分類
CISSP

數據操作語言(Data manipulation language)

這個問題描述了常見的SQL注入場景,該場景採用了像1 = 1這樣的所謂“身份方程式”。攻擊者可以輸入SQL表達式來利用開發不良的後端程序的漏洞。SELECT是數據操作語言(DML)的關鍵字,是身份驗證過程中最常用的一種。
反射跨站點腳本(XSS)是XSS攻擊的一種類型,但它不會從網絡服務器下載惡意代碼/ javascript,而是提交HTTP請求,其中URL包含惡意代碼,然後該惡意代碼又被擺回到瀏覽器中。XSS通常使用惡意JavaScript,而不是SQL語句。

身份方程式作為SQL表達式
https://ithelp.ithome.com.tw/upload/images/20210430/20132160lE1NSEN4MA.png
-攻擊者將身份方程式輸入為SQL表達式(來源:Guru99

後端程序開發欠佳
https://ithelp.ithome.com.tw/upload/images/20210430/20132160KngwVSALNT.png
-後端程序開發不完善(來源:Guru99

SQL命令的類型
https://ithelp.ithome.com.tw/upload/images/20210430/20132160DghZLj4WNe.jpg
-SQL命令的類型(來源:geeksforgeeks

參考
反映的XSS
SQL注入教程:學習示例

資料來源: Wentz Wu QOTD-20210306

分類
CISSP

IPv6

IPv6節點使用本地鏈接地址(前綴為FE80 :: / 10)引導,並使用多播與DHCP服務器聯繫。它們不同於IPv4主機,後者使用默認地址(0.0.0.0)引導並使用廣播(DHCP Discover)與DHCP服務器聯繫。
https://ithelp.ithome.com.tw/upload/images/20210429/20132160luI7k5Hb5F.png
-DHCPv4操作(來源:WizNet

本地鏈接地址是使用前綴FE80 :: / 10和修改後的EUI-64格式自動配置的。
https://ithelp.ithome.com.tw/upload/images/20210429/201321609xi8V8SYH7.png
-48位MAC到64位EUI-64地址(來源:StackExchange

https://ithelp.ithome.com.tw/upload/images/20210429/2013216076gSTOipyt.png
-48位MAC地址的結構(來源:Wikipedia

以下是IBM IPv6 Introduction and Configuration的摘錄:
IPv6地址協議在RFC 4291 – IPv6地址體系結構中指定。IPv6使用128位地址而不是IPv4的32位地址。它定義了三種主要的地址類型:單播地址,多播地址和任意播地址。IPv6中沒有廣播地址。

單播地址(Unicast Address)
單播地址是分配給單個接口的標識符。發送到該地址的數據包
僅傳遞到該接口。特殊用途的單播地址定義如下:
–環回地址(:: 1)
–未指定地址(::)
–鏈接本地地址
–站點本地地址
– IPv4兼容地址(::)
– IPv4映射的地址(: :FFFF 🙂

廣播地址(Multicast Address)
多播地址是分配給多個主機上的一組接口的標識符。
發送到該地址的數據包將傳遞到與該地址對應的所有接口。
IPv6中沒有廣播地址,其功能已被多播地址取代。
指示多播範圍的4位值。可能的值為:
0保留。
1僅限於本地節點(node-local)上的接口。
2僅限於本地鏈接(link-local)上的節點。
5限於本地站點。
8僅限於組織。
E全球範圍。
F保留。

任播地址(Anycast Address)
任播地址是一種特殊類型的單播地址,分配給
多個主機上的接口。發送到該地址的數據包將被發送到具有
該地址的最近接口。路由器根據其距離的定義來確定最近的接口,例如,在RIP情況下是躍點,在OSPF情況下是鏈路狀態。
任播地址使用與單播地址相同的格式,並且與它們沒有區別。
RFC 4291 – IPv6地址體系結構當前對
任播地址規定了以下限制:
-任播地址不得用作數據包的源地址。
-任何任播地址都只能分配給路由器。

參考
RFC 2450:擬議的TLA和NLA分配規則
RFC 2737:IP版本6尋址架構
IBM IPv6簡介和配置
IPv6簡介
鏈接本地地址
了解IPv6鏈接本地地址
了解IPv6 EUI-64位地址
EUI-64
MAC地址
IEEE 802.1中的MAC地址問題

資料來源: Wentz Wu QOTD-20210305

分類
CISSP

SAML 2.0: Technical Overview

分類
CISSP

連線劫持

連線劫持(Session hijacking),是一種網路攻擊手段,駭客可以通過破壞已建立的資料流而實現劫持

資料來源:https://zh.wikipedia.org/wiki/%E4%BC%9A%E8%AF%9D%E5%8A%AB%E6%8C%81

分類
CISSP

劫持用戶會話(hijack user sessions)

https://ithelp.ithome.com.tw/upload/images/20210428/2013216012DMM1dGfX.jpg
-VLAN組(來源:Cisco Press
VLAN是一種創建其廣播域的網絡分段和隔離機制。路由器通常跨VLAN轉發節點之間的通信。中繼線是用於連接交換機和路由器的鏈接。換句話說,訪問中繼可以捕獲跨VLAN的流量。
VLAN跳變實際上是交換機欺騙。攻擊主機操縱中繼協議以通過中繼線連接到交換機。它捕獲流量並成為中間人,從而使會話劫持更加容易。
. “ IP地址欺騙最常用於拒絕服務攻擊中,其目的是以壓倒性的流量淹沒目標,並且攻擊者並不關心接收對攻擊數據包的響應。” (Wikipedia)儘管攻擊者可以使用它劫持用戶會話,但TCP序列號通常可以減輕攻擊。
ARP欺騙DNS欺騙是用於重定向或轉移流量並劫持用戶會話的常用技術。

主幹(Trunk)
. “ VLAN中繼線或中繼線是承載多個VLAN的兩個網絡設備之間的點對點鏈接。VLAN中繼將VLAN擴展到兩個或多個網絡設備上。” (思科
. “中繼端口是交換機之間的鏈接,支持與多個VLAN相關的流量的傳輸。” (思科

VLAN跳變(VLAN Hopping)
VLAN跳頻是一種計算機安全漏洞,是一種攻擊虛擬LAN(VLAN)上的網絡資源的方法。所有VLAN跳躍攻擊背後的基本概念是VLAN上的攻擊主機可以訪問通常無法訪問的其他VLAN上的流量。VLAN跳躍的主要方法有兩種:交換機欺騙和雙重標記。正確的交換機端口配置可以緩解這兩種攻擊方式。(維基百科

參考
會話劫持
IP地址欺騙
ARP欺騙
DNS欺騙
VLAN跳變

資料來源: Wentz Wu QOTD-20210304

分類
CISSP

常見攻擊(Common Attacks)

  1. 高級持久威脅(APT)
  2. 多向量多態攻擊
  3. 拒絕服務
  4. 緩衝區溢出
  5. 流動碼
  6. 惡意軟件(惡意軟件)
  7. 偷渡式下載攻擊
  8. 間諜軟件
  9. 特洛伊木馬
  10. 鍵盤記錄器
  11. 密碼破解者
  12. 欺騙/偽裝
  13. 監聽,竊聽和竊聽
  14. 輻射和“ TEMPEST ”電磁輻射的自發發射”(EMR)受到TEMPEST的監聽
  15. 肩衝浪
  16. 尾板(Tailgating)
  17. 帶(Piggybacking)
  18. 對象重用(Object Reuse)
  19. 數據剩餘
  20. 未經授權的目標數據挖掘
  21. 垃圾箱潛水
  22. 後門/活板門
  23. 維修鉤
  24. 邏輯炸彈
  25. 社會工程學
  26. 網絡釣魚
  27. 域欺騙
    網絡攻擊意在一個網站的流量重定向到另一個,假冒網站。
  28. 隱蔽通道
    未經授權的數據傳輸通道
  29. IP欺騙/偽裝
    IP欺騙是惡意的,而偽裝是網絡地址轉換(NAT)的一種特定形式,並且可以有效。
  30. 特權提升/特權升級
  31. 篡改
  32. 破壞
  33. SQL注入
  34. 跨站腳本(XSS)
  35. 會話劫持和中間人攻擊
  36. 零日漏洞利用
    零日漏洞利用是在宣布或發現網絡漏洞之後但在實施修補程序或解決方案之前發生的。

資料來源: Wentz Wu 網站

分類
CISSP

羅卡定律

羅卡定律英文Locard exchange principle, Locard’s theory),也稱羅卡交換定律,是法國法醫學家、犯罪學家埃德蒙·羅卡(Edmond Locard)創建的,其理論在於「凡兩個物體接觸,必會產生轉移現象」(with contact between two items, there will always be an exchange)。其用於犯罪現場調查中,行為人(犯罪嫌疑者)必然會帶走一些東西,亦會留下一些東西。即現場必會留下微量跡證[1]

資料來源:https://zh.wikipedia.org/wiki/%E7%BD%97%E5%8D%A1%E5%AE%9A%E5%BE%8B

分類
CISSP

OWASP SAMM

什麼是OWASP SAMM?
以下是OWASP SAMM的摘要 :
. SAMM代表軟體保障成熟度模型。
. 我們的使命是為所有類型 的組織提供一種有效且可衡量的方法, 以分析和改善其 軟體安全狀況。
. 我們想通過我們的自我評估模型來提高認識並教育組織如何設計,開發和部署安全軟件。
. SAMM支持 完整的軟體生命週期, 並且與 技術和過程無關。
. 我們建立了SAMM,使其本質上具有發展性和風險驅動性,因為沒有一種適用於所有組織的方法。

SAMM成熟度級別
SAMM將三個成熟度級別定義為目標。
https://ithelp.ithome.com.tw/upload/images/20210427/20132160HXdkoxVYeY.png
-SAMM模型結構

OWASP SAMM模型2.0
SAMM是一種規範性模型,是一種易於使用,完全定義且可測量的開放框架。即使對於非安全人員,解決方案詳細信息也很容易遵循。它可幫助組織分析其當前的軟件安全性實踐,按定義的迭代構建安全性程序,顯示安全性實踐的逐步改進,定義和評估與安全性相關的活動。
定義SAMM時要考慮到靈活性,以便使用任何開發風格的小型,中型和大型組織都可以自定義和採用它。它提供了一種方法,可以了解您的組織在實現軟件保證的過程中所處的位置,並了解為達到下一個成熟水平而建議採取的措施。
SAMM並不堅持要求所有組織在每個類別中都達到最大成熟度。每個組織都可以確定最適合和適應每個安全實踐的目標成熟度級別
資料來源:OWASP SAMM 2.0

SAMM的由來
軟件保障成熟度模型(SAMM)最初是由獨立軟件安全顧問Pravir Chandra(chandra-at-owasp-dot-org)開發,設計和編寫的。通過Fortify Software,Inc.的資助,可以創建第一稿。目前,此文件是通過Pravir Chandra領導的OpenSAMM項目進行維護和更新的。從SAMM的最初發行版開始,該項目已成為Open Web Application Security Project(OWASP)的一部分。
資料來源:OpenSAMM

Pravir Chandra(強化軟體)
Pravir Chandra是Fortify戰略服務總監,他與客戶合作建立和優化軟件安全保證程序。Pravir以其在軟件安全性和代碼分析方面的專業知識以及從業務角度戰略性地應用技術知識的能力而在業界獲得廣泛認可。在加入Fortify之前,他是Cigital的首席顧問,在那裡他領導了《財富》 500強公司的大型軟件安全計劃。在被Fortify Software收購之前,Pravir還是Secure Software,Inc.的聯合創始人兼首席安全架構師。他的書《使用OpenSSL的網絡安全》是有關通過加密和安全通信保護軟件應用程序的熱門參考。他的各種特殊項目經驗包括與開放Web應用程序安全性項目(OWASP)基金會一起創建和領導開放軟件保證成熟度模型(OpenSAMM)項目。此外,普拉維爾目前還是OWASP全球項目委員會的成員。
資料來源:CMU-SEI

OWASP SAMM版本
OWASP SAMM版本2 –公開發布
OWASP SAMM v2.0於2020年2月11日星期二發布
OWASP SAMM v1.5發布,2017年4月13日
OWASP SAMM v1.1發布,2016年3月16日
OpenSAMM的原始版本,2009年3月25日

參考
成熟度模型
OWASP SAMM v2.0發布
OpenSAMM項目

資料來源: Wentz Wu 網站

分類
CISSP

系統開發生命週期(SDLC)- 設計隱私

歐洲GDPR設計,這就要求隱私被考慮納入隱私貫穿整個設計過程。(維基百科)隱私影響分析甚至在開始階段進行的前一個工程項目啟動,如圖所示NIST SDLC。
https://ithelp.ithome.com.tw/upload/images/20210426/20132160EbM1u3vwC8.jpg
-NIST SDLC和RMF

威脅建模(Threat Modeling)
在系統工程的背景下,威脅建模可被視為專門的風險管理。由於存在許多威脅建模實踐和方法,人們可能會以多種方式不一致地實施它們。有人認為應在整個工程過程中進行,而大多數人則在設計階段進行。

信任但要驗證(Trust But Verify)
1987年12月8日,羅納德·裡根(Ronald Reagan)總統在INF條約上簽字後,“信任但核實”一詞被翻譯成俄語,並廣為人知。有些人將其與“零信任”相同,但其他人則不同。有人認為今天還不夠,應該用“驗證,驗證,驗證”或“零信任”代替。IMO,信任但驗證與零信任相同。

共同責任(Shared Responsibility)
共享責任是在雲計算中使用的模型,該模型定義了雲客戶與雲服務提供商之間的責任邊界。
https://ithelp.ithome.com.tw/upload/images/20210426/2013216055EuiDO1h9.png
-微軟共同責任模式

參考
設計隱私
威脅模型
信任但要驗證
IS審核基礎知識:信任,但要驗證
信任但核實:軍備控制條約和其他國際協議中的信息生產
信任,但驗證…為您的數據中心保護遠程監控
3家不信任“信任但驗證”的網絡安全公司
“信任但要驗證…”
零信任網絡安全–信任但要驗證!
與其說是“信任,而是要驗證”,不如說是“零信任”
當“信任但不能驗證”還不夠時:零信任世界中的生活
信任但要驗證:為什麼網絡安全對建築承包商很重要
共同責任模式解釋
共同責任模式
雲中的共同責任
吻原理

資料來源: Wentz Wu QOTD-20210303

分類
CISSP

CIA安全目標

曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而,FISMA和FIPS 199明確而準確地區分了兩者。

以下幻燈片是 FIPS 199 中有關安全目標的摘錄,該摘錄與 FISMA 一致:
https://ithelp.ithome.com.tw/upload/images/20210423/20132160A5qQHjWQ5Y.jpg
-CIA作為安全目標

完整性
以下是 FISMA 中有關完整性的摘錄:
‘防止不當的資訊修改或破壞,包括確保資訊不被否定和真實性。。。。。。'[44 U.S.C., Sec. 3542]]

可用性
可用性是關於’確保及時和可靠地訪問和使用資訊。。。'[44 U.S.C., SEC. 3542
FIPS 199 寫道:「可用性損失是資訊或資訊系統訪問或使用中斷。

數據消毒方法
‘銷毀’是 NIST SP 800-88 R1 中引入的數據消毒方法,而’破壞’是一種可以’破壞’介質的技術(例如破壞性技術)。然而,破壞性技術通常可以’摧毀’媒體,但他們不能保證媒體可以完全摧毀。
破壞(Destroy)、破壞(destruction)和破壞( disruption )可能具有類似的含義,但它們可能在各種上下文中提及不同的東西。

資料來源: Wentz Wu QOTD-20210302