HTTP3协议的安全优势与挑战
最后更新 :2022.03.07
HTTP/3是超文本传输协议(HTTP)的第三个正式版本,将改善网络性能和稳定性,解决各种安全隐私问题,但尽管如此,仍存在一些安全挑战。
HTTP/3不再使用传输控制协议(TCP),相反,将使用2012年谷歌提出的QUIC传输协议。实际上,HTTP/3前身是HTTP-over-QUIC。
2018年10月,互联网工程任务组(IETF) HTTP和QUIC工作组主席Mark Nottingham提出了将HTTP-over-QUIC更名为HTTP/3
QUIC是基于用户数据包协议(UDP)连接的复用版本的传输层协议。与TCP不同,UDP不遵循TCP三向交握,而是使用单个UDP往返。因此,在用户代理和Web服务器之间的每个连接都使用UDP,QUIC协议极大地改善了任何web组件的网络性能。
同样,QUIC依靠多路复用来在单个连接上无缝地管理用户代理与服务器之间的多个交互,而没有一个阻塞另一个,因此与以前的版本相比,有助于提高性能。从性能和稳定性的角度考虑,HTTP/3似乎都有很大的优势。从安全性来说,HTTP/3有其先进性也有其局限性。
安全优势
1.端到端加密
TCP协议旨在确保在传输过程中进行有效负载加密,但是对于特定传输的信息仍未加密,所以这会引发许多安全和隐私问题。预防攻击的对策不是在TCP堆栈上,而是在处理协议和网络的网络设备和中间盒上。此外,解析器可以克服负载均衡器和其他网络设备中的这些问题,但它们也还存在严重的性能问题,并且可能会限制网络发展速度和可靠性。
使用QUIC协议时,只有网段中的必填字段未加密,而其余信息默认情况下是加密的。通过查看TCP和QUIC的网络段,我们发现包括数据包标志(数据包NR和ACK NR),窗口和选项的字段在QUIC中已加密,但在TCP中未加密。QUIC中建议加密有助于防止普遍存在的监视攻击(在HTTP / 3的前身中很普遍)以及协议工件和元数据、应用程序数据的侵入式信息收集。
下面的图1显示了QUIC协议在网络分析器工具Wireshark中的呈现方式。根据QUIC的网段,互联网协议(IP)层保存源IP地址和目标IP地址信息。UDP保留源端口和目标端口,而QUIC包含公共标志,数据包编号,连接ID和加密的有效负载。

图1 Wireshark代码段显示QUIC协议的网段
2.TLS安全连接
为了在连接期间支持端到端加密,QUIC主要依赖于加密和传输层握手。由于QUIC直接与TLS 1.3 交互,因此它可用于所有原始连接的授权加密,并且没有禁用TLS。QUIC还负责确保建立安全连接,同时考虑到所有原始连接的机密性和完整性保护。与HTTP / 2 + TLS实现不同,QUIC在其传输上下文中处理TLS握手和警报机制,这反过来又帮助QUIC利用从握手交换的密钥来建立密码保护。
如果我们从整体上考虑该协议,则TLS和QUIC之间存在两个主要通信:
QUIC为TLS提供了稳定的流抽象,通过QUIC发送和接收消息。
TLS使用以下内容更新QUIC组件。
1.秘密的、经过身份验证的加密算法和密钥派生功能(KDF)
2.数据包保护密钥
3.协议状态更改(例如握手状态、服务器证书)
与使用TLS的“ application_data”记录的HTTP/2不同,QUIC使用STREAM帧,通过QUIC数据包形式展现。TLS握手以CRYPTO帧的形式形成,主要由连续流中的握手数据组成。QUIC旨在并行发送数据包,有时会将不同的消息捆绑成一个消息并加密,因为这些消息具有相同的加密级别。此功能为网络性能提供了极大的优势,同时确保在传输过程中应用正确的加密模式。
3.完全正向保密性
当在用户代理和服务器之间交换临时私钥时,可以实现协议中的完全前向保密性(PFS)。用户代理启动的每个会话都使用新的唯一会话密钥,并且它与先前的会话密钥没有任何关系。通过为每次传输使用单独的会话密钥,即使任何会话密钥被泄露,来自较早或将来会话的任何信息也不会受到破坏。从加密角度来看,没有密钥交换可以提供完美前向保密性。但是,完全正向保密性,一个新术语对PFS的实现提供了可能。
QUIC使用TLS 1.3,该协议支持椭圆曲线(EC)DHE密钥交换或有限字段上的预共享密钥(PSK)和Diffie-Hellman(DH)。0-RTT密钥交换提供了完全的正向保密性,因为加密规范仅接受通过0-RTT握手的前向安全连接。尽管TLS 1.2还支持前向保密性,但从技术上讲,当用户代理发送由只有服务器已知的对称密钥保护的机密资料副本时,正向保密性在会话恢复期间会丢失。该协议甚至为用户代理和服务器之间的初始消息提供了完全的正向保密。此外,由于QUIC协议不支持长期密钥,因此QUIC借助TLS 1.3可以使用其协议层为应用程序提供完全正向保密功能。
4.重放攻击防护
除了随机数,QUIC实现还用于存储密钥派生的客户端值。服务器会识别并拒绝具有相同密钥派生值和随机数的任何重复请求。考虑到用户代理和服务器之间的协议通信开销,这种设计被称为性能噩梦。从理论上讲,该解决方案看似适用,但是在实践中,该协议可能会变得很占内存并导致性能问题。当前的设计不是最好的,但是从协议层面来说,这会防止任何服务器多次接受同一密钥。同样,QUIC在初始步骤中不提供重放保护,而是在服务器初始回复后立即开始保护。QUIC是让初始交易能得到应用程序保护并减少协议所占内存。考虑到Web组件可能会使用从会话密钥派生的密钥,因此在此阶段可能会发生重放攻击。但是,可以在应用程序层面使用预防措施来减轻这种情况。
5.IP欺骗保护
QUIC在握手期间支持地址验证,并且需要签名的地址证明,从而消除了任何IP欺骗攻击。IP地址欺骗问题主要在QUIC中通过广泛利用“源地址令牌”来解决,“源地址令牌”是服务器的经过身份验证的加密块,其中包含用户代理的IP地址和服务器的时间戳。用户代理可以重复使用服务器生成的源地址令牌,除非连接更改、IP地址不在变化。由于源地址令牌用作承载令牌,因此它们可以反复使用,并且可以绕过服务器设置的任何IP地址限制。由于服务器仅响应令牌中的IP地址,因此即使是被盗的cookie或令牌也不会成功进行IP欺骗。
6.防止SSL降级
TLS 1.3可以防止TLS降级攻击,因为该协议规定了所有握手通信的密钥哈希,并且要求握手接收方验证发送的密钥哈希。在握手过程中,任何检测到的对客户端功能的篡改尝试都将导致握手终止并出现错误。此外,检测还涉及用户代理与服务器之间的证书验证消息,包括有关特定连接的所有先前消息的PKCS RSA哈希签名。QUIC中的校验和实现将成功防止TLS降级攻击。

安全挑战
1.0-RTT恢复漏洞
HTTP / 3的最大优势之一是0-RTT恢复,它可以极大地提高连接速度并减少延迟。但是,仅当成功建立了先前的连接,并且当前交易使用在上一次连接期间建立了预共享机密时,这一优势才发挥作用。
0-RTT恢复功能存在一些安全方面的缺点。最常见的攻击媒介之一是重放攻击,当对手重新发送初始数据包时可能会造成这种攻击。在特定的情况下,这可能会迫使服务器认为该请求来自先前已知的客户端。恢复0-RTT的另一个安全缺点是完全前向保密的部分失效。如果对手破坏了令牌,那么他们就可以解密用户代理发送的0-RTT通信内容。
2.连接ID操纵攻击
连接ID操纵攻击要求将攻击者处在用户代理与服务器之间。他们可以在交换客户端和服务器问候消息的初始握手期间操纵连接ID。握手将照常进行,服务器假定已建立连接,但是用户代理将无法解密,因为连接ID需要加密密钥派生过程的输入步骤,并且用户代理和服务器将计算不同的加密键。用户代理最终将超时,并向服务器发送错误消息,告知连接已终止。由于客户端使用原始的加密密钥将错误消息加密到服务器,因此服务器将无法解密,并且将保持连接状态,直到空闲连接超时(通常在10分钟内)到期为止。
当大规模执行时,相同的攻击可能会对服务器造成拒绝服务攻击,并保留多个连接,直到连接状态过期。保持连接有效的另一种攻击方法是更改其他参数,例如源地址令牌,从而防止客户端建立任何连接。
2.UDP放大攻击
为了成功进行放大攻击,攻击者必须欺骗受害者的IP地址,并将UDP请求发送到服务器。如果服务器发回更重要的UDP响应,则攻击者可以大规模利用此服务器行为并创建DDOS攻击情形。
具体来说,在QUIC中,当对手从目标接受地址验证令牌并释放最初用于生成令牌的IP地址时,就会发生UDP放大攻击。攻击者可以使用相同的IP地址将0-RTT连接发送回服务器,该IP地址可能已被改为指向不同的端点。通过执行此设置,攻击者可以潜在地指示服务器向受害服务器发送大量流量。为了防止这种攻击,HTTP / 3具有速率限制功能和短暂的验证令牌,可以充当DDOS攻击的补偿控制,同时部分缓解攻击情形。
3.流量耗尽型攻击
当对手有意启动多个连接流时,就会发生流耗尽攻击,这可能导致端点耗尽。攻击者可以通过反复提交大量请求来利用穷尽序列。尽管特定的传输参数可能会限制并发活动流的数量,但是在某些情况下,可能会故意将服务器配置设置为更高数值。由于服务器的协议配置增加了协议性能,因此受害服务器可能成为此类攻击的目标。
4.连接重置攻击
连接重置攻击主要是向受害者发送无状态重置,从而可能产生类似于TCP重置注入攻击的拒绝服务攻击。如果攻击者可以获得具有特定连接ID的连接生成的重置令牌,则可能存在潜在的攻击媒介。最后,攻击者可以使用生成的令牌重置具有相同连接ID的活动连接,从而使服务器等待连接,直到发生超时为止。如果大规模进行此攻击,则服务器必须大量消耗其资源,以等待连接完成。
5.QUIC版本降级攻击
QUIC数据包保护为通信中的所有数据包(版本协商数据包除外)提供身份验证和加密。版本协商数据包旨在协商用户代理和服务器之间QUIC的版本。该功能可能允许攻击者将版本降级到QUIC的不安全版本。该攻击目前暂时不会发生,因为只有QUIC的一个版本,但是将来需要注意。
6.缺少监视支持
尽管一些用户代理,服务器和信誉良好的网站支持HTTP3 / QUIC,但是许多网络设备(例如反向/正向代理,负载均衡器,Web应用程序防火墙和安全事件监视工具)并不完全支持HTTP / 3。与TCP不同,QUIC连接中不需要套接字,这使得检测主机和恶意连接变得更加困难。恶意攻击者可能能够通过QUIC中继恶意有效载荷并执行数据泄露攻击,并且保持隐身状态,因为大多数检测工具无法检测到QUIC流量。
QUIC的历史
2016年,互联网工程任务组(IETF)开始标准化Google的QUIC,并宣布IETF QUIC成为新HTTP / 3版本的基础。但是,出于性能和安全方面的考虑,IETF QUIC与原始QUIC设计大相径庭。
TCP上的传统Web流量需要三向握手。QUIC使用UDP,由于往返次数减少和发送的数据包减少,因此延迟减少,从而加快了网络流量传输。UDP除了速度更快之外,还具有其他优点,包括连接迁移、改进延迟、拥塞控制和内置加密。根据Google的说法, “与TCP + TLS的1-3次往返相比, QUIC握手通常需要零往返来发送有效负载。” 第一个连接需要一个往返,而随后的连接则不需要任何往返。同样,由于QUIC用于多路复用操作,因此与TCP相比,它在数据包丢失方面做得更好,并且握手速度更快。
Google的QUIC版本现在是gQUIC。从gQUIC进化的HTTP / 3,具备了重大的改进,并得到IETF工作组的贡献和增强。尽管从技术上讲HTTP / 3是完整的应用程序协议,但QUIC指的是基础传输协议,它不限于服务Web流量。UDP是无连接的,不是很可靠。QUIC通过在UDP上添加类似于TCP的堆栈,来添加可靠的连接,并在其之上重新发送具有流控制功能的方式来克服这些限制,同时解决了TCP的行头阻塞问题。
HTTP / 3使用UDP,类似于HTTP / 2使用TCP的方式。每个连接都有几个并行流,这些并行流用于通过单个连接同时传输数据,而不会影响其他流。因此,与TCP不同,为特定的单个流承载数据的丢失数据包只会影响该特定的流。然后,每个流帧都可以在到达时立即分配给该流,因此可以在不丢失任何流的情况下继续在应用程序中重新组合。QUIC的这种连接建立策略是通过加密和传输握手的组合来实现的。
和HTTP/2的比较分析
QUIC旨在通过减轻HTTP/2的数据包丢失和延迟问题来提高性能。虽然HTTP/2对每个数据来源使用单个TCP连接,但这会导致行头阻塞问题。例如,一个请求的对象可能会停滞在另一个遭受丢失的对象之后,直到该对象恢复为止。QUIC通过将HTTP/2的流层向下推送到传输层来解决此问题,从而避免了应用程序层和传输层的问题。HTTP/3还支持多路复用,在与TLS直接集成的同时,提供独立于其他连接请求的请求。尽管HTTP/2和HTTP/3的工作方式相似,但以下是HTTP/2和HTTP/3的一些重要区别。
区别 | HTTP/2 | HTTP/3 |
传输 | TCP | 基于UDP的QUIC |
流层 | 应用 | 传输 |
默认加密 | 无 | 有 |
独立流 | 无 | 有 |
报头压缩 | HPACK | QPACK |
握手 | 更快的0-RTT | TCP+TLS的1-3RTT |
连接消除 | 无 | 有 |
拥塞控制损失恢复 | 由TCP执行 | 由QUIC执行 |
从网络堆栈的角度来看,HTTP/2广泛使用了符合HTTP标准的TLS 1.2+,底层的TCP充当了传输协议。但是,在HTTP/3中,默认情况下,除了QUIC以外,还使用TLS 1.3,而UDP是传输协议。下图说明了QUIC在网络协议堆栈中的位置。相比之下,以前的版本使用TLS 1.2,并使用TCP的拥塞控制丢失恢复功能,而HTTP/2处理多流功能。

图2: QUIC在网络协议堆栈中的位置
连接ID的优势
TCP连接即利用数据源和目标网络实体(主要是地址和端口)来标识特定连接。但是,QUIC连接使用连接ID,它是64位随机生成的客户端标识符。这项更改对于当前的Web技术非常有利,主要是因为要求它们支持用户的移动性。如果用户从Wi-Fi网络移动到蜂窝网络,则HTTP/2 TCP协议将需要基于当前地址建立新的连接。但是,由于HTTP/3 QUIC协议使用随机连接ID,因此当从蜂窝网络转移到Wi-Fi连接时,HTTP/3上的客户端更改IP地址将继续使用现有的连接ID而不会中断。
从协议的角度来看,连接ID提供了其他好处。服务器和用户代理可以使用连接ID识别原始连接和重传连接,并避免TCP中普遍存在的重传歧义问题。
结论
QUIC已获得多数浏览器的支持。YouTube和Facebook等重要网站已启用该功能,可以更快地加载页面。在撰写本文时,目前只有4%的顶级网站支持QUIC。微软已经宣布,他们将在内核中交付带有通用QUIC库MsQuic的Windows,以支持各种收件箱功能。
QUIC和HTTP/3旨在满足当今互联网网络性能、可靠性和安全性的目标。强制性支持TLS 1.3的安全性得到了显着改善,从而解决了HTTP/2和早期版本的HTTP的弱点。在HTTP/3传输过程中使用端到端加密有助于抵御攻击者和数据聚合者的一些隐私问题。尽管存在一些弱点,但从性能和安全性角度来看,HTTP/3仍将继续发展,不管怎么说都是对HTTP/2的重大改进。
- END -
学网络安全为什么培训好?

学网络安全为什么培训好?根据最新版网络安全产业人才发展报告指出,在疫情常态化后,国内经济...
什么是云计算安全?云计算的三种服务模式

什么是云计算安全?云计算安全或云安全指一系列用于保护云计算数据、应用和相关结构的策略...
入门网络安全工程师要学什么

根据最新版网络安全产业人才发展报告发布的信息得到的结论:1、疫情常态化后,国内经济回温,...
2021年网络安全行业怎么样,市场空缺还大吗?

可以这么说,未来10年都将是网络安全人才就业的黄金期。咱们通过客观数据来说话:这是16年-2...
什么是数据安全?数据安全因素有哪些

2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国...
湖北武汉网络安全培训中心-渗透测试教程-网盾科技推荐就业

网络安全绝不是简单安装一个杀毒软件就可以解决的。在阻断病毒的过程中,网络攻击会不断升...
从美国某管道运营商被勒索事件浅谈安全行业

近日,美国最大的成品油管道运营商Colonial公司的网络遭到黑客攻击,被迫关闭了长达5500英里...
安全行业资料泄露:企业该如何保护源码?

这是有史以来最大范围的一次源代码泄露。微软、Adobe、联想、AMD、高通、联发科、通用电...
联合国承认4月曾被黑客入侵,大量数据被盗

今年4月,联合国曾遭遇网络攻击,攻击者盗取了大量数据,这些数据可能被用来攻击联合国。黑客...
网络安全工程师难学吗?

前几天,又有一批学生从网上慕名而来,咨询到了网盾学院,希望从事网络安全相关的行业,他们是在...
如何30天零基础入门网络安全?自学网络安全有哪些缺点?

网络安全的前景如何,盾叔已经说过很多遍了,今天专题是替一些想入门网络安全,但还迷茫不知所...
什么是移动安全?5G将面临的安全挑战

什么是移动安全?移动安全泛指以移动化为核心,把端点安全、数据安全、业务安全融合在一起。...
应急响应、应急响应事件、网络应急响应
一、应急响应1、什么是应急响应应急响应( Incident Response/ Emergency Response )通常是指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生时或者发生后所采取的措施。计算机网络应急响应的对...
网络安全培训机构哪家好

目前网络安全行业火热,无论是刚毕业的大学生还是有一定经验的it从业者,都希望成为一名网络...
教育部:网络安全等16个领域纳入国家安全教育 大中小学全覆盖

从教育部获悉,为深入学习贯彻习近平总书记总体国家安全观,结合教育系统实际,教育部2020年9...
等保2.0涉及的PostgreSQL数据库(上)

登录数据库一般用户在pgsql服务器上会创建相应的postgres用户,我们切换到postgres用户来...
自学网络安全能找到工作吗?

自学网络安全能找到工作吗?今天收到一条私信,一名刚高校毕业的应届生咨询盾叔,说自己毕业找...
等保2.0涉及的Apache Tomcat中间件(上)

这里就谈谈等保2.0要求,对应到Apache Tomcat中间件的一些条款要求。安装步骤略过,我们直接...
OMIGOD 漏洞使数以千计的Azure用户面临黑客攻击
OMIGOD——微软解决了开放管理基础设施(OMI)软件代理中的四个漏洞,这些漏洞可能会使Azure用户面临攻击。 最近发布的2021年9月补丁星期二安全更新解决了开放管理基础设施(OMI)软件代理中的四个严重漏洞,这些漏洞统称为OMIGO...
什么是代码审计工程师

代码审计工程师是网络安全大方向下网络安全建设与实施岗的一个细分岗位。代码审计,顾名思...
网络安全工程师与厂商之间的恩怨情仇

大家好,帅帅的盾叔来了,相信很多从事网络安全行业的小伙伴或多或少都跟厂商之间产生过各种...
苹果被黑客“下套”,大量用户数据遭泄露,公司成网络安全受害者

美国彭博社30日援引三位知情人士的话报道称,苹果公司以及脸书(Facebook)母公司Meta去年将用...
都2022年了,还不知道网络安全职业方向?气得盾叔都快脑血栓了

2022年已过去3个月,马上又该迎来一年一度的毕业实习了,盾叔记得自己当年实习就是4月份开始...
数据泄露的受害者们过得怎么样?财务情况、情感和身体状况

将近 30%的受害者受到多种身份凭证泄露的影响。过去,我们更多地关注着数据泄露对于企业造...
遭遇勒索软件攻击该怎么办?
勒索软件已被许多人视为组织面临的最具威胁性的网络安全风险,2019年,超过50%的企业受到勒索软件攻击,估计损失了115亿美元。仅在去年12月,包括佳能、Garmin、柯尼卡美能达和嘉年华在内的主要消费者公司就成为主要勒索软件...
网络安全工程师如何快速入门?哪里能学到网络安全硬核知识?

网络安全前景怎么样,盾叔讲过很多次了,有不少同学专门私信盾叔,希望盾叔讲一讲网络安全工程...
麦当劳系统被攻击,韩国和台湾地区的客户信息遭泄露

6月11日,麦当劳披露了一起数据泄露事件,该事件影响了其美国、韩国和台湾地区的相关员工和...
Hash算法进行签名验签
Hash算法进行签名验签Hash算法哈希算法(Hash 算法,Hash 算式,散列算法,消息摘要算法) :将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值称为哈希值。性质...
网盾安全学院联手湖北大学知行学院共同举办网络安全教育主题讲座

为贯彻落实全国网络安全和信息化工作会议的精神,切实响应湖北省委高校工委、省教育厅关于...
什么是安全体系架构师?

什么是安全体系架构师?安全体系架构师是网络安全大方向下网络安全规划与设计岗的一个细分...
vlunhub的dc-2靶机笔记

1.官网下载任务目标:拿到4个flag.txt文件2.使用vbox虚拟机导入3.使用kali进行扫描arp-sc...
黑客以800美元的价格出售5000万条莫斯科司机数据记录
据bleepingcomputer网站报道,黑客正在某地下论坛出售一个包含5000万条莫斯科司机数据记录的数据库,售价800美元。据购买该数据库的俄罗斯媒体称,他们购买了一小部分样本,显示数据所示年份在 2006 年至 2019 年之间,某些内...
“黑客帝国”作恶10年!数亿公民隐私“裸奔”,网络安全责任重大

2022年3月以来,360集团连续发布美国国家安全局对全球以及我国进行网络攻击的相关报告,展示...
网络安全培训为什么火了?

很多小伙伴在网上搜索网络安全时,会出来网络安全工程师这样一个职位,它的范围很广,只要是与...
如何从一个萌新一步一步进入网络安全行业?
首先,在准备进入这个行业之前,我们要问一下我们的内心,工作千千万,为什么要想进入这个行业?相信每个人的答案都不一样,有的人会说,这个行业整体上比其他行业赚钱多,有的人会说特别喜欢技术,想钻研一下。还有人会说,这个行业处...
白帽子:SQL注入WAF绕过
SQL注入WAF绕过1 大小写绕过此类绕过不经常使用,但是用的时候也不能忘了它,他原理是基于SQL语句不分大小写的,但过滤只过滤其中一种。2 替换关键字这种情况下大小写转化无法绕过而且正则表达式会替换或删除select、union...
安卓系统自动和手机厂商及谷歌分享用户隐私数据
10月12日,英国研究人员的一项新研究揭示了安卓手机用户存在一系列隐私问题。研究人员将重点放在三星、小米、Realme和华为安卓设备,以及安卓的两个分支RiegeOS和/e/OS。研究结果表明绝大多数安卓手机不断窥探用户隐私,即...
从特斯拉看自动驾驶与国家网络安全

4月19日上海车展,河南安阳的女车主冲上了车顶控诉所购买的特斯拉汽车存在“刹车失灵”问...
在暗网上分享数百万儿童色情图片的男子被判入狱27年
一名爱尔兰裔美国双重公民因在暗网上分享数百万张描绘儿童、幼儿和婴儿性虐待的图像而被判处27年美国联邦监狱。都柏林居民Eric Eoin Marques于2019年3月23日被引渡到美国,面临2013年8月8日在马里兰州提起的联邦刑事指...
警惕!美国中情局主战网络攻击武器曝光,网络安全问题成最关键

近期,美国通过网络对全球进行监控窃密的又一主战装备曝光,这一主战装备即为美国中央情报局...
远程控制:如何用欺骗技术操纵攻击者的行动

当我们听说网络安全事件时,大部分情况下攻击者已经控制了局面——也许他们已经入侵了一家...
汶川地震13周年祭,地震监测预警面临的三大网络安全威胁你知道吗?

当时间来到2021年5月12日,这一天,心绪将刮去覆盖在日常之上的层层琐屑,唤起那些隐藏于心的...
2022年不断扩大的网络威胁攻击面

在过去的一年里,网络犯罪出现了空前增长。Fortinet研究表明,在2020年7月至2021年6月之间的...
“云清洗”是什么意思?云清洗服务器能防御DDOS攻击吗?
相信大家在租用服务器时可以看到不少的专业名词,之前是很少接触到的。比如“云清洗”、“云清洗服务器”。那么“云清洗”指的是什么服务呢?清洗的又是什么?是不是我们通常理解的那种清洗呢?高防服务器“云清洗”一般指的...
你在看视频,黑客在窃取你的信用卡信息

在近日发生的一件信息窃取事件中,Palo Alto Networks Unit42安全团队发现,黑客正在通过云...
现在企业出现网络安全问题的原因都有哪些?

近年来网络安全问题层出不穷,信息泄露、网络钓鱼、黑客攻击等问题频繁发生。 尽管有...
巴西“支付宝”火了,被恶意软件PixStealer盯上

9月末,研究人员在谷歌应用商店发现了一系列针对Pix支付系统和巴西银行的恶意软件,其中一个...
关于“黑客”你了解多少

在网络混的久了,免不了知道“黑客”两字,也免不了遭遇黑客。而黑客的身影也在网络平台中无...
2022年网络安全培训火了,缺口达95%,揭开网络安全岗位神秘面纱

微软被黑客攻击泄露源代码、巴西国库遭勒索软件攻击、伊朗遭受网络攻击导致全国加油站大...
怎么零基础入门网络安全?

怎么零基础入门网络安全?随着互联网的普及,网络安全成为越来越受重视的话题,求职热门岗位中...
信息安全行业的现状及趋势
信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护,使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁,保证信息系统连续可靠地正常运...
什么是安全测试工程师

什么是安全测试工程师安全测试工程师是网络安全大方向下网络安全建设与实施岗的一个细分...
什么是DDoS攻击?

DDoS攻击的定义分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是...
免费SSL证书与收费SSL证书有什么区别?
随着SSL证书的普及,提供免费SSL的CA机构已经开始出现,并且越来越多的CA机构提供了自己的免费SSL证书来吸引用户,但是许多人不可避免地会遇到这样的疑问:免费SSL证书和付费SSL证书之间的区别?既然有免费SSL证书,为什么我应...
企业网络安全防护措施合集,你漏了吗?

我们经常看到报纸或者资讯新闻上又爆出某某公司又被黑客袭击啦,勒索多少多少的,诶盾叔只能...
一级域名与二级域名之间的区别
什么是一级域名一级域名又称为顶级域名,顶级域名又分为两类:一是国家顶级域名,200多个国家都按照ISO3166国家代码分配了顶级域名,例如中国是cn,美国是us,日本是jp等;值得注意的是,www. http://wangdun.cn这种形式的域名并不是...
渗透测试完整思路

渗透测试就是利用所有的手段进行测试,发现和挖掘系统中存在的漏洞,然后撰写渗透测试报告,将...
it行业内卷后,网络安全人才紧缺,武汉这学院学生成“香饽饽”!

这两年,随着信息技术的飞速发展,各类新技术、新产业不断涌现,给生活带来大便利的同时,也给信...
老师嘴里必考的网络安全知识点

大家好,盾叔今天又来给大家做干货分享咯,要是大家想了解哪些方面的知识技巧,可以在评论或者...
白帽子:聊聊安全界的那些书

感觉今年的安全书籍相对比较萧条,而那本CTF书着实火了一把,其它新出安全书籍其实不多了。...
针对于file_put_contents的一些小技巧

File_put_contents函数中遇见exit();的绕过技巧1. 搭建环境代码?php header(#34;Content...
网络安全工程师必用的6个渗透工具,专业工具渗透工作更好做!
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。同时,网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。在这些过程中除了需要渗透测评师的技术还需...
网络安全培训出来为什么好找工作?

盾叔最近看到一个问题,问网络安全培训出来为什么好找工作?在解释这个问题之前,我们应该先要...
什么是ping指令,它的作用是什么?

大家好,我是你们博学的盾叔,今天呢,来给你们上点干货,我们一起来看看ping指令到底是什么,它又...
黑客追款是真的吗?
因为经常有人在知乎上问我能不能把他被骗的钱追回来,有时候私信都解释不清楚。。。所以写了这篇文章问题一:黑客真的是黑客吗?无论是被骗钱了,还是网赌输了。如果想要黑客帮忙追款,那么你应该从什么地方找黑客呢?我们来猜猜...
靶机渗透之Me And My GirlFrends

靶机渗透之Me And My GirlFrends官网下载:http://www.vulnhub.com/entry/me-and-my-girl...
伊朗网络攻击事件背后黑手——Indra

大家还记得伊朗2021年7月9日和10日,伊朗铁路道路与城市发展系统部被黑客攻击的事情吗?当时...
20届还没找到工作的同学,现在该如何快速自救?!

2020年,这届毕业生,难!还没找到工作的2020届毕业生,到底该怎么办?2020届毕业生:我们实在太难了...
我为什么要做攻城狮而不是程序猿

我大学学的是计算机专业,大四毕业就找了个程序猿的工作。两年之后,我带着做程序猿赚的一些...
2021年暗网指数报告发布 ;油管事件的源头是密码泄露

全球动态1. 2021年暗网指数报告发布:信息窃取为主要目的PrivacyAffairs 发布了 2021 年暗...
自学黑客要多久?为什么我选择了网盾?

首先,盾叔必须站在学习者的角度来看,如果你是一个已经学过编程,通晓几门语言的人那么这个答...
当黑客遇到骗子:只能一锅端

一直以来我们听到的都是群众被电信诈骗犯骗走了多少万的消息,每当听到这样的事,心里就多了...
如何防范社会工程学攻击

社会工程学,一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸多...
一文带你读懂网络安全

大家好,帅帅的叔又来了,相信过了这么久,大家都知道盾叔是做什么的了,每天在后台也会收到很多...
34万个人隐私遭泄露,受害者漠不关心,却将网络安全推上就业热门

据悉,截至2021年12月,我国网民规模达10.32亿,较2020年12月增长4296万,互联网普及率达73.0%。...
两成网民遭隐私危机,信息泄露成灾,将网络安全培训推向行业风口

中国信息通信研究院日前发布的《中国信息消费发展态势报告》显示,在消费群体方面,我国网民...
网络安全有哪些岗位?

网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用...
2020网络安全逆势而动

2020年,全球地缘政治冲突多发,各国经济问题凸显。全球网络空间态势日趋复杂。人工智能、区...
什么是安全开发工程师?

什么是安全开发工程师?安全开发工程师是网络安全大方向下网络安全建设与实施岗的一个细分...
什么是物联网安全?物联网安全问题有哪些

物联网的概念广义物联网:物联网是一个未来发展的愿景,等同于未来的互联网,能够实现人在任何...
重磅 | 【 2021中国白帽子调查报告】正式发布

“白帽子”是一群维护互联网秩序的安保人员。他们掌握高超的专业技能,致力于迅速识别安全...
干货分享 | linux系统行为新型实时监控技术

导语:主要是从系统日常行为安全的角度分享一种能满足线上部署、能够将进程或文件创建、网...
鸿蒙系统将于6.2日晚8点正式上线,你要更新的鸿蒙系统安全吗?

鸿蒙系统将于6.2日晚8点正式上线鸿蒙系统,终于要揭开神秘的面纱,站到历史的风口浪尖上了。...
网络安全培训机构排名

一提到网络安全培训机构,总会有一部分人跳出来说这一行培训劝退,建议自学。盾叔经过分析后...
网络安全人才薪资待遇这么好,为什么却成了企业最难留住的员工?

盾叔学院的一批学生在上课时突然问了一个问题:目前市面上网络安全的岗位薪资确实很高,但是...
武汉网络安全培训:至少已有7家新冠疫苗生产商遭到黑客攻击!
微软最近表示,它已检测到三个政府资助的黑客行动(也称为APT),并且已对参与研究和治疗新冠疫苗的至少七家知名公司发起了网络攻击。“最近几个月,我们发现了来自三个民族国家行为者的网络攻击。这些攻击针对的是直接参与新...
等保2.0涉及的PostgreSQL数据库(中)

应对登录的用户分配账户和权限针对这个测评项,首先我们要搞清楚postgresql数据库的相应权...
中小型游戏为什么容易被攻击

游戏作为最容易遭到黑客攻击行业,尤其是一些比较出名的平台,越火爆风险就更高一些。究竟为...
什么是安全运营工程师

什么是安全运营工程师安全运营工程师是网络安全大方向下网络安全运行与维护岗的一个细分...
全球第二大内存和固态硬盘制造商威刚遭勒索攻击

6月9日,全球第二大存储器和存储制造商威刚(ADATA)表示,曾在5月23日遭到勒索软件攻击,此次攻击...
什么是安全实施工程师

什么是安全实施工程师安全实施工程师是网络安全大方向下网络安全建设与实施岗的一个细分...
美保险巨头CNA Financia支付黑客4000万美元赎金,破赎金最高纪录

美国最大的保险公司之一CNA Financial在3月底向黑客支付了4000万美元(2.5亿人民币),以恢复...
认识Linux操作系统
任务一 查找Linux系统的基本概况第一步:通过搜索引擎搜索”Linux“Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软...
疫情下行业内卷,大学生就业难,网络安全却成未来10年“铁饭碗”

就业是民生之本、稳定之基、发展之要,大学生就业更是当今社会最受关注的热点话题。据教育...
如何用web渗透渗入一个小姐姐的心

公司新来了运营小姐姐,但是身为废物的我在公司默默无闻,怎么才能让小姐姐注意到我呢,既然要...
什么是防火墙,防火墙有哪些功能

网络安全领域是安全行业最基本的领域,研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸技术...
硬干货:下面这些运维工程师Linux指令你都知道吗?(一)

大家好啊,今天盾叔又来给大家科普内容了!什么?说我水文章,不可能!看来是得给你们点颜色看看,不...
一推开门:怎么全是警察?!

去年,你在暗网上骂了一个墨西哥黑客。这个墨西哥黑客十分生气,想渗透你的电脑,结果发现你的...
网络安全培训内容有哪些?

网络安全培训内容有哪些?现在大学生工作难找,究其原因无非是学历和技能受限造成的,大环境再...
二维码骗局该如何防范?
去年就有研究人员发现了一种新的网络钓鱼活动,该活动利用二维码将受害者重定向到网络钓鱼登陆页面,有效规避了旨在阻止此类攻击的安全解决方案和控制措施。比如去年针对法国的网络钓鱼攻击背后的攻击者就是使用了二维码...
- 数据加载中,请稍后...