这是我参与「第五届青训营」伴学笔记创作活动的第 12 天

零、前言

本文记录和整理了本人在跟随字节青训营学习的一些我个人感觉比较重要的内容和知识，也有一部分内容是我认为自己比较难理解或记忆的，也一并记录于此文。

撰写本文的目的主要是方便我自己的复习和查阅，倘若各位读者有与我相似的问题，也可以参考之，如果对各位有帮助那就是我莫大的荣幸，也期望各位不吝赐教，多多指出我的问题，可以在下方留言或者私信我。

一、概述与课前思考

概述：

企业的信息安全体系是非常庞大的，任何一个环节都可能会出现安全风险。其中，黑灰产是安全人员最为关注的一个风险来源，也是历年来导致企业和用户损失最大的因素。

如果某个平台或者业务被黑灰产盯上，可能是因为这个业务存在安全隐患被黑灰产利用，也可能只是被黑灰产当做牟利的垫脚石。对黑灰产的监控和防御，就是要了解他们的意图、手段和行为模式，避免被黑灰产攻击或者利用。

更多内容请参考：搜索 - FreeBuf网络安全行业门户

思考：

• 身边是否有一些事情是可能与黑产有关的，如何辨别？

• 你当前所学习和研究的技术，是否存在一些公开的安全问题，

  比如漏洞或者设计缺陷？如何避免他人利用这些问题来攻击你？

• 如果无法避免被攻击，如何将损失降低到最小？

Answer：

• 检测与黑色或灰色市场活动相关的网络安全事件可能具有挑战性，但有一些迹象可以表明潜在的问题。

  例如，异常的网络流量模式、系统配置的意外更改、异常的错误或崩溃都可能是潜在安全漏洞的指示器。为了防止这些事件的发生，实施强有力的安全控制是很重要的，

  例如防火墙、入侵检测系统和定期的软件更新，

  并对监视网络活动以发现恶意行为的迹象保持警惕。

• 任何技术都可能存在安全漏洞和设计缺陷，

  了解这些潜在问题以防止攻击是很重要的。

  这包括使用最新的安全补丁更新软件，使用强密码和加密，以及遵循安全编码的最佳实践。

  定期的安全评估和渗透测试也可以帮助识别潜在的漏洞，防止它们被攻击者利用。

• 在攻击发生时，设计良好的事件响应计划非常重要，以最大限度地减少影响和损害。

  这包括备份关键数据，断开受影响系统与网络的连接，以及向相关部门报告事件。

  此外，重要的是实施事件后措施，如审查事件，确定原因，并采取措施防止未来的事件。

二、黑灰产与攻击举例

• 第四方支付黑灰产
• DDoS威胁与黑灰产业
• 金融反欺诈调查报告
• 网络博彩黑灰产业链
• 短视频黑灰产业
• ...

服务器安全

就用服务器安全来举例，具体如何确保服务器的安全呢？

• 使用防火墙：保护服务器的最有效方法之一是使用防火墙阻止所有不必要的传入流量。您可以使用 Linux 系统或硬件防火墙上的 iptables 来执行此操作。
• 关闭不必要的端口：确保关闭服务器正常运行不需要的任何端口。这将减少服务器的攻击面，并使攻击者更难获得访问权限。
• 使用强密码：为您的所有帐户使用长而复杂的密码，并考虑使用密码管理器安全地存储它们。
• 使系统保持最新：确保使用最新的安全修补程序使操作系统和软件保持最新状态。这将有助于防止漏洞被攻击者利用。
• 使用 SSL/TLS 进行通信：使用安全套接字层 （SSL） 或传输层安全性 （TLS） 加密服务器和客户端设备之间的通信。这将有助于防范中间人攻击和其他类型的网络威胁。
• 使用入侵检测系统 （IDS）：IDS 监控网络流量并提醒您任何可疑活动，这可以帮助您及时识别和响应潜在威胁。
• 启用双因素身份验证：除了密码之外，双因素身份验证还要求第二种形式的身份验证（例如发送到手机的代码），从而为您的帐户增加了额外的安全层。

Content Security Policy 内容安全策略

内容安全策略 是附加的安全层，有助于检测和缓解某些类型的攻击， 包括跨站点脚本 XSS 和数据注入攻击。 这些攻击用于从数据盗窃到站点污损再到恶意软件分发的所有内容。

CSP 被设计为完全向后兼容。 不支持它的浏览器仍然可以与实现它的服务器一起工作，反之亦然：不支持CSP的浏览器会忽略它，照常运行，默认为Web内容的标准同源策略。

如果站点不提供 CSP 标头，浏览器同样使用标准的同源策略。

若要启用 CSP，需要将 Web 服务器配置为返回内容安全策略 HTTP 标头。

或者，可以使用 元素来配置策略，例如：

<meta
  http-equiv="Content-Security-Policy"
  content="default-src 'self'; img-src https://*; child-src 'none';" />