分類
CISSP

什麼是會話劫持?如何預防?(WHAT IS SESSION HIJACKING AND HOW TO PREVENT IT?)

會話是Internet通訊的重要組成部分,大部分都是基於Web的。會話劫持是通過利用活動的Web會話進行的Web攻擊。會話是兩個計算機系統之間進行通信的時間段。Web服務器需要身份驗證,因為通過網站進行的每個用戶通信都使用多個TCP / IP通道。

身份驗證的一種常見形式始終是使用用戶名和密碼,它們通常是預定義的。身份驗證成功後,Web服務器將會話令牌發送給用戶,然後將其存儲在啟用會話的用戶計算機中。會話ID可以作為cookie存儲在HTTP標頭或URL中。

會話劫持如何工作?

當入侵者通​​過劫持或竊取用於在大多數網站上維護會話的HTTP cookie來利用受到威脅的活動會話時,就會發生會話劫持。另一種方法是通過預測活動會話,以在未經檢測的情況下獲得對遠程Web服務器中信息的未授權訪問,因為入侵者使用了特定用戶的憑據。會話令牌或HTTP標頭可以通過多種方式進行洩露和操縱,包括:

  • 會話嗅探:當Web服務器和用戶之間存在未加密的通信,並且會話ID以純文本形式發送時,嗅探可用於劫持會話。因此,如果入侵者正在監視網絡,則他或她可以獲取會話ID,然後他們可以使用該會話ID自動向Web服務器進行身份驗證。在監視網絡時,可以使用符合道德規範的黑客工具(例如Wireshark和Kismet)從網絡捕獲敏感數據包(例如會話ID)。
  • 跨站點腳本(XSS):OWASP將跨站點腳本命名為十大Web應用程序安全風險之一。服務器可能容易受到跨站點腳本攻擊的攻擊,從而使攻擊者能夠從用戶端執行惡意代碼,從而收集會話信息。攻擊者可以鎖定受害者的瀏覽器為目標,並發送腳本化的JavaScript鏈接,該鏈接在用戶打開後會在瀏覽器劫持會話中運行惡意代碼。

會話劫持對策

使用安全的HTTP或SSL在用戶瀏覽器和Web服務器之間進行端到端加密,以防止未經授權訪問會話ID。VPN也可以用於加密所有內容,而不僅僅是使用個人VPN解決方案工具對網絡服務器的流量進行加密。

Web服務器可以生成長而隨機的會話cookie,從而減少了對手猜測或預測會話cookie可能是什麼的機會。

會話ID監視器還可以用於監視是否正在使用這些ID,並且可以使用諸如Blacksheep之類的實用程序將偽造的會話ID發送到網絡並監視入侵者是否正在嘗試使用該會話ID。

如果會話終止使用,應該自動註銷,並且應該要求客戶端使用其他會話ID重新進行身份驗證。另外,可以指示服務器從客戶端計算機中刪除會話cookie,以最大程度地減少會話cookie在網絡中暴露的時間。

如何成為一名道德黑客

成為一名合格的道德黑客(CEH)當然不是一件容易的事。本課程將使您沉浸在Hacker Mindset中,以便您能夠防禦將來的攻擊。在完成“道德認證黑客”培訓後,您將已掃描,測試,黑客攻擊並保護了自己的網絡和系統。有了這些知識,您就可以使組織放心,因為他們知道當今最大和最嚴峻的網絡犯罪分子的網絡更加安全。

資料來源:https://blog.eccouncil.org/what-is-session-hijacking-and-how-to-prevent-it/

分類
CISSP

身份驗證,授權和會計(authentication, authorization, and accounting (AAA))Part II

通過審核(查看日誌)來跟踪“誰做了什麼”來確定或確定責任制。記帳記錄“已完成的工作”,而身份驗證則標識並驗證“誰做了”。不管活動是否被授權,都應記錄或記錄該活動,如下圖/ OSG問題所示。
但是,懲罰措施是基於責任確認後的授權。授權的行為將不會受到懲罰,而未經授權的行為將受到懲罰。
https://ithelp.ithome.com.tw/upload/images/20210322/20132160nbDFTCEet3.jpg
-圖片來源:CISSP官方學習指南(OSG)在線測試銀行

定義不一致(Inconsistent Definitions)
此問題旨在促使AAA,身份驗證,授權和計費的定義保持一致。用“審計”或“問責制”代替“會計”的最後一個“ A”並不少見。我強烈建議使用“會計”,因為無法進行審計,並且如果不進行會計就無法得出問責制。我的帖子《另一個AAA》也談到了這個問題。
無論我們從字面上解釋它還是將其與NIST詞彙表或RFC等權威資料進行比較,官方學習指南(OSG)中對審計和會計的以下描述在邏輯上都是不合理的。
審核記錄與系統和主題相關的事件和活動的日誌記帳(也稱為問責制)審核日誌文件以檢查合規性和違規性,以使主題對其行為負責

斯圖爾特(James M.)查普,邁克;吉布森,達里爾。CISSP(ISC)2認證的信息系統安全專業人士官方學習指南(Kindle位置1737-1739)。威利。Kindle版。

會計(Accounting)
在財務會計中,“會計是記錄與業務有關的財務交易的過程。會計過程包括匯總,分析這些交易並將其報告給監督機構,監管機構和稅收實體。”(investopedia)
在IT中,記帳是“出於趨勢分析,審計,計費或成本分配目的而收集有關資源使用情況的信息的行為。” (RFC 3539)
簡而言之,會計跟踪活動並記錄日誌。審計跟踪是用於審計的相關日誌的集合,或“按時間順序的記錄,用於重建和檢查與安全相關的事務(從開始到最終結果)中圍繞或導致特定操作,過程或事件的活動順序。” (CNSSI 4009)

稽核(Auditing)
稽核是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (CNSSI 4009)
問責制是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (CNSSI 4009)

驗證(Authorization)
驗證請求的身份的行為,它是來自相互已知的名稱空間的預先存在的標籤形式的消息,它是消息的始發者(消息身份驗證)或通道的端點(實體身份驗證)。(RFC 3539)

授權(Authorization)
確定特定權利(例如對某些資源的訪問權)是否可以授予特定憑證的提交者。(RFC 3539)
參考
基於風險的稽核
什麼是會計?
RFC 3539:身份驗證,授權和會計(AAA)傳輸配置文件
RFC 2866:RADIUS記帳

資料來源: Wentz Wu QOTD-20210211

分類
CISSP

另一個AAA(Yet Another AAA)-AAA Part I

https://ithelp.ithome.com.tw/upload/images/20210322/20132160OMRGiJWT0v.jpg
訪問控制機制
通常通過三種機制來管理或控制訪問:身份驗證,授權和會計(AAA)。
. 身份驗證是“驗證用戶,進程或設備的身份的過程,通常將其作為允許訪問信息系統中的資源的先決條件”。(FIPS 200)
識別是主體聲明或聲稱具有身份以便身份驗證過程可以繼續進行的過程。
. 授權是“驗證請求的操作或服務是否已批准用於特定實體的過程。” (NIST SP 800-152)
. 會計是記錄主題和對象活動的條目或日誌的過程,就像保留財務會計日記帳一樣。

會計,審計和問責制(又是AAA)
日誌是會計的工作成果。可以通過查看或檢查(審核)一組相關日誌(審核記錄)以唯一地將活動跟踪到實體來實現問責制。
. 問責制是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (NIST SP 800-33)
. 審計是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (NIST SP 800-12 Rev.1)
. 審核跟踪是“按時間順序的記錄,用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作,程序或事件的活動順序。” (NIST SP 800-53修訂版4)

定義不一致
我以與Sybex CISSP官方學習指南相反的方式對待會計和審計。它將審核定義為“記錄與系統和主題相關的事件和活動的日誌”,而將會計(也稱為問責制)定義為“查看日誌文件以檢查合規性和違規性,以使主體對其行為負責。”

資料來源: Wentz Wu 網站

分類
CISSP

業務驅動者和推動者(Business Drivers and Enablers)

業務就是提供產品和服務以創造價值並實現組織願景和使命。一個業務驅動是指“指導或控制”的運動,活動和業務過程中創造和提供的因子或函數業務使能器,這間接提供價值,是支持業務驅動的輔助因子或功能。

作為業務推動者的業務職能通常直接貢獻收入。作為業務推動者,安全功能對於當今的組織至關重要,它可以間接地創造價值,並且必須集成到業務功能或流程中以支持業務驅動程序。

在Porter的價值鏈中,業務推動力是主要活動,業務推動力是支持活動。

資料來源: Wentz Wu網站

分類
CISSP

誤用/濫用測試(Misuse/Abuse testing)

https://ithelp.ithome.com.tw/upload/images/20210316/20132160WQIyTI0v0z.png
-HTTP請求(來源:Chua Hock-Chuan


測試人員在HTTP請求中操縱URL的查詢字符串是一個濫用案例,例如GET / customer / delete?country = all。甚至最終用戶也可以通過添加或修改瀏覽器地址欄中的URL和查詢參數來提交HTTP GET請求。在RESTful API流行之前,使用HTTP謂詞GET實現CRUD(創建,檢索,更新和刪除)數據操作並不罕見,該行為容易受到濫用/濫用攻擊。

誤用/濫用案例(Misuse/Abuse Case)
濫用案例可以定義為:
一種使用實現者不期望的功能的方法,允許攻擊者根據攻擊者的動作(或輸入)影響功能或使用功能的結果。
資料來源:OWASP

Synopsys定義了一個濫用案例,如下所示:
–濫用和濫用案例描述了用戶如何濫用或利用軟件功能控件的弱點來攻擊應用程序。
–當對業務功能的直接攻擊(可能帶來收入或提供積極的用戶體驗)受到攻擊時,這可能會導致切實的業務影響。
–濫用案例也可以成為提高安全性要求的有效方法,從而可以對這些關鍵業務用例提供適當的保護。
資料來源:OWASP

模糊測試(Fuzz Testing)
模糊測試用於通過提供隨機生成的測試數據來測試接受結構輸入的應用程序。我們沒有看到測試中使用了任何隨機數據。

壓力測試(Stress Testing)
壓力測試側重於性能和可伸縮性;網絡,CPU,內存的工作量逐漸增加,以一定程度的工作量和系統上限來觀察系統性能。測試中沒有關於性能和可伸縮性的任何提示。

綜合交易(Synthetic Transaction)
從嚴格意義上講,合成交易是一種主動的網站“監視”技術,通過在網絡瀏覽器中部署行為腳本來模擬真實客戶(或最終用戶)通過網站的路徑來完成。但是,合成交易對於高流量站點(例如電子商務)在發布之前進行測試至關重要。(monitis

參考
HTTP(超文本傳輸協議)基礎
代碼審查
模糊測試
回歸測試
什麼是綜合事務監控(誰需要它?…)
濫用案例備忘單

資料來源: Wentz Wu QOTD-20210209

分類
CISSP

費根檢查( Fagan inspection)

費根檢查是一種依靠組檢查方法的正式檢查,即使它可以針對有限的一組預先確定的常見軟件錯誤自動進行。

  • 模糊測試或模糊測試(Fuzzing or fuzz testing)是一種自動化的軟件測試技術,涉及將由模糊器生成的無效,意外或隨機數據作為輸入提供給計算機程序。然後監視程序是否存在異常,例如崩潰,內置代碼斷言失敗或潛在的內存洩漏。通常,模糊器用於測試採用結構化輸入的程序。(維基百科
  • 用戶界面測試(User interface testing)可以自動化。本文“ GUI測試工具的比較”中有詳細信息。
  • 代碼檢查(Code review)(有時稱為對等檢查)是一種軟體質量保證活動,其中一個或幾個人主要通過查看和讀取程序的部分源代碼來檢查程序,他們在實施後或中斷實施時進行檢查。在靜態代碼分析中(static code analysis,主要檢查由自動化程序執行。(維基百科


費根檢查(Fagan Inspection

費根檢查是試圖在軟體開發過程的各個階段中發現文檔中的缺陷(例如源代碼或正式規範)的過程。它以邁克爾·法根(Michael Fagan)的名字命名,後者被認為是正式軟體檢查的發明者。

儘管已證明費根檢查方法非常有效,但已有多個研究人員提出了改進建議。例如,Genuchten一直在研究電子會議系統(EMS的使用,以提高會議效率並取得積極成果。

其他研究人員提出了使用軟體的功能,該軟件可以保留檢測到的錯誤的數據庫,並自動掃描程序代碼以查找這些常見錯誤。這又將導致生產率的提高。

資料來源:維基百科

參考

資料來源: Wentz Wu QOTD-20210208

分類
CISSP

2021年CISSP考試常見問題解答(2021 CISSP May Exam FAQs)

個人覺得STN的Luke這篇寫得不錯,有參考的價值,URL如下:

https://www.studynotesandtheory.com/single-post/2021-cissp-may-exam-faqs?fbclid=IwAR0flYWn2ePEVHkLopxx6pkTX1pxmL7sgN_tCq5OIhTnBjGYawywTae5Fcg

分類
CISSP

個人資料

個人數據,也稱為個人信息個人身份信息PII[1] [2] [3]是與個人身份有關的任何信息。

縮寫PII在美國已被廣泛接受,但它縮寫的短語具有基於個人 /個人和可識別/識別的四個常見變體。並非所有功能都是等同的,並且出於法律目的,有效定義會根據使用該術語的司法管轄區和宗旨而有所不同。[a]在主要以《通用數據保護條例》為中心的歐洲和其他數據保護製度下,“個人數據”一詞的使用範圍要廣得多,並決定了管理制度的範圍。[4]

美國國家標準技術研究院特別出版物800-122 [5]將個人身份信息定義為“由代理機構維護的有關個人的任何信息,包括(1)任何可用於區分或追踪個人身份的信息,例如姓名,社會安全號碼,出生日期和地點,母親的娘家姓或生物特徵記錄;和(2)與個人鏈接或可鏈接的任何其他信息,例如醫療,教育,財務和就業信息。” 因此,例如,用戶的IP地址不是單獨分類為PII,而是分類為鏈接的PII。[6]但是,在歐盟互聯網訂戶的IP地址可以歸類為個人數據。[7]

根據GDPR,個人數據被定義為“與已識別或可識別的自然人有關的任何信息”。[8]

隨著信息技術互聯網使收集PII變得更加容易,PII的概念已變得越來越普遍,從而導致在收集和轉售PII方面獲得了有利可圖的市場。犯罪分子還可以利用PII來跟踪竊取一個人的身份,或幫助計劃犯罪行為。為了應對這些威脅,許多網站隱私政策專門針對PII的收集問題[9]歐洲議會等立法者制定了一系列立法,例如《通用數據保護條例》(GDPR),以限制發布和訪問權限PII。[10]

關於PII是指可識別(即可以與一個人相關聯)還是標識(即與一個人唯一地相關聯,從而使PII可以識別它們)的信息,引起了很大的困惑。在諸如HIPAA的說明性數據隱私製度中,已明確定義了PII項目。在諸如GDPR之類的更廣泛的數據保護製度中,個人數據是以基於非原則性原則的方式進行定義的。就GDPR而言,在HIPAA下可能不視為PII的信息可以是個人數據。因此,國際上通常不建議使用“ PII”。

資料來源:https://en.wikipedia.org/wiki/Personal_data

分類
CISSP

綜合交易(Synthetic Transactions)

綜合交易或合成監視涉及構建腳本或工具,這些腳本或工具可模擬通常在應用程序中執行的活動。使用綜合交易/監視的典型目標是為這些交易的執行建立預期的規範。這些綜合事務可以自動運行以定期運行,以確保應用程序仍按預期運行。這些類型的事務對於在部署之前測試應用程序更新也很有用,以確保功能和性能不會受到負面影響。這種類型的測試或監視通常與定制開發的Web應用程序關聯。

資料來源:埃里克·康拉德(Eric Conrad),…約書亞·費爾德曼  Joshua Feldman),《十一小時CISSP®(第三版)》,2017年

綜合交易或綜合監視涉及構建腳本或工具,以模擬通常在應用程序中執行的活動。使用綜合交易/監視的典型目標是為這些交易的執行建立預期的規範。這些綜合交易可以自動運行定期確保應用程序仍能按預期運行。這些類型的事務對於在部署之前測試應用程序更新也很有用,以確保功能和性能不會受到負面影響。這種類型的測試或監視通常與定制開發的Web應用程序關聯。

資料來源:Eric Conrad ,…約書亞·費爾德曼  Joshua Feldman),《CISSP學習指南(第三版)》,2016年

分類
CISSP

NIST與雲相關的準則

-雲計算概念參考模型(來源:NIST)

1.     NIST SP 500-291v1(雲路線圖)
2.     NIST SP 500-291v2(雲路線圖)
3.     NIST SP 500-292(雲體系結構)
4.     NIST SP 500-293 vol1(採用雲)
5.     NIST SP 500-293 vol2(採用雲)
6.     NIST SP 500-299(雲體系結構)
7.     NIST SP 500-307(雲指標)
8.     NIST SP 500-316(雲可用性)
9.     NIST SP 500-322(雲評估)
10.  NIST SP 800-144(雲安全性)
11.  NIST SP 800-145(雲定義)
12.  NIST SP 800-146(雲簡介)
 
資料來源: Wentz Wu網站(https://wentzwu.com/2021/02/03/nist-cloud-related-guidelines/