HTTP3协议的安全优势与挑战
最后更新 :2022.03.07
HTTP/3是超文本传输协议(HTTP)的第三个正式版本,将改善网络性能和稳定性,解决各种安全隐私问题,但尽管如此,仍存在一些安全挑战。
HTTP/3不再使用传输控制协议(TCP),相反,将使用2012年谷歌提出的QUIC传输协议。实际上,HTTP/3前身是HTTP-over-QUIC。
2018年10月,互联网工程任务组(IETF) HTTP和QUIC工作组主席Mark Nottingham提出了将HTTP-over-QUIC更名为HTTP/3
QUIC是基于用户数据包协议(UDP)连接的复用版本的传输层协议。与TCP不同,UDP不遵循TCP三向交握,而是使用单个UDP往返。因此,在用户代理和Web服务器之间的每个连接都使用UDP,QUIC协议极大地改善了任何web组件的网络性能。
同样,QUIC依靠多路复用来在单个连接上无缝地管理用户代理与服务器之间的多个交互,而没有一个阻塞另一个,因此与以前的版本相比,有助于提高性能。从性能和稳定性的角度考虑,HTTP/3似乎都有很大的优势。从安全性来说,HTTP/3有其先进性也有其局限性。
安全优势
1.端到端加密
TCP协议旨在确保在传输过程中进行有效负载加密,但是对于特定传输的信息仍未加密,所以这会引发许多安全和隐私问题。预防攻击的对策不是在TCP堆栈上,而是在处理协议和网络的网络设备和中间盒上。此外,解析器可以克服负载均衡器和其他网络设备中的这些问题,但它们也还存在严重的性能问题,并且可能会限制网络发展速度和可靠性。
使用QUIC协议时,只有网段中的必填字段未加密,而其余信息默认情况下是加密的。通过查看TCP和QUIC的网络段,我们发现包括数据包标志(数据包NR和ACK NR),窗口和选项的字段在QUIC中已加密,但在TCP中未加密。QUIC中建议加密有助于防止普遍存在的监视攻击(在HTTP / 3的前身中很普遍)以及协议工件和元数据、应用程序数据的侵入式信息收集。
下面的图1显示了QUIC协议在网络分析器工具Wireshark中的呈现方式。根据QUIC的网段,互联网协议(IP)层保存源IP地址和目标IP地址信息。UDP保留源端口和目标端口,而QUIC包含公共标志,数据包编号,连接ID和加密的有效负载。

图1 Wireshark代码段显示QUIC协议的网段
2.TLS安全连接
为了在连接期间支持端到端加密,QUIC主要依赖于加密和传输层握手。由于QUIC直接与TLS 1.3 交互,因此它可用于所有原始连接的授权加密,并且没有禁用TLS。QUIC还负责确保建立安全连接,同时考虑到所有原始连接的机密性和完整性保护。与HTTP / 2 + TLS实现不同,QUIC在其传输上下文中处理TLS握手和警报机制,这反过来又帮助QUIC利用从握手交换的密钥来建立密码保护。
如果我们从整体上考虑该协议,则TLS和QUIC之间存在两个主要通信:
QUIC为TLS提供了稳定的流抽象,通过QUIC发送和接收消息。
TLS使用以下内容更新QUIC组件。
1.秘密的、经过身份验证的加密算法和密钥派生功能(KDF)
2.数据包保护密钥
3.协议状态更改(例如握手状态、服务器证书)
与使用TLS的“ application_data”记录的HTTP/2不同,QUIC使用STREAM帧,通过QUIC数据包形式展现。TLS握手以CRYPTO帧的形式形成,主要由连续流中的握手数据组成。QUIC旨在并行发送数据包,有时会将不同的消息捆绑成一个消息并加密,因为这些消息具有相同的加密级别。此功能为网络性能提供了极大的优势,同时确保在传输过程中应用正确的加密模式。
3.完全正向保密性
当在用户代理和服务器之间交换临时私钥时,可以实现协议中的完全前向保密性(PFS)。用户代理启动的每个会话都使用新的唯一会话密钥,并且它与先前的会话密钥没有任何关系。通过为每次传输使用单独的会话密钥,即使任何会话密钥被泄露,来自较早或将来会话的任何信息也不会受到破坏。从加密角度来看,没有密钥交换可以提供完美前向保密性。但是,完全正向保密性,一个新术语对PFS的实现提供了可能。
QUIC使用TLS 1.3,该协议支持椭圆曲线(EC)DHE密钥交换或有限字段上的预共享密钥(PSK)和Diffie-Hellman(DH)。0-RTT密钥交换提供了完全的正向保密性,因为加密规范仅接受通过0-RTT握手的前向安全连接。尽管TLS 1.2还支持前向保密性,但从技术上讲,当用户代理发送由只有服务器已知的对称密钥保护的机密资料副本时,正向保密性在会话恢复期间会丢失。该协议甚至为用户代理和服务器之间的初始消息提供了完全的正向保密。此外,由于QUIC协议不支持长期密钥,因此QUIC借助TLS 1.3可以使用其协议层为应用程序提供完全正向保密功能。
4.重放攻击防护
除了随机数,QUIC实现还用于存储密钥派生的客户端值。服务器会识别并拒绝具有相同密钥派生值和随机数的任何重复请求。考虑到用户代理和服务器之间的协议通信开销,这种设计被称为性能噩梦。从理论上讲,该解决方案看似适用,但是在实践中,该协议可能会变得很占内存并导致性能问题。当前的设计不是最好的,但是从协议层面来说,这会防止任何服务器多次接受同一密钥。同样,QUIC在初始步骤中不提供重放保护,而是在服务器初始回复后立即开始保护。QUIC是让初始交易能得到应用程序保护并减少协议所占内存。考虑到Web组件可能会使用从会话密钥派生的密钥,因此在此阶段可能会发生重放攻击。但是,可以在应用程序层面使用预防措施来减轻这种情况。
5.IP欺骗保护
QUIC在握手期间支持地址验证,并且需要签名的地址证明,从而消除了任何IP欺骗攻击。IP地址欺骗问题主要在QUIC中通过广泛利用“源地址令牌”来解决,“源地址令牌”是服务器的经过身份验证的加密块,其中包含用户代理的IP地址和服务器的时间戳。用户代理可以重复使用服务器生成的源地址令牌,除非连接更改、IP地址不在变化。由于源地址令牌用作承载令牌,因此它们可以反复使用,并且可以绕过服务器设置的任何IP地址限制。由于服务器仅响应令牌中的IP地址,因此即使是被盗的cookie或令牌也不会成功进行IP欺骗。
6.防止SSL降级
TLS 1.3可以防止TLS降级攻击,因为该协议规定了所有握手通信的密钥哈希,并且要求握手接收方验证发送的密钥哈希。在握手过程中,任何检测到的对客户端功能的篡改尝试都将导致握手终止并出现错误。此外,检测还涉及用户代理与服务器之间的证书验证消息,包括有关特定连接的所有先前消息的PKCS RSA哈希签名。QUIC中的校验和实现将成功防止TLS降级攻击。

安全挑战
1.0-RTT恢复漏洞
HTTP / 3的最大优势之一是0-RTT恢复,它可以极大地提高连接速度并减少延迟。但是,仅当成功建立了先前的连接,并且当前交易使用在上一次连接期间建立了预共享机密时,这一优势才发挥作用。
0-RTT恢复功能存在一些安全方面的缺点。最常见的攻击媒介之一是重放攻击,当对手重新发送初始数据包时可能会造成这种攻击。在特定的情况下,这可能会迫使服务器认为该请求来自先前已知的客户端。恢复0-RTT的另一个安全缺点是完全前向保密的部分失效。如果对手破坏了令牌,那么他们就可以解密用户代理发送的0-RTT通信内容。
2.连接ID操纵攻击
连接ID操纵攻击要求将攻击者处在用户代理与服务器之间。他们可以在交换客户端和服务器问候消息的初始握手期间操纵连接ID。握手将照常进行,服务器假定已建立连接,但是用户代理将无法解密,因为连接ID需要加密密钥派生过程的输入步骤,并且用户代理和服务器将计算不同的加密键。用户代理最终将超时,并向服务器发送错误消息,告知连接已终止。由于客户端使用原始的加密密钥将错误消息加密到服务器,因此服务器将无法解密,并且将保持连接状态,直到空闲连接超时(通常在10分钟内)到期为止。
当大规模执行时,相同的攻击可能会对服务器造成拒绝服务攻击,并保留多个连接,直到连接状态过期。保持连接有效的另一种攻击方法是更改其他参数,例如源地址令牌,从而防止客户端建立任何连接。
2.UDP放大攻击
为了成功进行放大攻击,攻击者必须欺骗受害者的IP地址,并将UDP请求发送到服务器。如果服务器发回更重要的UDP响应,则攻击者可以大规模利用此服务器行为并创建DDOS攻击情形。
具体来说,在QUIC中,当对手从目标接受地址验证令牌并释放最初用于生成令牌的IP地址时,就会发生UDP放大攻击。攻击者可以使用相同的IP地址将0-RTT连接发送回服务器,该IP地址可能已被改为指向不同的端点。通过执行此设置,攻击者可以潜在地指示服务器向受害服务器发送大量流量。为了防止这种攻击,HTTP / 3具有速率限制功能和短暂的验证令牌,可以充当DDOS攻击的补偿控制,同时部分缓解攻击情形。
3.流量耗尽型攻击
当对手有意启动多个连接流时,就会发生流耗尽攻击,这可能导致端点耗尽。攻击者可以通过反复提交大量请求来利用穷尽序列。尽管特定的传输参数可能会限制并发活动流的数量,但是在某些情况下,可能会故意将服务器配置设置为更高数值。由于服务器的协议配置增加了协议性能,因此受害服务器可能成为此类攻击的目标。
4.连接重置攻击
连接重置攻击主要是向受害者发送无状态重置,从而可能产生类似于TCP重置注入攻击的拒绝服务攻击。如果攻击者可以获得具有特定连接ID的连接生成的重置令牌,则可能存在潜在的攻击媒介。最后,攻击者可以使用生成的令牌重置具有相同连接ID的活动连接,从而使服务器等待连接,直到发生超时为止。如果大规模进行此攻击,则服务器必须大量消耗其资源,以等待连接完成。
5.QUIC版本降级攻击
QUIC数据包保护为通信中的所有数据包(版本协商数据包除外)提供身份验证和加密。版本协商数据包旨在协商用户代理和服务器之间QUIC的版本。该功能可能允许攻击者将版本降级到QUIC的不安全版本。该攻击目前暂时不会发生,因为只有QUIC的一个版本,但是将来需要注意。
6.缺少监视支持
尽管一些用户代理,服务器和信誉良好的网站支持HTTP3 / QUIC,但是许多网络设备(例如反向/正向代理,负载均衡器,Web应用程序防火墙和安全事件监视工具)并不完全支持HTTP / 3。与TCP不同,QUIC连接中不需要套接字,这使得检测主机和恶意连接变得更加困难。恶意攻击者可能能够通过QUIC中继恶意有效载荷并执行数据泄露攻击,并且保持隐身状态,因为大多数检测工具无法检测到QUIC流量。
QUIC的历史
2016年,互联网工程任务组(IETF)开始标准化Google的QUIC,并宣布IETF QUIC成为新HTTP / 3版本的基础。但是,出于性能和安全方面的考虑,IETF QUIC与原始QUIC设计大相径庭。
TCP上的传统Web流量需要三向握手。QUIC使用UDP,由于往返次数减少和发送的数据包减少,因此延迟减少,从而加快了网络流量传输。UDP除了速度更快之外,还具有其他优点,包括连接迁移、改进延迟、拥塞控制和内置加密。根据Google的说法, “与TCP + TLS的1-3次往返相比, QUIC握手通常需要零往返来发送有效负载。” 第一个连接需要一个往返,而随后的连接则不需要任何往返。同样,由于QUIC用于多路复用操作,因此与TCP相比,它在数据包丢失方面做得更好,并且握手速度更快。
Google的QUIC版本现在是gQUIC。从gQUIC进化的HTTP / 3,具备了重大的改进,并得到IETF工作组的贡献和增强。尽管从技术上讲HTTP / 3是完整的应用程序协议,但QUIC指的是基础传输协议,它不限于服务Web流量。UDP是无连接的,不是很可靠。QUIC通过在UDP上添加类似于TCP的堆栈,来添加可靠的连接,并在其之上重新发送具有流控制功能的方式来克服这些限制,同时解决了TCP的行头阻塞问题。
HTTP / 3使用UDP,类似于HTTP / 2使用TCP的方式。每个连接都有几个并行流,这些并行流用于通过单个连接同时传输数据,而不会影响其他流。因此,与TCP不同,为特定的单个流承载数据的丢失数据包只会影响该特定的流。然后,每个流帧都可以在到达时立即分配给该流,因此可以在不丢失任何流的情况下继续在应用程序中重新组合。QUIC的这种连接建立策略是通过加密和传输握手的组合来实现的。
和HTTP/2的比较分析
QUIC旨在通过减轻HTTP/2的数据包丢失和延迟问题来提高性能。虽然HTTP/2对每个数据来源使用单个TCP连接,但这会导致行头阻塞问题。例如,一个请求的对象可能会停滞在另一个遭受丢失的对象之后,直到该对象恢复为止。QUIC通过将HTTP/2的流层向下推送到传输层来解决此问题,从而避免了应用程序层和传输层的问题。HTTP/3还支持多路复用,在与TLS直接集成的同时,提供独立于其他连接请求的请求。尽管HTTP/2和HTTP/3的工作方式相似,但以下是HTTP/2和HTTP/3的一些重要区别。
区别 | HTTP/2 | HTTP/3 |
传输 | TCP | 基于UDP的QUIC |
流层 | 应用 | 传输 |
默认加密 | 无 | 有 |
独立流 | 无 | 有 |
报头压缩 | HPACK | QPACK |
握手 | 更快的0-RTT | TCP+TLS的1-3RTT |
连接消除 | 无 | 有 |
拥塞控制损失恢复 | 由TCP执行 | 由QUIC执行 |
从网络堆栈的角度来看,HTTP/2广泛使用了符合HTTP标准的TLS 1.2+,底层的TCP充当了传输协议。但是,在HTTP/3中,默认情况下,除了QUIC以外,还使用TLS 1.3,而UDP是传输协议。下图说明了QUIC在网络协议堆栈中的位置。相比之下,以前的版本使用TLS 1.2,并使用TCP的拥塞控制丢失恢复功能,而HTTP/2处理多流功能。

图2: QUIC在网络协议堆栈中的位置
连接ID的优势
TCP连接即利用数据源和目标网络实体(主要是地址和端口)来标识特定连接。但是,QUIC连接使用连接ID,它是64位随机生成的客户端标识符。这项更改对于当前的Web技术非常有利,主要是因为要求它们支持用户的移动性。如果用户从Wi-Fi网络移动到蜂窝网络,则HTTP/2 TCP协议将需要基于当前地址建立新的连接。但是,由于HTTP/3 QUIC协议使用随机连接ID,因此当从蜂窝网络转移到Wi-Fi连接时,HTTP/3上的客户端更改IP地址将继续使用现有的连接ID而不会中断。
从协议的角度来看,连接ID提供了其他好处。服务器和用户代理可以使用连接ID识别原始连接和重传连接,并避免TCP中普遍存在的重传歧义问题。
结论
QUIC已获得多数浏览器的支持。YouTube和Facebook等重要网站已启用该功能,可以更快地加载页面。在撰写本文时,目前只有4%的顶级网站支持QUIC。微软已经宣布,他们将在内核中交付带有通用QUIC库MsQuic的Windows,以支持各种收件箱功能。
QUIC和HTTP/3旨在满足当今互联网网络性能、可靠性和安全性的目标。强制性支持TLS 1.3的安全性得到了显着改善,从而解决了HTTP/2和早期版本的HTTP的弱点。在HTTP/3传输过程中使用端到端加密有助于抵御攻击者和数据聚合者的一些隐私问题。尽管存在一些弱点,但从性能和安全性角度来看,HTTP/3仍将继续发展,不管怎么说都是对HTTP/2的重大改进。
- END -
网络安全自学从哪里入手?

网络安全自学从哪里入手?作者:时间:2023-08-17 17:42:43网络安全培训 网络安全培训班 ...
如何挑选一个靠谱的网络安全培训机构

如何挑选一个靠谱的网络安全培训机构作者:时间:2023-08-08 15:13:10网络安全培训 网...
这些“诈骗”手段不知道,你的钱包绝对要空

这些“诈骗”手段不知道,你的钱包绝对要空一、增长速度最快的诈骗2023年,令人震...
养老金收不抵支,学网络安全赢在未来

养老金收不抵支 未来你怎么办?你知道未来养老金的来源是什么吗?我们每个人工作后,都会缴纳...
这个行业人才短缺,连欧盟都急了

近期,欧盟网络安全局 (ENISA) 组织了一场名为“网络安全技能会”的会议。参会人员来自各...
网络安全发展前景怎么样?网络安全行业的重要性和必要性

网络安全是当今信息时代中至关重要的一环,随着互联网的普及和信息化程度的不断提高,网络安...
网络安全工程师必知的头号间谍武器“飞马”

网络安全工程师必知的头号间谍武器飞马本月10日,西班牙政府发言人爆出一条消息,西班牙内政...
那些说网络安全不好就业的,你能力真的满足企业要求吗?
前段时间,遇到网友提问,说为什么我信息安全专业的找不到工作?造成这个结果主要是有两大方...
小白必懂,什么是网络安全交换机?

小白必懂,什么是网络安全交换机?网络安全交换机是一种专门设计用于增强网络安全性的网络设...
女生学网络安全有企业要吗?

近期,网络安全行业逐渐推上浪潮,从以往的小众走向蓬勃发展。已经成为了大部分人心中热门的...
什么是渗透测试?

网盾带你深入了解渗透测试渗透测试(Pentest),并没有一个标准的定义,国外一些安全组织达成...
毕业旅行的夏天怎么过,来湖北武汉找网盾来学习网络安全吧!

我刚大学毕业,想好好安排一下自己的毕业旅行。于是兴高采烈开始搜索“2021年暑假去哪儿玩...
零基础小白转行学网络安全,是否可行?

零基础小白转行学网络安全,是否可行?在现代社会中,网络安全已经成为了人们日常生活中不可或...
2024年网络安全面临的新型威胁

2024年网络安全面临的新型威胁如今,网络犯罪已成为全球“GDP”增长速度惊人的...
什么是网络安全等级保护咨询师、测评师

什么是网络安全等级保护咨询师、测评师网络安全等级保护咨询师是网络安全合规管理类岗位...
萝莉岛事件再次发酵,让我想起那位“英雄黑客”

萝莉岛事件再次发酵,让我想起那位“英雄黑客”最近,灯塔国大选在即,萝莉岛事件再...
网络安全培训完就业一般,为什么还有那么多人学?

网络安全培训完就业一般,为什么还有那么多人学?这个问题经常有人问,那我们就好好解答下同学...
什么是安全产品售前工程师

什么是安全产品售前工程师安全产品售前工程师是网络安全合规管理类岗位下的一个子类别。...
IT行业究竟还有哪些优势,让它如此吸引人呢?

信息技术作为一种新兴产业,近十余年来迅速崛起,已然成为推动我国经济增长的重要引擎之一。...
电子商务营销专业转行,做什么前景更好?
现阶段,很多学习电子商务专业的学子们,都遇到了“毕业即失业”的现象。即使找到了工作,也...
计算机0基础怎么学渗透测试?
计算机0基础怎么学渗透测试?想必也是大都市小白想了解的话题,下面就给大家详细讲解一下:第...
等保2.0涉及的Apache Tomcat中间件(上)

这里就谈谈等保2.0要求,对应到Apache Tomcat中间件的一些条款要求。安装步骤略过,我们直接...
2022年网络安全威胁趋势情况如何?这份报告看一看
近日,Skybox Security发布《2022年脆弱性和威胁趋势》报告,对2022年的脆弱性和趋势进行了...
黑客技术难不难?要怎么学?

黑客技术难不难?要怎么学?作者:时间:2023-08-15 16:53:54网络安全培训 网络安全培训班 ...
为什么现在应届大学生都这么想从事IT互联网行业呢?

近日,智联招聘最新发布《大学生就业力调研报告》,报告显示,2024届求职毕业生期望行业中,IT互...
企业如何开展网络安全专题教育培训

企业如何开展网络安全专题教育培训如今,网络安全形势日益严峻,网络和信息系统已经成为关键...
零基础自学网络安全从哪开始?零基础学网络安全的难度如何?

网络安全作为当今信息社会中的重要议题,受到了广泛的关注。随着网络攻击和数据泄露事件的...
一文解释清楚网络安全中二进制安全和逆向工程

一文解释清楚网络安全中二进制安全和逆向工程作者:时间:2023-08-16 16:58:29网络安全培训...
2024学网络安全好吗?网络安全工程师就业前景如何?

在21世纪的信息化浪潮中,网络已成为我们生活中不可或缺的一部分。然而,随着网络的普及和应...
it行业内卷后,网络安全人才紧缺,武汉这学院学生成“香饽饽”!

这两年,随着信息技术的飞速发展,各类新技术、新产业不断涌现,给生活带来大便利的同时,也给信...
什么是应急响应工程师

什么是应急响应工程师应急响应工程师是网络安全大方向下网络安全运行与维护岗的一个细分...
深夜被上百条短信轰炸,你的手机号还安全吗?

【揭秘!】深夜被上百条短信轰炸,你的手机号安全吗?深夜,城市的霓虹灯渐渐熄灭,人们沉浸在甜美...
无视网络安全法的滴滴,究竟干了什么被罚80.26亿

昨天,国家互联网信息办公室公布了对滴滴依法作出网络安全审查相关行政处罚80.26亿的决定...
想从事网络安全,发展前景怎么样?

想从事网络安全,发展前景怎么样?作者:时间:2023-08-15 16:06:11网络安全培训 网络安全...
史上最大规模数据泄漏:涉及巨量个人信息

史上最大规模数据泄漏:涉及巨量个人信息最近,安全研究专家Bob Dyachenko和Cybernews团队发...
2023年还能转行IT吗?建议培训网络安全

2023年还能转行IT吗?建议培训网络安全作者:时间:2023-08-09 14:50:57网络安全培训 网...
元宇宙带来的网络安全问题:身份匿名性将不复存在
美国加州大学伯克利分校的最新论文表明,未来元宇宙有没有隐私可言,取决于有没有新保障措...
什么是“身份识别与访问管理”,产品与企业有哪些

身份识别与访问管理,IAM(Identity and Access Management 的缩写),即具有单点登录、强大的认...
现在企业出现网络安全问题的原因都有哪些?

近年来网络安全问题层出不穷,信息泄露、网络钓鱼、黑客攻击等问题频繁发生。 尽管有...
究竟什么是密码学?

什么是密码学?密码学(Cryptology)是一种用来混淆的技术,它希望将正常的、可识别的信息转变...
任正非的“活下去” 对于普通年轻人择业的警示
22号,华为内部论坛上线了一篇关于《整个公司的经营方针要从追求规模转向追求利润和现金...
网络安全培训学哪些内容才能就业?能做什么工作?薪资多少呢?

2021国家网络安全宣传周发布《网络安全人才发展报告》(以下简称“报告”)。调研...
考研失败的同学,换个成长思路吧
考研成绩出来了。成绩不理想的你是否内心五味杂陈,有些同学甚至是二战三战。你可能在为...
网络安全就业是否会容易被淘汰呢?

网络安全就业是否会容易被淘汰呢?在这个瞬息万变的时代,网络安全已经成为了人们生活中不可...
白帽子:聊聊安全界的那些书

感觉今年的安全书籍相对比较萧条,而那本CTF书着实火了一把,其它新出安全书籍其实不多了。...
2021年网络安全行业怎么样,市场空缺还大吗?

可以这么说,未来10年都将是网络安全人才就业的黄金期。咱们通过客观数据来说话:这是16年-2...
教育部:网络安全等16个领域纳入国家安全教育 大中小学全覆盖

从教育部获悉,为深入学习贯彻习近平总书记总体国家安全观,结合教育系统实际,教育部2020年9...
数字安全巨头出事了,全球恐遭毁灭性打击

近期,据BleepingComputer最新报道,数字安全巨头Entrust Inc遭到勒索软件团伙攻击。直到7月...
年薪50万需要付出多少努力

年薪50万需要付出多少努力在人均百万年薪的知乎谈这个话题似乎略显寒酸,但根据现实数据来...
什么是移动安全?5G将面临的安全挑战

什么是移动安全?移动安全泛指以移动化为核心,把端点安全、数据安全、业务安全融合在一起。...
隐秘的战争:中国网络安全发展大事记

隐秘的战争:中国网络安全发展大事记今年,黑客和网络攻击这两个词频频出现在我们的视野中。...
网络安全培训出来为什么好找工作?

盾叔最近看到一个问题,问网络安全培训出来为什么好找工作?在解释这个问题之前,我们应该先要...
“央视”着重点名,这一行业“人才缺口超300多万”,将成为下一任“风口”!

在2021年,我国出台政策之多,力度之大,不亚于任何时候,像限制教培、调控房地产、反垄断、政...
痛失2023考研机会的“阳过”们,新年转战学这个技能重新起飞
从进到十二月份开始,全国各地陆续宣布实行放开政策,面对疫情不再实行“严防死守”的管控...
学网络安全需要报名参加培训吗?如何选择培训机构?

在云计算、大数据、工业互联网、物联网等行业快速发展所带来的下游客户的安全需求增长下...
怎么零基础入门网络安全?网络安全入门教程详解

怎么零基础入门网络安全?网络安全入门教程详解作者:时间:2023-07-14 17:24:02网络安全培训...
网络安全就业前景如何?就业有那些优势?

众所周知,网络安全与我们息息相关,无论是企业还是个人都应该重视网络安全。而且网络安全是...
什么是网络安全监测工程师

什么是网络安全监测工程师网络安全监测工程师是网络安全大方向下网络安全应急与防御岗的...
什么是XSS攻击?有哪些攻击原理?
什么是XSS攻击?XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意...
什么是DNS服务器?有哪些作用?
什么是DNS服务器?DNS服务器是(Domain Name System或者Domain Name Service)域名系统或者...
在培训班学完网络安全真的能找到工作吗?

学技术,很多小伙伴都会选择参加培训,即便是网络安全也是如此。但在参加培训前,需要投入大量...
在渗透测试中,kali可以用来做什么?
在渗透测试中,kali可以用来做什么?很多小白在学习渗透测试过程中会运用到kali ,那么什么是...
网络安全培训哪家更靠谱?

网络安全培训哪家更靠谱?在回答这个问题之前,我还是要先强调一点:对于大部分网络小白来说,...
苹果用户警惕这款黑客程序

苹果用户警惕这款黑客程序看来,MAC系统也没有想象中安全了。最近,Malwarebytes(反恶意软件...
年终了,这个退税邮件千万别点!

年终了,这个退税邮件千万别点!最近,一位名叫刘女士的外地市民在上班时收到了一封名为&ldquo...
网络安全行业就业形势如何?如何才能成为网络安全工程师?

近年来,随着网络安全市场的不断扩大,网络安全行业已经成为了全球最热门、最具潜力的行业之...
在暗网上分享数百万儿童色情图片的男子被判入狱27年
一名爱尔兰裔美国双重公民因在暗网上分享数百万张描绘儿童、幼儿和婴儿性虐待的图像而被判处27年美国联邦监狱。都柏林居民Eric Eoin Marques于2019年3月23日被引渡到美国,面临2013年8月8日在马里兰州提起的联邦刑事指...
网盾将与奇安信联合开展QCCA认证培训

基于国家网络空间安全战略,围绕企业用户的网络安全人才需求,实现应用型网络安全人才能力的...
全球数百万用户恐遭信息泄露,罪魁祸首竟是“它”

近日,安全研究人员发现,MICODUS MV720 GPS设备存在诸多高风险漏洞,数百万用户分布在世界169...
等保2.0涉及的Apache Tomcat中间件(下)

一、访问控制首先这里的访问控制要求,就是针对tomcat管理控制台中的用户权限,即Tomcat Man...
小心!这些不起眼的日常小东西可以黑进你的设备
一、线缆(数据线)国外一个叫MG的小哥,曾制作了一个入侵数据线。攻击者可以利用它破坏苹果...
Chart GPT 暗黑版上线,网络安全问题已经显现

Chart GPT刚刚发布,一位不知名的作者将它的孪生兄弟“DAN”就在世界上最黑暗的暗网上线...
数据泄露的受害者们过得怎么样?财务情况、情感和身体状况

将近 30%的受害者受到多种身份凭证泄露的影响。过去,我们更多地关注着数据泄露对于企业造...
网络安全学习必须了解的操作系统和工具

网络安全学习必须了解的操作系统和工具在网络安全专业领域,工具至关重要。网络安全专家、...
什么是安全取证工程师?

什么是安全取证工程师?首先需要了解什么是网络取证?网络取证是是抓取、记录和分析网络事件...
网络安全培训机构哪家好

目前网络安全行业火热,无论是刚毕业的大学生还是有一定经验的it从业者,都希望成为一名网络...
靶机渗透之Me And My GirlFrends

靶机渗透之Me And My GirlFrends官网下载:http://www.vulnhub.com/entry/me-and-my-girl...
这种“二维码”你居然还敢扫?
如今,由于越来越多企业的员工接受过安全意识培训。不会再轻易点击邮件中的可疑链接。所...
网络安全培训机构排名

一提到网络安全培训机构,总会有一部分人跳出来说这一行培训劝退,建议自学。盾叔经过分析后...
网络安全工程师提示你 不要随意把这些东西借给别人

网络安全工程师提示你 不要随意把这些东西借给别人当知根知底的老朋友突然找到你,以工...
学习网络安全需要多少钱?网络安全学费是多少?

学习网络安全需要多少钱?网络安全学费是多少?作者:时间:2023-08-19 11:11:40网络安全培训 ...
中小型游戏为什么容易被攻击

游戏作为最容易遭到黑客攻击行业,尤其是一些比较出名的平台,越火爆风险就更高一些。究竟为...
零基础小白学习网络安全指南 收藏这一篇就够了

网络安全对于现代社会的重要性不言而喻,它关乎到个人信息安全、企业机密保护乃至国家安全...
安服岗和渗透岗有什么区别?

安服岗和渗透岗有什么区别?经常收到小伙伴的来信,想要知道安服岗和渗透岗这两个岗位的区别...
如何选择适合的网络安全培训课程?并且提供认可度高的证书?

如何选择适合的网络安全培训课程?并且提供认可度高的证书?作者:时间:2023-07-31 15:29:21网...
《2023年全球网络安全人才发展报告》主要内容

《2023年全球网络安全人才发展报告》主要内容国际信息系统安全认证联盟(ISC2)刚刚发布了20...
什么是云计算产品安全分析师?

什么是云计算产品安全分析师?云计算产品安全分析师是网络安全大方向下网络安全规划与设计...
为什么越来越多的IT人才开始转行网络安全领域?

众所周知,IT技术是当今社会发展的引擎,而网络安全则是维护网络稳定和人们生活安全的重要屏...
年薪50万+,网络安全岗位太稀缺,这个比黑客更“强”的职业怎样

现如今,新冠疫情已经常态化,它对生活影响的同时,更是导致了行业的两极分化,有的开始消沉倦怠...
年底还找不到工作建议进厂?建议不要听专家的建议,看这篇就有方向了

情叠加经济衰退,今年就业已经成了让政府头疼的一个大问题。一方面一千多万的大学毕业生...
新技术背景下,谁会最先被社会抛弃

北大戴锦华教授最近关于就业问题,发表了她的一个看法:今天世界上急剧发生的是,一个全新的...
学员集体参观网盾数据中心

参观机房,是每一个网安人员学习过程中非常重要的一个环节,通过实际探访,才能对自己的工作有...
今后什么工作还能挣大钱?网络安全可以吗

今后什么工作还能挣大钱?疫情后经济下行,房地产等众多传统产业落幕,失业潮一波接着一波。...
警惕!美国中情局主战网络攻击武器曝光,网络安全问题成最关键

近期,美国通过网络对全球进行监控窃密的又一主战装备曝光,这一主战装备即为美国中央情报局...
零日漏洞事件频频发生,该如何防范?

据BleepingComputer报道,攻击者利用GeneralBytes旗下比特币ATM服务器中的零日漏洞从客户...
篡改河南储户红码的“黑客”你知道吗?

最近,河南又爆出一惊人红码丑闻,让人直呼魔幻现实。前有多家暴雷村镇银行的储户被莫名赋红...
很多在选择网络安全工程师(黑客或白帽)与程序员如何纠结?

很多在选择网络安全工程师(黑客或白帽)与程序员有那些差别?有人说“要想成为高深的...
网络安全工程师必须了解的5种新型恶意软件

网络安全工程师必须了解的5种新型恶意软件当前,恶意软件正在逐渐演变成一个复杂多变的网...
汽车网络安全“多管齐下”
全球范围内对于智能汽车的网络安全监管已经进入实质性落地阶段。今年8月,工业和信息化部发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》(下称《意见》),其中,汽车数据安全、网络安全、软件升级成为智能网联...
这个技能学会了,不考研也能迅速找到高薪工作!

近几年“考研热”持续升温,报名人数和报录比屡创新高。据数据显示:2003年全国考研人数仅...
- 数据加载中,请稍后...