day3 安全见闻 (2)
声明:
本系列笔记只为纪录学习过程和师傅们探讨,发布在站内的版本经我本人反复查对,已对涉密及敏感信息举行处理,如涉及侵权或违规请联系我马上删除文章。笔记所提到的统统内容,只做学习和交流用途,严禁用于任何非法或未授权的用途!!如有违规操作与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自尊!!!!
感谢泷羽sec团队提供的免费渗透测试系列视频课程,有兴趣的小伙伴可以点击下面毗连进入b站主页B站泷羽sec
协议实现问题
6、协议计划缺陷
7、移动通讯协议安全问题
8、物联网通讯协议安全问题
9、工业控制系统通讯协议安全问题
- 及时性要求与安全的冲突
- 与传统IT行业的融合带来的风险
热门证书
OSCP(Offensive Security Certified Professional)
OSCP 是由 Offensive Security(Kali系统方) 提供的认证,主要针对渗透测试领域的从业者。它被广泛以为是信息安全行业内最具实践性和技术含量的认证之一。
- 考点:
- 信息收集
包罗网络侦察、端口扫描、服务识别等。
- 漏洞发现
常见漏洞如sql注入、缓冲区溢出、文件上传漏洞等。
- 漏洞利用
掌握各种漏洞的利用方法,获取系统权限。
- 后渗透测试
包罗权限提升、横向移动、数据窃取等。
- 练习方法
- 学习基础知识:掌握网络、操作系统、数据库等基础知识,了解常见漏洞类型和利用方法。
- 搭建实验环境:利用假造机搭建各种渗透测试环境,举行实践操作。
- 参加培训l课程:Offensive Security 扌提供官方培训课程,也有一些第三方培训机构提供相关课程
- 练习靶场:利用在线渗透测试靶场,如 Hack The Box、VulnHub等举行练习。
OSEP(Offensive Security Experienced Penetration Tester)
OSEP 是 Offensive Security 提供的更高级别认证,适合已经掌握 OSCP 内容,且想进一步提升高级渗透测试技术的从业者。它专注于绕过防御机制和实施复杂攻击。
主要内容:
- 绕过现代防御系统(如防病毒、EDR)。
- 高级漏洞利用(如绕过防御和安全机制)。
- 社会工程与 Web 应用攻击。
- 后渗透测试技术,包罗数据窃取、权限维持。
- 红队与蓝队协作相关知识。
适合人群:
- 已通过 OSCP 或有丰富渗透测试经验的高级安全从业者。
- 盼望在红队模仿、社会工程、复杂网络攻击方面进一步提高技能的安全人员。
考试情势:
难度:
- 比 OSCP 更高,需要熟悉高级渗透技术。
- 需具备肯定的编程能力(如 PowerShell 和 C#)和防御机制知识。
CISSP(Certified Information Systems Security Professional)
定位:
CISSP 是由 (ISC)² 提供的国际公认的信息安全管理与战略证书,主要针对信息安全的管理人员和高级顾问。
主要内容:
CISSP 覆盖了 8 个信息安全领域,全面侧重安全战略和管理:
- 安全与风险管理。
- 资产安全。
- 安全架构与工程。
- 通信与网络安全。
- 身份与访问管理。
- 安全评估与测试。
- 安全运维。
- 软件开发安全。
适合人群:
- 高级安全顾问、安全架构师、信息安全管理者。
- 负责企业信息安全战略、政策制定的人员。
- 盼望从事 CISO(首席信息安全官)或类似高级管理职位的人。
考试情势:
- 理论为主:采用多选题情势(CAT 自适应测试)。
- 需要展示全面的信息安全理论知识。
难度:
- 对管理和理论知识要求高。
- 需要至少 5 年安全领域工作经验(可通过相关教育或认证减免部分)。
硬件设备的网络安全问题点
1、物理安全问题
- 设备被盗或破坏
- 环境因素
- 温度、湿度、尘土等导致设备故障,让攻击者有可乘之机。
2、供应链安全问题
3、设备漏洞问题
4、网络毗连问题
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
