作者: stevencho

這個問題描述了常見的SQL注入場景，該場景採用了像1 = 1這樣的所謂“身份方程式”。攻擊者可以輸入SQL表達式來利用開發不良的後端程序的漏洞。SELECT是數據操作語言（DML）的關鍵字，是身份驗證過程中最常用的一種。
反射跨站點腳本（XSS）是XSS攻擊的一種類型，但它不會從網絡服務器下載惡意代碼/ javascript，而是提交HTTP請求，其中URL包含惡意代碼，然後該惡意代碼又被擺回到瀏覽器中。XSS通常使用惡意JavaScript，而不是SQL語句。

身份方程式作為SQL表達式

-攻擊者將身份方程式輸入為SQL表達式（來源：Guru99）

後端程序開發欠佳

-後端程序開發不完善（來源：Guru99）

SQL命令的類型

-SQL命令的類型（來源：geeksforgeeks）

參考
. 反映的XSS
. SQL注入教程：學習示例

資料來源： Wentz Wu QOTD-20210306

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

IPv6節點使用本地鏈接地址（前綴為FE80 :: / 10）引導，並使用多播與DHCP服務器聯繫。它們不同於IPv4主機，後者使用默認地址（0.0.0.0）引導並使用廣播（DHCP Discover）與DHCP服務器聯繫。

-DHCPv4操作（來源：WizNet）

本地鏈接地址是使用前綴FE80 :: / 10和修改後的EUI-64格式自動配置的。

-48位MAC到64位EUI-64地址（來源：StackExchange）

-48位MAC地址的結構（來源：Wikipedia）

以下是IBM IPv6 Introduction and Configuration的摘錄：
IPv6地址協議在RFC 4291 – IPv6地址體系結構中指定。IPv6使用128位地址而不是IPv4的32位地址。它定義了三種主要的地址類型：單播地址，多播地址和任意播地址。IPv6中沒有廣播地址。

單播地址(Unicast Address)
單播地址是分配給單個接口的標識符。發送到該地址的數據包
僅傳遞到該接口。特殊用途的單播地址定義如下：
–環回地址（:: 1）
–未指定地址（：:)
–鏈接本地地址
–站點本地地址
– IPv4兼容地址（：:)
– IPv4映射的地址（： ：FFFF 🙂

廣播地址(Multicast Address)
多播地址是分配給多個主機上的一組接口的標識符。
發送到該地址的數據包將傳遞到與該地址對應的所有接口。
IPv6中沒有廣播地址，其功能已被多播地址取代。
指示多播範圍的4位值。可能的值為：
0保留。
1僅限於本地節點（node-local）上的接口。
2僅限於本地鏈接（link-local）上的節點。
5限於本地站點。
8僅限於組織。
E全球範圍。
F保留。

任播地址（Anycast Address）
任播地址是一種特殊類型的單播地址，分配給
多個主機上的接口。發送到該地址的數據包將被發送到具有
該地址的最近接口。路由器根據其距離的定義來確定最近的接口，例如，在RIP情況下是躍點，在OSPF情況下是鏈路狀態。
任播地址使用與單播地址相同的格式，並且與它們沒有區別。
RFC 4291 – IPv6地址體系結構當前對
任播地址規定了以下限制：
-任播地址不得用作數據包的源地址。
-任何任播地址都只能分配給路由器。

參考
. RFC 2450：擬議的TLA和NLA分配規則
. RFC 2737：IP版本6尋址架構
. IBM IPv6簡介和配置
. IPv6簡介
. 鏈接本地地址
. 了解IPv6鏈接本地地址
. 了解IPv6 EUI-64位地址
. EUI-64
. MAC地址
. IEEE 802.1中的MAC地址問題

資料來源： Wentz Wu QOTD-20210305

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-VLAN組（來源：Cisco Press）
VLAN是一種創建其廣播域的網絡分段和隔離機制。路由器通常跨VLAN轉發節點之間的通信。中繼線是用於連接交換機和路由器的鏈接。換句話說，訪問中繼可以捕獲跨VLAN的流量。
. VLAN跳變實際上是交換機欺騙。攻擊主機操縱中繼協議以通過中繼線連接到交換機。它捕獲流量並成為中間人，從而使會話劫持更加容易。
. “ IP地址欺騙最常用於拒絕服務攻擊中，其目的是以壓倒性的流量淹沒目標，並且攻擊者並不關心接收對攻擊數據包的響應。” （Wikipedia）儘管攻擊者可以使用它劫持用戶會話，但TCP序列號通常可以減輕攻擊。
. ARP欺騙和DNS欺騙是用於重定向或轉移流量並劫持用戶會話的常用技術。

主幹（Trunk）
. “ VLAN中繼線或中繼線是承載多個VLAN的兩個網絡設備之間的點對點鏈接。VLAN中繼將VLAN擴展到兩個或多個網絡設備上。” （思科）
. “中繼端口是交換機之間的鏈接，支持與多個VLAN相關的流量的傳輸。” （思科）

VLAN跳變(VLAN Hopping)
VLAN跳頻是一種計算機安全漏洞，是一種攻擊虛擬LAN（VLAN）上的網絡資源的方法。所有VLAN跳躍攻擊背後的基本概念是VLAN上的攻擊主機可以訪問通常無法訪問的其他VLAN上的流量。VLAN跳躍的主要方法有兩種：交換機欺騙和雙重標記。正確的交換機端口配置可以緩解這兩種攻擊方式。（維基百科）

參考
. 會話劫持
. IP地址欺騙
. ARP欺騙
. DNS欺騙
. VLAN跳變

資料來源： Wentz Wu QOTD-20210304

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

1. 高級持久威脅（APT）
2. 多向量多態攻擊
3. 拒絕服務
4. 緩衝區溢出
5. 流動碼
6. 惡意軟件（惡意軟件）
7. 偷渡式下載攻擊
8. 間諜軟件
9. 特洛伊木馬
10. 鍵盤記錄器
11. 密碼破解者
12. 欺騙/偽裝
13. 監聽，竊聽和竊聽
14. 輻射和“ TEMPEST ”電磁輻射的自發發射”（EMR）受到TEMPEST的監聽
15. 肩衝浪
16. 尾板（Tailgating）
17. 帶（Piggybacking）
18. 對象重用（Object Reuse）
19. 數據剩餘
20. 未經授權的目標數據挖掘
21. 垃圾箱潛水
22. 後門/活板門
23. 維修鉤
24. 邏輯炸彈
25. 社會工程學
26. 網絡釣魚
27. 域欺騙
    網絡攻擊意在一個網站的流量重定向到另一個，假冒網站。
28. 隱蔽通道
    未經授權的數據傳輸通道
29. IP欺騙/偽裝
    IP欺騙是惡意的，而偽裝是網絡地址轉換（NAT）的一種特定形式，並且可以有效。
30. 特權提升/特權升級
31. 篡改
32. 破壞
33. SQL注入
34. 跨站腳本（XSS）
35. 會話劫持和中間人攻擊
36. 零日漏洞利用
    零日漏洞利用是在宣布或發現網絡漏洞之後但在實施修補程序或解決方案之前發生的。

資料來源： Wentz Wu 網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

什麼是OWASP SAMM？
以下是OWASP SAMM的摘要 ：
. SAMM代表軟體保障成熟度模型。
. 我們的使命是為所有類型 的組織提供一種有效且可衡量的方法， 以分析和改善其 軟體安全狀況。
. 我們想通過我們的自我評估模型來提高認識並教育組織如何設計，開發和部署安全軟件。
. SAMM支持 完整的軟體生命週期， 並且與 技術和過程無關。
. 我們建立了SAMM，使其本質上具有發展性和風險驅動性，因為沒有一種適用於所有組織的方法。

SAMM成熟度級別
SAMM將三個成熟度級別定義為目標。

-SAMM模型結構

OWASP SAMM模型2.0
SAMM是一種規範性模型，是一種易於使用，完全定義且可測量的開放框架。即使對於非安全人員，解決方案詳細信息也很容易遵循。它可幫助組織分析其當前的軟件安全性實踐，按定義的迭代構建安全性程序，顯示安全性實踐的逐步改進，定義和評估與安全性相關的活動。
定義SAMM時要考慮到靈活性，以便使用任何開發風格的小型，中型和大型組織都可以自定義和採用它。它提供了一種方法，可以了解您的組織在實現軟件保證的過程中所處的位置，並了解為達到下一個成熟水平而建議採取的措施。
SAMM並不堅持要求所有組織在每個類別中都達到最大成熟度。每個組織都可以確定最適合和適應每個安全實踐的目標成熟度級別
資料來源：OWASP SAMM 2.0

SAMM的由來
軟件保障成熟度模型（SAMM）最初是由獨立軟件安全顧問Pravir Chandra（chandra-at-owasp-dot-org）開發，設計和編寫的。通過Fortify Software，Inc.的資助，可以創建第一稿。目前，此文件是通過Pravir Chandra領導的OpenSAMM項目進行維護和更新的。從SAMM的最初發行版開始，該項目已成為Open Web Application Security Project（OWASP）的一部分。
資料來源：OpenSAMM

Pravir Chandra（強化軟體）
Pravir Chandra是Fortify戰略服務總監，他與客戶合作建立和優化軟件安全保證程序。Pravir以其在軟件安全性和代碼分析方面的專業知識以及從業務角度戰略性地應用技術知識的能力而在業界獲得廣泛認可。在加入Fortify之前，他是Cigital的首席顧問，在那裡他領導了《財富》 500強公司的大型軟件安全計劃。在被Fortify Software收購之前，Pravir還是Secure Software，Inc.的聯合創始人兼首席安全架構師。他的書《使用OpenSSL的網絡安全》是有關通過加密和安全通信保護軟件應用程序的熱門參考。他的各種特殊項目經驗包括與開放Web應用程序安全性項目（OWASP）基金會一起創建和領導開放軟件保證成熟度模型（OpenSAMM）項目。此外，普拉維爾目前還是OWASP全球項目委員會的成員。
資料來源：CMU-SEI

OWASP SAMM版本
. OWASP SAMM版本2 –公開發布
. OWASP SAMM v2.0於2020年2月11日星期二發布
. OWASP SAMM v1.5發布，2017年4月13日
. OWASP SAMM v1.1發布，2016年3月16日
. OpenSAMM的原始版本，2009年3月25日

參考
. 成熟度模型
. OWASP SAMM v2.0發布
. OpenSAMM項目

資料來源： Wentz Wu 網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

歐洲GDPR設計，這就要求隱私被考慮納入隱私貫穿整個設計過程。（維基百科）隱私影響分析甚至在開始階段進行的前一個工程項目啟動，如圖所示NIST SDLC。

-NIST SDLC和RMF

威脅建模（Threat Modeling）
在系統工程的背景下，威脅建模可被視為專門的風險管理。由於存在許多威脅建模實踐和方法，人們可能會以多種方式不一致地實施它們。有人認為應在整個工程過程中進行，而大多數人則在設計階段進行。

信任但要驗證（Trust But Verify）
1987年12月8日，羅納德·裡根（Ronald Reagan）總統在INF條約上簽字後，“信任但核實”一詞被翻譯成俄語，並廣為人知。有些人將其與“零信任”相同，但其他人則不同。有人認為今天還不夠，應該用“驗證，驗證，驗證”或“零信任”代替。IMO，信任但驗證與零信任相同。

共同責任（Shared Responsibility）
共享責任是在雲計算中使用的模型，該模型定義了雲客戶與雲服務提供商之間的責任邊界。

-微軟共同責任模式

參考
. 設計隱私
. 威脅模型
. 信任但要驗證
. IS審核基礎知識：信任，但要驗證
. 信任但核實：軍備控制條約和其他國際協議中的信息生產
. 信任，但驗證…為您的數據中心保護遠程監控
. 3家不信任“信任但驗證”的網絡安全公司
. “信任但要驗證…”
. 零信任網絡安全–信任但要驗證！
. 與其說是“信任，而是要驗證”，不如說是“零信任”
. 當“信任但不能驗證”還不夠時：零信任世界中的生活
. 信任但要驗證：為什麼網絡安全對建築承包商很重要
. 共同責任模式解釋
. 共同責任模式
. 雲中的共同責任
. 吻原理

資料來源： Wentz Wu QOTD-20210303

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而，FISMA和FIPS 199明確而準確地區分了兩者。

以下幻燈片是 FIPS 199 中有關安全目標的摘錄，該摘錄與 FISMA 一致：

-CIA作為安全目標

完整性
以下是 FISMA 中有關完整性的摘錄：
‘防止不當的資訊修改或破壞，包括確保資訊不被否定和真實性。。。。。。'[44 U.S.C., Sec. 3542]]

可用性
可用性是關於’確保及時和可靠地訪問和使用資訊。。。'[44 U.S.C., SEC. 3542
FIPS 199 寫道：「可用性損失是資訊或資訊系統訪問或使用中斷。

數據消毒方法
‘銷毀’是 NIST SP 800-88 R1 中引入的數據消毒方法，而’破壞’是一種可以’破壞’介質的技術（例如破壞性技術）。然而，破壞性技術通常可以’摧毀’媒體，但他們不能保證媒體可以完全摧毀。
破壞(Destroy)、破壞(destruction)和破壞( disruption )可能具有類似的含義，但它們可能在各種上下文中提及不同的東西。

資料來源： Wentz Wu QOTD-20210302

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

零信任
零信任是一種用於訪問控制的網絡安全範例，具有以數據為中心，細粒度，動態且具有可見性的特徵。
. 取消邊界刪除會刪除物理網絡邊界。
. XACML提供細粒度的訪問控制，例如基於風險或基於屬性的訪問控制。
. 完全調解強制執行每個請求的驗證，無論請求來自內部還是外部網絡。
零信任概念的演變
零信任的概念可以追溯到早在2003年的Jericho論壇中就討論的反邊界化概念。反邊界化提倡了消除對物理網絡分段的依賴以確保網絡安全的想法。通常認為，受防火牆保護的內部網絡比外部網絡更安全，因此內部網絡中實施的安全控制較少。但是，去周邊化並不意味著根本就不存在周邊。它可以減少對物理邊界的依賴，但是虛擬，軟件或細粒度的邏輯邊界都可以發揮作用。例如，國防信息系統局（DISA）於2007年左右推出的全球信息網格（GIG）黑芯網絡計劃引入了軟件定義的邊界（SDP）。
Forrest的John Kindervag在2010年創造了“零信任”一詞，很好地融合了這些想法。然後，雲安全聯盟（CSA）會基於GIG SDP促進和擴大對零信任的認識和採用。Google和許多大型科技公司和組織也開始了他們的零信任計劃。
由於2015年人事管理辦公室數據洩露，零信任引起了美國國會的注意。NIST隨後開始草擬零信任架構指南SP 800-207，該指南於2020年8月最終確定。

-零信任概念的演變

-零信任網絡安全範例

零信任作為訪問控制2.0

-零信任作為訪問控制2.0

-訪問控制

-以數據為中心的訪問控制

-細粒度，動態和可見性

參考
. 零信任即訪問控制2.0
. InfoSec台灣2020
. 什麼是零信任？
. 零信任架構（ZTA）

資料來源： Wentz Wu QOTD-20210228

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-圖片來源：DO SON
為了準備測試數據以驗證後端API是否暗示被測系統（SUT）是一個數據驅動的系統，該系統處理和處理傳輸，靜止和使用中的各種數據，這就是數據完整性很重要的原因。語義完整性是與用戶數據含義相關的最常見問題。例如，系統接受諸如1912/02/31或“美國得克薩斯州”之類的出生日期值是沒有意義的。甲模糊器可以生成隨機在所謂的使用的測試數據模糊測試。zzuf是最著名的模糊器之一。

作為安全經理或CISO，您不必了解內在的技術知識，但必須了解最常用的安全評估工具或實用程序。
. 網絡映射器Nmap是一個必須了解的免費安全掃描程序，它為測試人員提供靈活的參數或參數，以掃描TCP / UDP端口或IP。
. “ Nessus是Tenable，Inc.（NASDAQ：TENB）開發的專有漏洞掃描程序。”（Wikipedia）
. Metasploit框架是眾所周知的工具，用於進行滲透測試以及針對遠程目標計算機開發和執行漏洞利用代碼。它是Metasploit項目的開源子項目，“ Metasploit項目是一個計算機安全項目，它提供有關安全漏洞的信息，並有助於滲透測試和IDS簽名開發。它歸馬薩諸塞州波士頓的安全公司Rapid7所有。” （維基百科）
參考
. zzuf：透明的應用程序輸入模糊器
. zzuf –多用途模糊器
. 地圖
. Nessus
. Metasploit項目

資料來源： Wentz Wu QOTD-20210227