分類
CISSP

數據操作語言(Data manipulation language)

這個問題描述了常見的SQL注入場景,該場景採用了像1 = 1這樣的所謂“身份方程式”。攻擊者可以輸入SQL表達式來利用開發不良的後端程序的漏洞。SELECT是數據操作語言(DML)的關鍵字,是身份驗證過程中最常用的一種。
反射跨站點腳本(XSS)是XSS攻擊的一種類型,但它不會從網絡服務器下載惡意代碼/ javascript,而是提交HTTP請求,其中URL包含惡意代碼,然後該惡意代碼又被擺回到瀏覽器中。XSS通常使用惡意JavaScript,而不是SQL語句。

身份方程式作為SQL表達式
https://ithelp.ithome.com.tw/upload/images/20210430/20132160lE1NSEN4MA.png
-攻擊者將身份方程式輸入為SQL表達式(來源:Guru99

後端程序開發欠佳
https://ithelp.ithome.com.tw/upload/images/20210430/20132160KngwVSALNT.png
-後端程序開發不完善(來源:Guru99

SQL命令的類型
https://ithelp.ithome.com.tw/upload/images/20210430/20132160DghZLj4WNe.jpg
-SQL命令的類型(來源:geeksforgeeks

參考
反映的XSS
SQL注入教程:學習示例

資料來源: Wentz Wu QOTD-20210306

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

IPv6

IPv6節點使用本地鏈接地址(前綴為FE80 :: / 10)引導,並使用多播與DHCP服務器聯繫。它們不同於IPv4主機,後者使用默認地址(0.0.0.0)引導並使用廣播(DHCP Discover)與DHCP服務器聯繫。
https://ithelp.ithome.com.tw/upload/images/20210429/20132160luI7k5Hb5F.png
-DHCPv4操作(來源:WizNet

本地鏈接地址是使用前綴FE80 :: / 10和修改後的EUI-64格式自動配置的。
https://ithelp.ithome.com.tw/upload/images/20210429/201321609xi8V8SYH7.png
-48位MAC到64位EUI-64地址(來源:StackExchange

https://ithelp.ithome.com.tw/upload/images/20210429/2013216076gSTOipyt.png
-48位MAC地址的結構(來源:Wikipedia

以下是IBM IPv6 Introduction and Configuration的摘錄:
IPv6地址協議在RFC 4291 – IPv6地址體系結構中指定。IPv6使用128位地址而不是IPv4的32位地址。它定義了三種主要的地址類型:單播地址,多播地址和任意播地址。IPv6中沒有廣播地址。

單播地址(Unicast Address)
單播地址是分配給單個接口的標識符。發送到該地址的數據包
僅傳遞到該接口。特殊用途的單播地址定義如下:
–環回地址(:: 1)
–未指定地址(::)
–鏈接本地地址
–站點本地地址
– IPv4兼容地址(::)
– IPv4映射的地址(: :FFFF 🙂

廣播地址(Multicast Address)
多播地址是分配給多個主機上的一組接口的標識符。
發送到該地址的數據包將傳遞到與該地址對應的所有接口。
IPv6中沒有廣播地址,其功能已被多播地址取代。
指示多播範圍的4位值。可能的值為:
0保留。
1僅限於本地節點(node-local)上的接口。
2僅限於本地鏈接(link-local)上的節點。
5限於本地站點。
8僅限於組織。
E全球範圍。
F保留。

任播地址(Anycast Address)
任播地址是一種特殊類型的單播地址,分配給
多個主機上的接口。發送到該地址的數據包將被發送到具有
該地址的最近接口。路由器根據其距離的定義來確定最近的接口,例如,在RIP情況下是躍點,在OSPF情況下是鏈路狀態。
任播地址使用與單播地址相同的格式,並且與它們沒有區別。
RFC 4291 – IPv6地址體系結構當前對
任播地址規定了以下限制:
-任播地址不得用作數據包的源地址。
-任何任播地址都只能分配給路由器。

參考
RFC 2450:擬議的TLA和NLA分配規則
RFC 2737:IP版本6尋址架構
IBM IPv6簡介和配置
IPv6簡介
鏈接本地地址
了解IPv6鏈接本地地址
了解IPv6 EUI-64位地址
EUI-64
MAC地址
IEEE 802.1中的MAC地址問題

資料來源: Wentz Wu QOTD-20210305

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

劫持用戶會話(hijack user sessions)

https://ithelp.ithome.com.tw/upload/images/20210428/2013216012DMM1dGfX.jpg
-VLAN組(來源:Cisco Press
VLAN是一種創建其廣播域的網絡分段和隔離機制。路由器通常跨VLAN轉發節點之間的通信。中繼線是用於連接交換機和路由器的鏈接。換句話說,訪問中繼可以捕獲跨VLAN的流量。
VLAN跳變實際上是交換機欺騙。攻擊主機操縱中繼協議以通過中繼線連接到交換機。它捕獲流量並成為中間人,從而使會話劫持更加容易。
. “ IP地址欺騙最常用於拒絕服務攻擊中,其目的是以壓倒性的流量淹沒目標,並且攻擊者並不關心接收對攻擊數據包的響應。” (Wikipedia)儘管攻擊者可以使用它劫持用戶會話,但TCP序列號通常可以減輕攻擊。
ARP欺騙DNS欺騙是用於重定向或轉移流量並劫持用戶會話的常用技術。

主幹(Trunk)
. “ VLAN中繼線或中繼線是承載多個VLAN的兩個網絡設備之間的點對點鏈接。VLAN中繼將VLAN擴展到兩個或多個網絡設備上。” (思科
. “中繼端口是交換機之間的鏈接,支持與多個VLAN相關的流量的傳輸。” (思科

VLAN跳變(VLAN Hopping)
VLAN跳頻是一種計算機安全漏洞,是一種攻擊虛擬LAN(VLAN)上的網絡資源的方法。所有VLAN跳躍攻擊背後的基本概念是VLAN上的攻擊主機可以訪問通常無法訪問的其他VLAN上的流量。VLAN跳躍的主要方法有兩種:交換機欺騙和雙重標記。正確的交換機端口配置可以緩解這兩種攻擊方式。(維基百科

參考
會話劫持
IP地址欺騙
ARP欺騙
DNS欺騙
VLAN跳變

資料來源: Wentz Wu QOTD-20210304

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

常見攻擊(Common Attacks)

  1. 高級持久威脅(APT)
  2. 多向量多態攻擊
  3. 拒絕服務
  4. 緩衝區溢出
  5. 流動碼
  6. 惡意軟件(惡意軟件)
  7. 偷渡式下載攻擊
  8. 間諜軟件
  9. 特洛伊木馬
  10. 鍵盤記錄器
  11. 密碼破解者
  12. 欺騙/偽裝
  13. 監聽,竊聽和竊聽
  14. 輻射和“ TEMPEST ”電磁輻射的自發發射”(EMR)受到TEMPEST的監聽
  15. 肩衝浪
  16. 尾板(Tailgating)
  17. 帶(Piggybacking)
  18. 對象重用(Object Reuse)
  19. 數據剩餘
  20. 未經授權的目標數據挖掘
  21. 垃圾箱潛水
  22. 後門/活板門
  23. 維修鉤
  24. 邏輯炸彈
  25. 社會工程學
  26. 網絡釣魚
  27. 域欺騙
    網絡攻擊意在一個網站的流量重定向到另一個,假冒網站。
  28. 隱蔽通道
    未經授權的數據傳輸通道
  29. IP欺騙/偽裝
    IP欺騙是惡意的,而偽裝是網絡地址轉換(NAT)的一種特定形式,並且可以有效。
  30. 特權提升/特權升級
  31. 篡改
  32. 破壞
  33. SQL注入
  34. 跨站腳本(XSS)
  35. 會話劫持和中間人攻擊
  36. 零日漏洞利用
    零日漏洞利用是在宣布或發現網絡漏洞之後但在實施修補程序或解決方案之前發生的。

資料來源: Wentz Wu 網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

OWASP SAMM

什麼是OWASP SAMM?
以下是OWASP SAMM的摘要 :
. SAMM代表軟體保障成熟度模型。
. 我們的使命是為所有類型 的組織提供一種有效且可衡量的方法, 以分析和改善其 軟體安全狀況。
. 我們想通過我們的自我評估模型來提高認識並教育組織如何設計,開發和部署安全軟件。
. SAMM支持 完整的軟體生命週期, 並且與 技術和過程無關。
. 我們建立了SAMM,使其本質上具有發展性和風險驅動性,因為沒有一種適用於所有組織的方法。

SAMM成熟度級別
SAMM將三個成熟度級別定義為目標。
https://ithelp.ithome.com.tw/upload/images/20210427/20132160HXdkoxVYeY.png
-SAMM模型結構

OWASP SAMM模型2.0
SAMM是一種規範性模型,是一種易於使用,完全定義且可測量的開放框架。即使對於非安全人員,解決方案詳細信息也很容易遵循。它可幫助組織分析其當前的軟件安全性實踐,按定義的迭代構建安全性程序,顯示安全性實踐的逐步改進,定義和評估與安全性相關的活動。
定義SAMM時要考慮到靈活性,以便使用任何開發風格的小型,中型和大型組織都可以自定義和採用它。它提供了一種方法,可以了解您的組織在實現軟件保證的過程中所處的位置,並了解為達到下一個成熟水平而建議採取的措施。
SAMM並不堅持要求所有組織在每個類別中都達到最大成熟度。每個組織都可以確定最適合和適應每個安全實踐的目標成熟度級別
資料來源:OWASP SAMM 2.0

SAMM的由來
軟件保障成熟度模型(SAMM)最初是由獨立軟件安全顧問Pravir Chandra(chandra-at-owasp-dot-org)開發,設計和編寫的。通過Fortify Software,Inc.的資助,可以創建第一稿。目前,此文件是通過Pravir Chandra領導的OpenSAMM項目進行維護和更新的。從SAMM的最初發行版開始,該項目已成為Open Web Application Security Project(OWASP)的一部分。
資料來源:OpenSAMM

Pravir Chandra(強化軟體)
Pravir Chandra是Fortify戰略服務總監,他與客戶合作建立和優化軟件安全保證程序。Pravir以其在軟件安全性和代碼分析方面的專業知識以及從業務角度戰略性地應用技術知識的能力而在業界獲得廣泛認可。在加入Fortify之前,他是Cigital的首席顧問,在那裡他領導了《財富》 500強公司的大型軟件安全計劃。在被Fortify Software收購之前,Pravir還是Secure Software,Inc.的聯合創始人兼首席安全架構師。他的書《使用OpenSSL的網絡安全》是有關通過加密和安全通信保護軟件應用程序的熱門參考。他的各種特殊項目經驗包括與開放Web應用程序安全性項目(OWASP)基金會一起創建和領導開放軟件保證成熟度模型(OpenSAMM)項目。此外,普拉維爾目前還是OWASP全球項目委員會的成員。
資料來源:CMU-SEI

OWASP SAMM版本
OWASP SAMM版本2 –公開發布
OWASP SAMM v2.0於2020年2月11日星期二發布
OWASP SAMM v1.5發布,2017年4月13日
OWASP SAMM v1.1發布,2016年3月16日
OpenSAMM的原始版本,2009年3月25日

參考
成熟度模型
OWASP SAMM v2.0發布
OpenSAMM項目

資料來源: Wentz Wu 網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

系統開發生命週期(SDLC)- 設計隱私

歐洲GDPR設計,這就要求隱私被考慮納入隱私貫穿整個設計過程。(維基百科)隱私影響分析甚至在開始階段進行的前一個工程項目啟動,如圖所示NIST SDLC。
https://ithelp.ithome.com.tw/upload/images/20210426/20132160EbM1u3vwC8.jpg
-NIST SDLC和RMF

威脅建模(Threat Modeling)
在系統工程的背景下,威脅建模可被視為專門的風險管理。由於存在許多威脅建模實踐和方法,人們可能會以多種方式不一致地實施它們。有人認為應在整個工程過程中進行,而大多數人則在設計階段進行。

信任但要驗證(Trust But Verify)
1987年12月8日,羅納德·裡根(Ronald Reagan)總統在INF條約上簽字後,“信任但核實”一詞被翻譯成俄語,並廣為人知。有些人將其與“零信任”相同,但其他人則不同。有人認為今天還不夠,應該用“驗證,驗證,驗證”或“零信任”代替。IMO,信任但驗證與零信任相同。

共同責任(Shared Responsibility)
共享責任是在雲計算中使用的模型,該模型定義了雲客戶與雲服務提供商之間的責任邊界。
https://ithelp.ithome.com.tw/upload/images/20210426/2013216055EuiDO1h9.png
-微軟共同責任模式

參考
設計隱私
威脅模型
信任但要驗證
IS審核基礎知識:信任,但要驗證
信任但核實:軍備控制條約和其他國際協議中的信息生產
信任,但驗證…為您的數據中心保護遠程監控
3家不信任“信任但驗證”的網絡安全公司
“信任但要驗證…”
零信任網絡安全–信任但要驗證!
與其說是“信任,而是要驗證”,不如說是“零信任”
當“信任但不能驗證”還不夠時:零信任世界中的生活
信任但要驗證:為什麼網絡安全對建築承包商很重要
共同責任模式解釋
共同責任模式
雲中的共同責任
吻原理

資料來源: Wentz Wu QOTD-20210303

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

CIA安全目標

曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而,FISMA和FIPS 199明確而準確地區分了兩者。

以下幻燈片是 FIPS 199 中有關安全目標的摘錄,該摘錄與 FISMA 一致:
https://ithelp.ithome.com.tw/upload/images/20210423/20132160A5qQHjWQ5Y.jpg
-CIA作為安全目標

完整性
以下是 FISMA 中有關完整性的摘錄:
‘防止不當的資訊修改或破壞,包括確保資訊不被否定和真實性。。。。。。'[44 U.S.C., Sec. 3542]]

可用性
可用性是關於’確保及時和可靠地訪問和使用資訊。。。'[44 U.S.C., SEC. 3542
FIPS 199 寫道:「可用性損失是資訊或資訊系統訪問或使用中斷。

數據消毒方法
‘銷毀’是 NIST SP 800-88 R1 中引入的數據消毒方法,而’破壞’是一種可以’破壞’介質的技術(例如破壞性技術)。然而,破壞性技術通常可以’摧毀’媒體,但他們不能保證媒體可以完全摧毀。
破壞(Destroy)、破壞(destruction)和破壞( disruption )可能具有類似的含義,但它們可能在各種上下文中提及不同的東西。

資料來源: Wentz Wu QOTD-20210302

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

零信任的特徵

零信任
零信任是一種用於訪問控制的網絡安全範例,具有以數據為中心,細粒度,動態且具有可見性的特徵。
. 取消邊界刪除會刪除物理網絡邊界。
. XACML提供細粒度的訪問控制,例如基於風險或基於屬性的訪問控制。
. 完全調解強制執行每個請求的驗證,無論請求來自內部還是外部網絡。
零信任概念的演變
零信任的概念可以追溯到早在2003年的Jericho論壇中就討論的反邊界化概念。反邊界化提倡了消除對物理網絡分段的依賴以確保網絡安全的想法。通常認為,受防火牆保護的內部網絡比外部網絡更安全,因此內部網絡中實施的安全控制較少。但是,去周邊化並不意味著根本就不存在周邊。它可以減少對物理邊界的依賴,但是虛擬,軟件或細粒度的邏輯邊界都可以發揮作用。例如,國防信息系統局(DISA)於2007年左右推出的全球信息網格(GIG)黑芯網絡計劃引入了軟件定義的邊界(SDP)。
Forrest的John Kindervag在2010年創造了“零信任”一詞,很好地融合了這些想法。然後,雲安全聯盟(CSA)會基於GIG SDP促進和擴大對零信任的認識和採用。Google和許多大型科技公司和組織也開始了他們的零信任計劃。
由於2015年人事管理辦公室數據洩露,零信任引起了美國國會的注意。NIST隨後開始草擬零信任架構指南SP 800-207,該指南於2020年8月最終確定。
https://ithelp.ithome.com.tw/upload/images/20210422/20132160oddIWOuEhj.jpg
-零信任概念的演變

https://ithelp.ithome.com.tw/upload/images/20210422/20132160ivIm2i5O15.jpg
-零信任網絡安全範例

零信任作為訪問控制2.0
https://ithelp.ithome.com.tw/upload/images/20210422/20132160NWWo1Mq7hh.jpg
-零信任作為訪問控制2.0
https://ithelp.ithome.com.tw/upload/images/20210422/20132160iqZmRiLVfm.jpg
-訪問控制
https://ithelp.ithome.com.tw/upload/images/20210422/20132160vvpOjUBcF6.jpg
-以數據為中心的訪問控制
https://ithelp.ithome.com.tw/upload/images/20210422/20132160M7n1IAJBQs.jpg
-細粒度,動態和可見性

參考
零信任即訪問控制2.0
InfoSec台灣2020
什麼是零信任?
零信任架構(ZTA)

資料來源: Wentz Wu QOTD-20210228

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

模糊測試工具-zzuf

https://ithelp.ithome.com.tw/upload/images/20210421/20132160VDahoTMEh4.png
-圖片來源:DO SON
為了準備測試數據以驗證後端API是否暗示被測系統(SUT)是一個數據驅動的系統,該系統處理和處理傳輸,靜止和使用中的各種數據,這就是數據完整性很重要的原因。語義完整性是與用戶數據含義相關的最常見問題。例如,系統接受諸如1912/02/31或“美國得克薩斯州”之類的出生日期值是沒有意義的。甲模糊器可以生成隨機在所謂的使用的測試數據模糊測試。zzuf是最著名的模糊器之一。

作為安全經理或CISO,您不必了解內在的技術知識,但必須了解最常用的安全評估工具或實用程序。
. 網絡映射器Nmap是一個必須了解的免費安全掃描程序,它為測試人員提供靈活的參數或參數,以掃描TCP / UDP端口或IP。
. “ Nessus是Tenable,Inc.(NASDAQ:TENB)開發的專有漏洞掃描程序。”(Wikipedia
. Metasploit框架是眾所周知的工具,用於進行滲透測試以及針對遠程目標計算機開發和執行漏洞利用代碼。它是Metasploit項目的開源子項目,“ Metasploit項目是一個計算機安全項目,它提供有關安全漏洞的信息,並有助於滲透測試和IDS簽名開發。它歸馬薩諸塞州波士頓的安全公司Rapid7所有。” (維基百科
參考
zzuf:透明的應用程序輸入模糊器
zzuf –多用途模糊器
地圖
Nessus
Metasploit項目

資料來源: Wentz Wu QOTD-20210227

分類
CISSP

電子發現參考模型(Electronic Discovery Reference Model)

https://ithelp.ithome.com.tw/upload/images/20210420/20132160oh1M113SdZ.jpg
-電子發現參考模型

證人(Witnesses )和證據(evidence)決定了司法結果。及時的電子發現行動將收集證據,而健全的數據治理將確定證據是否可以接受。
. 行政調查是指對員工所謂的不當行為的內部調查。(《法律內幕》)此事件可能需要多種形式的調查,例如民事,刑事和行政調查。
. 黑客組織可能會進行現場調查,觀察,垃圾箱潛水,尾隨航行等。遵守CPTED(通過環境設計預防犯罪)原則可能有助於設施和人身安全。

審判(Trial)
經過數週或數月的準備,檢察官已準備好完成其工作中最重要的部分:審判。審判是一個結構化的過程,將案件的事實提交陪審團,由陪審團決定被告是否有罪。
庭審過程中,檢察官使用證人和證據向陪審團證明被告犯罪。以律師為代表的被告人還使用證人和證據講述了他的故事。
在審判中,法官(審判的公正人)決定向陪審團提供哪些證據。法官類似於比賽中的裁判,他們不是在一側或另一側進行比賽,而是要確保整個過程都公平進行。
資料來源:美國司法部

發現(Discovery)
“發現”是一個法律術語,指的是查找和披露可能構成訴訟證據的任何信息的預審手段。及時的電子發現是指採取法律行動,要求對手生產和提交以電子格式存儲的信息。您的對手還可能進行電子發現以要求您提供證據。
“即使不經意間也未能公開證據是犯罪,如果可以證明該組織未能故意公開證據,則處罰會更高。” (本州馬里索夫)電子發現參考模型可幫助組織與電子發現要求保持一致。
以下是常見的發現手段:

  1. 要求詢問質詢
  2. 要求出示文件和物品
  3. 入學要求
  4. 存款
    發現 是 訴訟的預審階段,在這一階段中,每一方通過民事訴訟規則 ,通過從對方和其他方獲得證據的方式,通過包括請求訊問答复,請求詢問在內的發現設備 ,來調查案件的事實。 用於文件和物品的生產,要求入場和交存。
    資料來源: HG.org

為了獲得對手擁有的信息,或者即使在其他地方也可以從對手那裡獲得的信息,也很容易從對手那裡獲得,一方可以宣誓面談另一方,這稱為證言;提出書面問題,稱為審訊;要求出示文件或其他物理證據;要求另一方進行身體檢查;並要求另一方承認與訴訟有關的事實真相。
資料來源: Feinman,Jay M.。Law 101(p。120)。牛津大學出版社。Kindle版。

停止銷毀通知,認股權證和傳票(Cease Destruction Notice, Warrant, and Subpoena)
在法律領域,術語“發現”是查找和披露可能構成證據的任何信息的概念。發現可以用於收集刑事或民事訴訟的證據。例如,當一個組織收到來自監管機構/執法實體的授權書或傳票以披露與X有關的任何信息時,或者當該組織收到原告的通知,稱該組織正在被起訴X時,該組織必須依法進行,仔細檢查所有數據,找到與X有關的材料,然後將其交付給代理商/原告。即使不經意間也沒有公開證據是犯罪,如果可以證明該組織沒有故意公開證據,則處罰會更高。
電子調查的過程甚至在調查/訴訟開始之前就已經開始;一旦組織收到通知,表示正在調查或提起訴訟(即在收到逮捕令或傳票之前),則組織必須開始進行電子發現的準備工作。該通知稱為許多事項:停止銷毀通知,記錄保留通知,訴訟保留通知,合法保留,以及類似的字詞。通知組織後,它必須停止組織中的所有數據銷毀活動。這包括法規,內部政策或其他法律規定的所有數據銷毀要求。在美國,在起訴/訴訟期間,由國會決定的聯邦證據規則將取代所有其他指示,並且該組織無法銷毀任何數據。銷毀被視為證據的數據或被認為是證據的數據被稱為“誹謗”,也屬於犯罪行為。
資料來源:馬里索,本。如何通過INFOSEC考試:通過SSCP,CISSP,CCSP,CISA,CISM,Security +和CCSK的指南(第31-32頁)。調整不良的作品。Kindle版。

電子發現(Electronic discovery)
電子發現或“電子發現”是指發現以電子格式存儲的信息(通常稱為電子存儲信息或ESI)。

證據(Evidence)
“可接納性”的概念
可接受的證據應具有相關性,實質性和能力。
基本上,如果要在法庭上接納證據,則證據必須是相關的,重要的和有能力的。要被認為是相關的,它必須具有某種合理的趨勢來幫助證明或反對某些事實。它不必確定事實,但是至少它必須傾向於增加或減少某些事實的可能性。
一旦被認定為相關證據,事實發現者(法官或陪審團)將確定適當的權重以提供特定的證據。如果提供給定的證據來證明案件中有爭議的事實,則該證據被認為是重要的。如果證據符合某些傳統的可靠性概念,則被認為是“有能力的”。法院正在通過使與證據權重有關的問題逐步減少證據的勝任力規則。
資料來源:湯森路透

舉證責任(BURDEN OF PROOF)
說服力的標準不盡相同,從 大量的證據(只有足夠的證據來彌補這一平衡)到 無可置疑的證據(例如美國刑事法院)。
資料來源: 維基百科

參考
法律證據
調查類型
什麼是民事案件中的發現?
證據:“可接納性”的概念
美國律師»司法101
發現請求和懇求準備

資料來源: Wentz Wu QOTD-20210226