信安小知识-1

1. 如何获取一个IP地址曾经属于哪些域名

IP History - ViewDNS.info

2. 怎样逆向一个数据结构?

待补

3. 怎样判断一个网站是否为钓鱼网站?

  • 基于页面文本特征的钓鱼识别技术
    • 由于钓鱼网站自身特有的明显特征,可以通过基于页面文本特征的钓鱼识别技术来检测钓鱼网站。首先提取页面的钓鱼特征,如文字特征和DOM(Document Object Model)结构特征,通过分析与正常官网的特征区别进行对比识别。可以通过以下几个方面提取特征:WEB页面URL,链接对象,表单,资源等等。
  • 基于域名whois的钓鱼识别技术
    • 任何一个域名在注册的时候都需要在域名注册商那里填写域名注册人的相关信息。那么识别钓鱼网站的时候也可以通过域名whois进行钓鱼识别(有网站提供whois域名查找)
  • 基于网站备案识别
  • 基于黑名单的钓鱼识别技术,基于网站黑名单存放的数据库进行识别。
  • 基于PR(PageRank)网页级别进行判断
    • PR值全称为PageRank(网页级别),钓鱼网站由于流动性和临时性,网站的PR值很低,一般的钓鱼网站PR值为0.而钓鱼网站所仿的官方真实网站PR值一般很高。

4. 移动安全包含了什么内容?

1)移动APP漏洞审计挖掘
2)移动应用逆向、加固、破解
3)平台攻防、平台漏洞挖掘、平台加固方案(例如ARM TrustZone)
4)反病毒木马(检测以及杀毒)

5. 信息安全是什么?

信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。

6. chrome和firefox进程区别?

在目前版本的桌面版 Firefox 中,整个浏览器运行在单个操作系统进程中。尤其是 JavaScript 在同一进程中运行着用户界面(UI,也称 “chrome 代码”),它还搭载着所有网页(也称“内容”,即“标签页”)。

未来版本的 Firefox 将在单独的进程中运行浏览器界面,与网页内容的进程分离。这种架构的第一次迭代是所有浏览器标签页在同一个进程中运行,浏览器界面运行在另一个进程中。在未来的迭代中,我们期望有一个以上的内容进程。提供多进程 Firefox 的项目名为 Electrolysis,有时被简称为 e10s。

  • 2019年3月23日, 由 Mozilla 贡献者编辑

  • chrome一直是多进程

  • 大概是之前内存不够吃,cpu核心数不够多,加上windows对多进程支持太逊了

Windows下用多进程其实负面影响挺大的,因为没有fork,只能每次启动新的进程,一些重复加载的程序和数据只能靠慢慢扫描压缩合并,不像Linux从一个运行中的进程fork出来,因为写时复制机制,新占用的资源要小不少。所以Chrome也比较吃内存。

Firefox不使用安全沙箱

Chrome和Internet Explorer使用称为“低完整性模式”或“受保护模式”的现代Windows功能以尽可能少的用户权限运行浏览器进程。 如果在Chrome或IE中发现并利用了浏览器漏洞,则该漏洞利用程序还必须使用某种额外的漏洞来逃脱安全沙箱,并获得对系统其余部分的访问权限。

这个功能自从六年前发布的Windows Vista以来一直存在。 然而,Mozilla的仍然是工作的“低权限火狐”的功能 ,而且也没有时间框架时,沙盒功能将推出给用户。

7. 在浏览器地址栏中输入https到页面展现的短短几秒内

7.1. 网络传输过程

  • 见https笔记

7.2. 浏览器究竟做了什么

7.2.1. 前置知识

  • 现代浏览器都是多进程的
    • 一个进程还可以要求操作系统生成另一个进程来执行不同的任务,系统会为新的进程分配独立的内存,两个进程之间可以使用 IPC (Inter Process Communication)进行通信。很多应用都会采用这样的设计,如果一个工作进程反应迟钝,重启这个进程不会影响应用其它进程的工作。
    • Chrome 采用多进程架构,其顶层存在一个 Browser process 用以协调浏览器的其它进程(Utility Process/Render Process/GPU Process/Plugin Process)
Browser Process负责包括地址栏,书签栏,前进后退按钮等部分的工作; 负责处理浏览器的一些不可见的底层操作,比如网络请求和文件访问;
Renderer Process负责一个 tab 内关于网页呈现的所有事情
Plugin Process负责控制一个网页用到的所有插件,如 flash GPU Process; 负责处理 GPU 相关的任务

Chrome 多进程架构的优缺点

  • 优点
    • 某一渲染进程出问题不会影响其他进程更为安全,在系统层面上限定了不同进程的权限
  • 缺点
    • 由于不同进程间的内存不共享,不同进程的内存常常需要包含相同的内容。

Chrome 把浏览器不同程序的功能看做服务,这些服务可以方便的分割为不同的进程或者合并为一个进程。以 Broswer Process 为例,如果 Chrome 运行在强大的硬件上,它会分割不同的服务到不同的进程,这样 Chrome 整体的运行会更加稳定,但是如果 Chrome 运行在资源贫瘠的设备上,这些服务又会合并到同一个进程中运行,这样可以节省内存

浏览器 Tab 外的工作主要由 Browser Process 掌控,Browser Process 又对这些工作进一步划分,使用不同线程进行处理:

  • UI thread : 控制浏览器上的按钮及输入框;

  • network thread: 处理网络请求,从网上获取数据;

  • storage thread: 控制文件等的访问;

7.2.2. 导航过程

  • 处理输入

    • UI thread 需要判断用户输入的是 URL 还是 query;

  • 开始导航

  • 当用户点击回车键,UI thread 通知 network thread 获取网页内容,并控制 tab 上的 spinner 展现,表示正在加载中。

  • network thread 会执行 DNS 查询,随后为请求建立 TLS 连接。

    • 如果 network thread 接收到了重定向请求头如 301,network thread 会通知 UI thread 服务器要求重定向,之后,另外一个 URL 请求会被触发

  • 读取响应

    • 当请求响应返回的时候,network thread 会依据 Content-Type 及 MIME Type sniffing 判断响应内容的格式
      • 如果响应内容的格式是 HTML ,下一步将会把这些数据传递给 renderer process,如果是 zip 文件或者其它文件,会把相关数据传输给下载管理器
      • Safe Browsing 检查也会在此时触发,如果域名或者请求内容匹配到已知的恶意站点,network thread 会展示一个警告页

  • 查找渲染进程&&确认导航(开始渲染)

7.3. 什么是堡垒机

  • 身份验证 Authentication
  • 账号管理 Account
  • 授权控制 Authorization
  • 安全审计 Audit

    简单总结一句话:堡垒机是用来控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事后溯源.)。

8. telnet vs ssh

1
2
3
$ telnet 192.168.2.10
Trying 192.168.2.10...
Connected to 192.168.2.10 (192.168.2.10).

由于ssh经过加密算法加密,收报文需要解密,发报文需要加密,导致其传输速度、效率较telnet低很多,然而,它却有telnet不具有的安全性

telnet连接的时候直接建立TCP连接,所有传输的数据都是明文传输,所以是一种不安全的方式。

SSH 为Secrue Shell的缩写,SSH 为建立在应用层基础上的安全协议,是比较可靠安全的协议

1
2
3
4
5
6
7
密钥和算法协商阶段,SSH支持多种加密算法,双方根据本端和对端支持的算法,协商出最终使用的算法

认证阶段,SSH客户端向服务器端发起认证请求,服务器端对客户端进行认证

会话请求阶段,认证通过后,客户端向服务器端发送会话请求

交互会话阶段,会话请求通过后,服务器端和客户端进行信息的交互

9. rootkit?

Rootkit是指其主要功能为:隐藏其他程序进程的软件,可能是一个或一个以上的软件组合;广义而言,Rootkit也可视为一项技术。在今天,Rootkit一词更多地是指被作为驱动程序,加载到操作系统内核中的恶意软件。因为其代码运行在特权模式之下,从而能造成意料之外的危险

10. 连不上网检查顺序

11. 参考