某个方面看上去你的系统是安全的,但是其他方面呢?有句话是这么说的,一颗老鼠屎能搅坏一锅汤。安全更是如此,对于一个系统,知道有一个小小的地方出现安全漏洞,就能被黑客利用,从而使整个系统遭到破坏。正所谓没有绝对安全的系统,所以我们在对待安全这个事情上,是要全面把握系统的整体结构,从各方面去了解系统的安全性。作为渗透测试这,我们更应该全面分析系统的安全,尽量把所有情况都考虑到,最大限度的挖掘系统的漏洞,不要满足于在某个方面发现了重大安全漏洞。

2. 开发功能的时候只追求功能的实现,没有考虑到安全隐患

安全问题的来源之一就是开发人员只追求功能的实现,从来没有考虑到安全的问题,或者说是完全没有安全的意识。在国内,这种现象是非常普遍的。在开发者的眼中,只要功能实现了就万事大吉,其实不然。要想从根源上解决安全问题,对于开发者,不仅要实现功能,还要考虑到程序的健壮性,能不能子啊各种场景下都能正常工作,有没有权限问题,普通用户是否能看到root用户的数据等。meltdown 漏洞就是很好的例子,用户空间的程序能够看到内核空间的数据,这是多么恐怖的事情。Linux 内核开发的那帮人,他们的水平很高了吧,尚且出现这么严重的安全问题,那么作为普通的开发者,难道开发的程序就没有这样的问题吗?所以要想从根源上解决安全问题,是需要提高开发者的能力,在完成功能的同时考虑到存在的安全隐患。

3. 最大的威胁--人的欲望

没有买卖就没有×××,国家严令禁止捕杀藏羚羊,但是每年还是有很多藏羚羊死在猎人的枪下。加入没有人会去买,没有人想去吃,那么怎么会有人去卖,又怎么会有人踩着法律的准线去猎杀藏羚羊呢?安全行业也是如此,之所以漏洞会被爆出来,是黑产中利益链上的人的欲望,想要不劳而获的人还是太多,想要通过不正当手段获得利益的人也很多。人的欲望不止,就永远会存在安全问题,总有人会想着搞破坏,盗取本不属于自己的东西。所以作为新时代的我们,在这样的大环境下,能通过互联网获取到知识,学习安全相关的知识,就要时刻保持一颗纯洁的心,君子爱财,取之有道,不要去触碰法律的准绳。

4. 信息安全需要达到的目标

信息安全的目标是在被攻击之前就把所有的漏洞堵上,不让有 不良欲望的人有机可乘。要到达这个目标,一般通过下面这两种方法去实现。

4.1. 防护型安全

对于防护性安全,在企业的运维岗上工作的人应该是有很大的感触,每天查看服务器的日志,找到不正常的流量,从中获取是否存在攻击,如果有,那就采取相应的措施去修复。防止被再次攻击。防护性攻击虽然能很快定位到系统出现漏洞的地方,但是这种策略本身就是不安全的,等到别人攻击你了,再去采取相应的措施,会不会是亡羊补牢,为时晚矣!所以这种手段应该是备选方案。

4.2. 攻击型安全

攻击性安全是安全维护人员自己扮演攻击这的身份,向自己维护的系统发起各种攻击,从中找到系统的漏洞,进而修复漏洞,防范于未然。这对安全从业人员的要求就又要高了一个台阶,不仅需要懂得如何去防护,还要懂得怎么去攻击。但是只要坚持这么做,久而久之,安全从业人员也会具备和攻击者一样的能力,这就是所谓的白帽子黑客,与黑帽子黑客最大的区别就是能保持自己的准则,从不触碰法律的界限。

5. 渗透测试的思路

渗透测试就是在没被攻击之前找到系统的漏洞,其思路就是自身扮演攻击者的角色攻击自己的系统,从而找到系统的漏洞。

5.1. 以攻击者的身份发现系统安全漏洞

要想以攻击者的身份发现系统的漏洞,就必须把自己对系统的控制权限全部放弃,安全当成自己第一次接触这个系统。利用各种信息收集的方法获取系统的信息,从而开始进一步的渗透测试。

5.2. 只需要证明安全问题的存在,不要搞破坏

作为渗透测试者,只需要找到系统存在的安全漏洞即可,不要利用漏洞去攻击,让系统遭到破坏。

6. 渗透测试者的个人操守

作为一个渗透测试者,必须要有自己的道德操守,不要利用渗透测试过程中取得的漏洞信息去做灰色产业。

6.1. 道德约束

还是那句话,君子爱财,取之有道。不要被一时的利益冲昏了头脑,否则突破道德的底线,没有道德的约束,终将走上一条不归路。

6.2. 法律约束

网络信息安全国家是有法律约束的,所以不要去触碰法律的底线。我国新版网络信息安全法自 2017 年 6 月 1 日起施行,下面是网络信息安全法中的部分内容。

第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

第六十三条 违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。

以上是关于0002 安全问题的根源的主要内容,如果未能解决你的问题,请参考以下文章

追溯苹果Xcode幽灵入侵根源:安全防线究竟出了什么问题?

网站安全证书过期了怎么办?

web前后端安全问题

你该搞清楚的体系化安全思维

独家令京东栽了跟头的struts是什么?一文看懂数据泄露根源

镜像安全扫描建设指南-用户篇