APP权限过多问题引起关注。 确保安全,必须遵循“最少充足”原则。
.png)
6月初,全国信息安全标准化技术委员会发布了《网络安全实践指南——移动互联网应用基本业务功能所需的信息规范》,本着最少、充分的原则,个人信息收集和不同类型的APP。并为地图导航、网络购物、外卖等16类APP收集个人信息的范围提供参考。6月10日至17日,记者按照《信息标准》中的分类,挑选了50款常用APP,对其请求的权限和信息采集范围进行了实际测试。发现,如果严格按照《信息标准》规定的信息采集范围,这50个APP中,有24个APP请求权限超出范围。透明和确保安全的六项原则。在本次测试中,50款应用程序在请求权限时明确提醒用户,遵循“选择加入”的原则。
6月初,全国信息安全标准化技术委员会发布了《网络安全实践指南——移动互联网应用基本业务功能所需的信息规范》(以下简称《信息规范》),本着最少、充分的原则,个人信息收集和不同类型的APP。 并为地图导航、网络购物、外卖等16类APP收集个人信息的范围提供参考。
6月10日至17日,记者按照《信息标准》中的分类,挑选了50款常用APP,对其请求的权限和信息采集范围进行了实际测试。 发现,如果严格按照《信息标准》规定的信息采集范围,这50个APP中,有24个APP请求权限超出范围。 例如,智联招聘请求摄像头、位置和通讯录权限,百合婚姻收集通讯录权限。
不过记者发现,一些App索取超出《信息标准》权限的行为也是有正当理由的。
“《信息标准》对于当前一些App过度收集个人信息的行为是有帮助的,也是一个非常好的方向,但另一方面,判断企业应该收集哪些个人信息往往并不是特别容易。对于这种情况,我认为更重要的是看企业后续对数据的处理和使用是否规范、合规,这应该是监管的重点。” 6月11日,中国人民大学法学院副教授丁晓东告诉记者。
APP收集个人信息遵循的原则
权力和责任的协调
明确的目的
至少够用
同意
公开透明
确保安全
超过一半的应用程序遵循最少足够的原则
18款APP请求位置信息“超规格”
《信息标准》指出,移动互联网应用个人信息收集活动主要依据《信息安全技术个人信息安全标准》中的《个人信息安全基本原则》,遵循权责一致、明确的原则。目的、最低充分性、同意选择和披露。 透明和确保安全的六项原则。
2018年1月,记者根据上述原则对20款主流APP进行测试,发现不少APP不仅越界主张权利,而且未能向用户提供明确的提醒。
在本次测试中,50款应用程序在请求权限时明确提醒用户,遵循“选择加入”的原则。 但记者发现,一些App在“至少足够”和“目的明确”的原则上仍然不够完善。
“最少足够”原则是指不收集与APP提供的服务无关的个人信息,也不申请收集无关个人信息的许可。 仅收集履行业务功能所需的最少类型和数量的个人信息,并且自动收集个人信息的频率不高于业务功能实际需要的频率。
《信息标准》将APP“非跨境”请求的信息分为两类:与一般功能相关的必要信息和必要信息。
其中,与一般功能相关的必要信息是指根据相关法律法规保证移动互联网应用安全风险管控所必需的个人信息。 记者发现,这主要包括手机权限等; 必要的信息主要包括与APP中基本业务功能的直接连接。 一旦个人信息缺失,基本业务功能将无法实现或无法正常运行,例如导航APP的位置、票务APP的名称等。
记者按照这一规定对50个常用App进行测试,发现有24个App开启的权限违反了“最少足够”原则,而在开启的多个权限中,位置信息被获取共计18次。
位置是请求次数最多的权限。 根据《信息标准》,地图导航和网约车应用需要位置信息。 对于快递、网购等品类的APP,虽然没有直接说明必要的位置信息,但说明APP可以记录送货地址、购物地址等。
记者测试发现,除了上述类别的App外,新闻资讯、房产交易、汽车交易等类别中共有18款App也开启了位置权限。 例如,中国建设银行、京东金融、优信二手车等应用程序都请求了位置信息。 根据《信息规范》,这些APP启用位置权限的行为“非业务功能所必需”。
在这些APP中,一些请求位置权限的APP具有打开后需要立即使用的功能。 例如,优信二手车APP下载后立即需要位置权限,为二手车提供“上门服务”。 还有一些APP有相应的功能但并不需要立即使用。 例如,京东金融有本地生活栏目,豆瓣有“豆瓣城市”。 然而,这些APP在打开后会立即询问用户位置许可。
在很多用户看来,有些App收集位置信息是可以理解的,比如微信、抖音等,可以在发送消息时“显示位置”。
对此,丁晓东告诉记者,《信息标准》是有帮助的,对于一些APP过度收集个人信息是一个很好的方向。 但另一方面,很多时候,对于企业应该收集哪些个人信息,并不是特别容易判断,因为APP的很多业务功能都会扩展,而且很多业务的使用场景也不同。 另外,APP很多时候都会提示用户同意采集,这实际上是给了消费者选择的权利。
目的明确原则还不够完善
智联招聘启用“多”位置摄像头通讯录权限
在本次测试中,新京报记者发现,基于“目的明确”的原则,部分App仍不够完善。
“目的明确”原则是指APP向用户明确说明收集、使用个人信息的目的、方式和范围,且所收集的个人信息和申请的权限应当合法、正当、必要、明确的收集和使用。目的和业务职能。
本次测试中,大部分App仅开放了一项“不规范”的权限,例如豆瓣开放位置。 智联招聘、陌陌上“多重”启用的权限数量超过2个。 其中,智联招聘安装后首次运行时提示用户请求位置、摄像头、通讯录权限; Momo 请求位置、摄像头和麦克风权限。
许多应用程序直接在其功能中反映了“超出规范”所请求的权限。 还有一些App请求的权限与主营业务不一致,但第一次打开后却明确告知。
本次测试中,记者选择了打开APP后最先提示打开的权限作为该APP“与主营业务相关”的权限。 在这种测试机制下,部分应用在首次安装打开后,就请求了与其主营业务无关的权限,而没有明确提示用户所打开的权限的用途。
例如,根据《信息标准》,“求职”类App可以请求的必要信息包括用户注册的手机号码、账户信息、求职者基本信息、学历信息和工作经历信息等。记者首次安装并打开智联招聘,APP提示开启位置、摄像头、通讯录等与上述可检索信息无关的权限,并没有提示为何开启这些权限。
记者在智联招聘APP中搜索相应功能发现,位置权限与检测用户所在城市以及在其首页推荐职位相关。 发现相机权限与上传头像有关。 记者并未找到与开启通讯录权限相关的主要业务功能。
需要注意的是,Boss直销、51job等同智联招聘一样属于“职位招聘”类目,安装后只启用位置信息,不会向用户询问摄像头和通讯录权限。 猎聘不请求用户许可。 与主营业务无关的信息。
与此类似的还有《百合婚姻》。 根据《信息标准》,交友类APP可以收集手机号码、账户信息、个人基本信息等信息。 然而,新京报记者首次打开百合婚恋后,该APP明确要求通讯录权限。 相比之下,世纪佳缘和珍爱网这两款交友应用都没有请求通讯录权限。
开启权限有哪些风险?
从技术上讲,APP可以获得“后门”来窥视隐私。
需要注意的是,无论是在需要时提示用户开启权限还是一开始就开启权限,Android用户一旦开启权限,权限就会一直处于“开启”状态,除非用户手动开启离开。 这是因为,相比苹果iOS系统的“仅在APP运行时打开”、“始终打开”、“禁用”三种权限选项,Android系统的隐私选项更加细粒度,大多数用户只能选择“开”或“关”表示一旦授予,该权限不会随着应用状态的变化(进入或退出使用状态)而改变。
这意味着,无论出于合法还是不正当目的,只要Android用户向APP打开权限之门,APP也拥有窥视用户隐私的技术权限。
“目前很多APP请求的权限都是超出限制的,但是都是有原因的。比如导航APP需要麦克风权限。其实我个人认为这个理由可能不太合理。因为当我们需要语音服务的时候,APP可以录音,但是如果我们需要服务的时候,不需要服务的时候,仍然在录音,所以就属于侵权。” 中国人民大学法学院教授刘俊海告诉新京报记者。
一位安全专家告诉记者,随着市面上APP的功能越来越丰富,申请的权限也越来越多。 但另一方面,以窃取、泄露用户信息为目的的恶意APP与仅提供服务的非营利性APP所申请的权限交集也更大。 “比如目前很多APP都有‘语音搜索’功能,即使这不是它的核心功能,开启与否也没有什么区别。但一旦开启,就意味着该APP拥有了监视用户隐私的能力。”
在他看来,只要开启录音权限,从技术上来说APP确实可以获取用户的录音; 而如果通讯录权限开启,从技术上来说APP也可以获取你的通讯录。 也就是说,只要获得相关权限,APP在正常提供相关服务的同时,就可以“方便地”获取用户的隐私数据,而不管这些数据是否“是服务所必需的”。
目前,根据是否启用权限来判断一家公司是否窃取隐私存在一些争议。 新京报记者发现,目前APP基本上都需要获得存储权限才能正常运行。 不过,根据APP治理工作组5月14日发布的文章显示,给予APP存储权限后,APP将能够访问Android手机的“公共存储区域”。 、根据Android系统的设计,“公共存储区”包括手机拍摄的照片和视频; 各种下载的文件; 因此,在获得存储权限后,APP理论上可以收集用户手机上存储的所有个人数据和文件,例如照片、文档等。 “不排除APP申请该权限后被滥用的可能性。”
“事实上,如果某些应用涉嫌非法收集、使用、处理用户隐私信息,可以通过深度数据分析、网络通信行为分析、相关操作访问等技术手段进行监控。因此,使用个人信息的使用,无论是软件开发,所有用户、公司或机构都必须遵守相关法律法规,否则,涉嫌不当使用用户信息的,将承担相应的后果。” 北京邮电大学移动互联网与大数据安全联合实验室主任马兆峰博士告诉新京报记者,“个人使用、存储、委托处理、共享、转让或者公开披露的信息必须符合个人信息安全的基本原则和规范,任何不当获取、使用、处理、处理个人信息,涉嫌违法犯罪的,必须追究其法律责任。
一位安全专家告诉记者,“由于取证困难,目前还没有有效的惩罚制度来约束APP的隐私窃取行为,用户无法证明APP是否真的窃取了隐私。”
专家
关注APP信息处理是否合规或更正确
不久前,腾讯科恩实验室发布了《Android应用安全白皮书》。 选取2018年下载量较高的1404个APP作为样本测试,发现92%的Android应用过度获取核心隐私权限。 白皮书显示,这些应用过度收集或使用的私人数据主要包括位置信息、通讯录信息、手机号码等个人信息。
记者发现,在法律法规方面,目前APP中关于个人隐私保护的规定正在逐渐变得更加详细和严格。
例如,5月28日,国家网信办发布《数据安全管理办法(征求意见稿)》,规定网络运营者出于经营目的收集重要数据或者个人敏感信息的,应当明确其数据安全责任。 人们。 它还规定“数据安全责任人应当是具有相关管理经验和数据安全专业知识的人员,参与数据活动的重要决策,并直接向网络运营者主要负责人报告”。
不过,在一些业内专家看来,过于严格的保护规定可能会影响大数据产业的发展。
“《征求意见稿》中有一些规定并不完善。例如,第二十六条规定,网络运营者收到有关假冒、假冒、盗用他人名义发布信息的举报、投诉时,应当作出回应”。及时处理,一经查实,立即停止传播和删除。如何保证举报投诉的真实性和紧迫性?如何防止恶意投诉?这缺乏补救措施。” 6月11日,中央民族大学法学院副教授熊文聪表示。
他认为,如果制定的防范规则过于详细,网络运营商可能难以执行。 此外,监管成本和监管机构的选择也是难题之一。 此外,要求网络运营商做得太多可能会扼杀技术创新和商业模式创新。 “难道不需要制定如此详细的规定,而是通过权利人(个人信息主体)隐私权或一般人格权受到损害后的后续惩罚和救济渠道,更好地解决问题,平衡各方利益? ”
在丁晓东看来,与其完全着眼于限制APP收集的信息,或许更重要的是看企业对数据的处理和利用是否符合整个流程周期,或者使用是否规范。 “大数据的发展本身依赖于数据的合理利用,消费者也会感受到很多麻烦。 例如,他们通常无法弄清楚何时需要打开权限以及何时不需要。 因此,应该给予企业一定的信息收集权限。 自治。 另一方面,在给予自主权的同时,需要更严格地审视企业收集和使用信息的流程,是否存在数据道德,或者数据的后续处理和使用是否规范合规。 这就是监管的重点。”
“目前监管的重点是消费者是否知情并同意对应用程序进行权限启用,但实际上学界对知情同意原则存在不少批评。 如果国家对企业启用权限有强制要求,这实际上已经超越了知情同意原则的确立,所以在一定程度上,聚焦权限本身就是一个问题,后续步骤更应该引起重视。”丁晓东告诉记者。
从服务器管理到协议分析,再到系统、网络和流量可视化,这些免费的开源监控工具都能满足您的需求。
如果您的“正确工作”涉及整理计算机网络并弄清楚如何有效且高效地处理数字信息,或者诊断数字信息为何无法正常工作,那么您将忙得不可开交。 不仅您的工作很快变得更加复杂,而且您使用的任何工具都需要经常更新或更换才能跟上,这就是我们的目标; 帮助您找到合适的工具。
我们过去介绍过几种免费的网络工具,而且自上次以来,技术已经进步得更多,甚至更快。 为了帮助您跟上,我们编制了一个新列表,其中列出了您应该添加到工具箱中的七个最有用的工具。
我们拥有一个通过将代码模块连接在一起来跟踪和管理 IP 地址空间的出色工具、一个强大的工作流程平台、我们所知的最广泛的安全渗透测试平台、一个灵活的网络、一个用户友好的临时编程的绝佳工具。 可以说是最好、最有能力的基于服务管理系统的网络数据包捕获和分析应用程序。
所以,您找到了合适的工作,现在您拥有了值得自豪的合适工具。
TeemIP:便捷的IP地址管理
随着网络规模的扩大,它们变得更加复杂。 如果没有工具来帮助您规划和跟踪您拥有的内容、您想要的位置以及如何配置它,您最终将失去对网络的控制。 太多的组织开始使用 Excel 电子表格来完成这些类型的任务,但随着网络的扩展,他们最终会得到一堆表格,这些表格变得非常笨重,毫无用处。 我们有更好的方法。
Combodo 的 TeemIP 是更好的策略,原因有以下三个: 它可扩展,提供一致且全面的网络 IP 资源文档,并且是免费的。 TeemIP 是一个变更管理数据库系统,它将 IP 地址管理与故障单系统相结合,以便可以在位置、组织、用户和角色的上下文中管理 IP 地址和网络设备,并且可以跟踪用户事件和变更请求。
TeemIP 是一个基于 Web 的应用程序,可以在 Windows、Linux、macOS 和 Solaris 上运行,具有几乎任何 AMP 堆栈(例如带有 MySQL 5.5.3+ 和 PHP 5.3.6+ 的 Apache/IIS/nginx)以及所有主要浏览器。 它将处理 IPv4 和 IPv6 地址注册、子网和范围规划,并提供容量跟踪和管理,支持嵌套以允许 IP 空间委派。
您可以分配 IP 地址并定义打印机和 DHCP 服务等设备的保留范围,以及分割、缩小和扩展子网和子网块,以及生成报告和运行审核。 还可以集成外部数据源(例如设备发现),并从 CSV 文件导入大量数据,如果您一直依赖电子表格,则可以提供重新利用现有数据的宝贵能力。 还可以使用对象查询语言导出为 CSV、HTML 和 XML 格式。
让 TeemIP 真正强大的功能是集成的故障和变更票务系统。 票务系统用户可以定义为管理员、配置管理员、文档作者、帮助台代理、主持人、门户高级用户、仅门户用户或这些角色的组合。 身份验证可以是本地的(通过 LDAP),也可以是外部的(例如,通过 Active Directory 或 OAuth)。
TeemIP 是免费和开源的,有两个版本:独立版本或作为 Combodo ITop 的扩展,Combodo ITop 是一种 IT 服务管理解决方案,而 Combodo ITop 又具有 FOSS 社区版本以及三个具有附加功能的高级版本。
结论:TeemIP 是一个强大而复杂的 IP 地址管理解决方案,开发商 Combodo 非常关注支持请求,并定期推出具有新功能的新版本。 TeemIP 绝对值得考虑作为网络管理策略的核心组件。
Node-RED:解决连接任意节点的问题
IoT 项目是现在所有酷孩子的目标,其中最受欢迎的项目之一是 Node-RED,这是 IBM 开发的一种基于流程的编程系统。 Node-RED 基于 Node.js JavaScript,可在 Node.js 支持的所有操作系统上运行,包括 Windows、Linux、macOS、SunOS 和 AIX。 您甚至可以在 Raspberry Pi 和 Beaglebone 等单芯片计算机上运行它,并完全支持所有板载输入/输出设备。 事实上,Node-RED 现已内置于 Raspberry Pi 的 Raspbian 操作系统中。 还有一个 Docker 映像和多个云服务,包括 IBM Bluemix、SenseTecnic FRED、Amazon Web Services 和 Microsoft Azure 提供托管 Node-RED 实例。
虽然关于 Node-RED 在物联网解决方案中的作用已经有很多文章,但它也是一个非常有用的通用应用平台,特别适合快速、临时解决方案,使其成为数字工具包的宝贵补充。
Node-RED 完全基于浏览器,并使用将节点连接在一起的比喻。 例如,这是一个简单的流程,我花了一分钟时间构建:
一个简单的 Node-RED 流程,用于处理浏览器请求并从 Web 服务返回内容。
第一个节点在 Node-RED 服务器的基本 URL 下的端点/灯上发出 HTTP 请求,然后由第一个节点的消息触发的第二个节点向网络上的 Philips Hue 桥发出 HTTP 请求。 响应是一个 JSON 结构,报告我家中 Hue 灯泡的状态。 然后,该响应被发送到第三个节点并用作对原始请求的响应,其中 Content-Type 标头设置为 application/json。 我正在使用 Chrome JSON 查看器。
Node-RED 附带了许多内置节点,涵盖一般输入和输出、社交联系和实用功能(其中包括一个可以添加 JavaScript 来操作消息内容的节点)。 Node-RED 站点拥有一个用户贡献的节点库,目前包括 1,360 个节点和 817 个流。
可是等等! 还有更多! Node-RED 还具有仪表板,因此可以使用图形、滑块、开关、按钮等创建用户界面。
结论:Node-RED 绝对是您工具箱中的必备工具。 其功能和多功能性使其成为快速解决各种问题不可或缺的工具,并且非常适合作为物联网项目的平台。
ProcessMaker:节省您周末时间的工作流程工具
现在是星期五早上,您的老板告诉您有问题; 营销部门有一种热门的、新的、非常昂贵的产品,其中的文献制作成本也非常昂贵。 他们无法为每个经销商提供他们想要的尽可能多的文献,因此每个经销商都需要跟踪一系列需要签字才能发送的人员。 哦,他们需要在周一之前启动并运行跟踪系统,以配合产品发布! 通常,这意味着您周末的任何计划都将成为历史,但是......等等! 有ProcessMaker!
ProcessMaker 提供了一个免费、开源、基于 Web 的同名工作流开发和部署系统,可在所有主要平台上运行,包括 Windows、macOS、Linux、Google Cloud、OpenShift 和 Cloud Foundry,以及多个 Java EE 应用程序服务器。 ProcessMaker 还提供具有额外功能和支持的高级版本,但对于内部目的和测试,社区版本非常有用且强大。
您可以通过 Web 浏览器访问 ProcessMaker 应用程序,一切都会自动迁移就绪。 因此,为了解决您刚刚面临的头痛问题,您将转向 ProcessMaker 的 Designer 应用程序开发界面,并从工具选项板中拖放组件,以创建工作流程的 BPMN2 规范,并按顺序将它们链接在一起。 之后,您将定义用于每个步骤的 Dynaforms(ProcessMaker 的“动态表单”名称)、外部数据库连接、输入和输出文档等,然后您的工作流程将开始工作。
ProcessMaker 中的各个工作流程称为“案例”,并在主工作区中启动,该工作区还显示分配给用户或通过基于 Web 的数据输入表单分配的所有案例。 这些数据输入表单仅在工作流程开始时可用(尽管您可以多次启动),但为这些表单分配的 URL 与字符鼠标一样友好。 例如:。
但不要害怕! 如果您想通过友好链接提供表单,您可以将表单嵌入到自定义网页中; ProcessMaker 提供了有关如何执行此操作的详细文档。
当用户启动案例时,其数据将被路由到下一个工作流程步骤; 支持条件路由,例如,当销售经理审核经销商的文献请求时,她可以选中复选框以确认应发送文献,然后将案例数据转发到下一个审批阶段等等。 或者,如果请求被拒绝,可能会向经销商发送一封电子邮件,内容是“我们很乐意向您发送文献,但是......”
详细记录案件进展情况,以提供完整的审计跟踪。 为了跟踪工作流程的有效性,ProcessMaker 还提供了仪表板,可以在仪表板上安装小部件来报告关键绩效指标。 对 ProcessMaker 的描述仅涉及到表面; 它具有更多用于管理工作流程的功能,并且可以通过 JavaScript 编程进行扩展。
ProcessMaker 相当容易掌握。 经过几个小时的研究,我创建了一个文档分发系统的工作流程。 为了使测试过程更容易,Bitnami 为所有主要操作系统、云安装程序和虚拟机提供了现成的安装程序。 从其他来源,还有一个 Docker 镜像。 我使用了 Bitnami 虚拟机映像,并在五分钟内启动并运行。
结论:ProcessMaker 很容易启动和运行,对于复杂而强大的系统来说,它相当容易学习。 一旦您熟悉了它,ProcessMaker 将为您节省大量解决工作流程问题的时间,甚至可能节省您的周末时间。
Atom:适用于所有 IT 任务的编辑工具
您是否经常需要编辑配置文件或查看日志或破解一些代码? 如果您从事 IT 行业,这些任务总是会出现,那么您使用什么工具呢? 如果答案是一系列应用程序而不是单个工具,请查看 Atom,这是一款免费的开源编辑器,它非常灵活、可扩展、体积小,并且可以在 Windows、macOS 和 Linux 上运行。 Atom 也非常便携,因为它是基于 Electron 构建的,Electron 是一个用于构建基于 HTML、JavaScript、CSS 和 Node.js 的跨平台应用程序的框架。
Atom 附带四个用户界面主题和八个深色和浅色语法主题。 不喜欢那些? 您可以使用 CSS 或更少的内容调整用户界面的外观,也可以使用 HTML 和 JavaScript 添加您喜欢的任何功能。
在 Atom 的可选附加组件中,有一个包可以对常见日志格式执行语法着色,而 Atom 还提供其他包来提供类似 IDE 的功能,具有上下文感知自动完成和代码导航功能,例如大纲视图、转换转至定义、查找所有引用、显示有关悬停、诊断(错误和警告)和文档格式的信息。 另一个非常强大且有用的功能是 GitHub 集成,因此您可以在编辑器中创建存储库和分支、阶段和提交、推送和解决、解决合并冲突、查看拉取请求等。
协作开发正在成为一件大事,而 Atom 绝对是伟大的:Atom 的 Teletype 包使开发人员可以通过为共享工作空间创建实时“门户”来轻松进行编码。 当用户打开门户时,他们的活动选项卡将成为共享工作区,受邀的协作者可以在其中实时加入和编辑,并且当主持人在文件之间移动时,协作者会自动遵循活动选项卡。
电传打字机也非常安全。 创建门户后,用户连接到 Atom 服务器以查看谁在协作,当他们加入门户时,协作者以点对点方式进行通信,因此没有集中式服务器来监视击键。 此外,WebRTC 用于加密所有通信。 正如 Atom 网站所说:“门户中发生的事情将保留在门户中。”
最后,有一个非常好的且文档齐全的 API,用于创建您自己的附加包并与其他应用程序和服务集成。
摘要:Atom 太棒了! 它的功能非常出色,文档内容丰富且编写良好,并且几乎可以处理任何与 IT 相关的编辑任务。 强烈建议您使用该工具箱作为“写作”工具。
Kali Linux:您的安全瑞士军刀
当涉及网络和计算机分析、数字取证和渗透测试时,您的工具箱中肯定需要一套工具:Kali Linux。 我承认,称 Kali 为安全瑞士军刀是一个相当老套的描述,但我还没有找到一个更丰富、更有用的程序来支持这样一个经过深思熟虑的数字安全平台。
由 Offective Security 开发的免费开源 Kali 发行版有多种格式,包括“实时”版本、硬盘安装版本和 ARM 版本。 Kali 虚拟机还可以在 VMware、VirtualBox 和 Hyper-V 映像格式的攻击性安全网站上找到。 但请注意虚拟机下载页面上的冒犯性注释“...下面提供的图像是尽最大努力维护的...”我只是浪费了几个小时试图找出为什么一个特定的 Maltego 包无法运行虚拟机,但是当我从ISO版本创建VM时,没有问题。
Kali Linux 基于极其稳定的 Debian 发行版,并进行了一些重大更改。 首先,由于 Kali 的重点是安全性,因此它被设计为“安静”,即对其连接的任何网络影响最小,以便可以在尽可能少的检测下用于发现目的。 为了确保这一点,如果您添加一个服务,例如 HTTP 服务器,则默认情况下它必须由用户在每次系统启动时启动(如果您确实需要,可以绕过此限制)。 这个特性强调了 Kali 的不同之处; 它不是一个用于办公生产力或游戏的发行版,它的核心是一个安全平台。
其次,预装的软件包不是你常用的 Linux 软件包; 一些常见的软件被排除在外,并且包含了大量重要的安全工具。 应用程序菜单中的工具按功能分组,包括信息收集、漏洞分析、Web 应用程序分析、密码攻击、无线攻击 - 总共 14 个组,许多组还包含子组,组织了 240 多个工具,涵盖所有主要安全问题。
结论:说 Kali Linux 及其工具集无价是一种轻描淡写的说法。 使用 Kali,您可以免费查询您的数字资产、发现威胁和攻击、查找漏洞并测试您的防御。 另一个警告:其中许多工具都有陡峭的学习曲线,因此为了充分利用它们,您必须投入一些时间和精力。
Webmin:如何随时随地管理任何主机
如果您运行一组 Web 应用程序,您将拥有一系列提供它们的服务器。 考虑到环境的复杂性,您必须决定需要多少个服务器管理工具。 如果您发现自己处于这种情况,那么您应该看看 Webmin,它提供了有关监视和管理主机系统的深入研究。
Webmin 运行在大量系统上(Webmin 支持页面目前列出了 103 个操作系统和变体),并且通过系统命令行直接安装在大多数平台上(对于某些操作系统,例如 Windows,这个过程可能会比较多)复杂的)。 安装后,您可以访问 Webmin 配置模块,它本质上是管理所有其他模块的“uber”模块; 文档解释道:“它可以让您执行诸如更改 Webmin 使用的端口以及限制可以建立的连接之类的操作。” 客户地址、更改用户界面使用的主题和语言以及安装新模块。”
毫无疑问,这是一个具有大量附加功能和设施的系统,即使在初次安装时,Webmin 也可以对主机提供出色的控制。 例如,通过基本安装,您可以按需或通过计划监控性能、关闭和重新启动、创建或恢复关键系统文件的备份,以及使用本地存储或其他主机通过 FTP 或 SSH 保存或检索备份。
Webmin MySQL 数据库管理模块。
我发现非常有价值的一项功能是通过 Webmin 管理数据库的能力,它允许创建、修改、删除、备份和恢复数据库、表、字段和记录,以及管理用户和权限。
最后,Webmin 还支持集群包管理,允许在一组计算机上同时执行任务。 还有支持集群密码管理、文件复制、cron 作业管理、shell 命令以及用户和组管理的模块。
简介: Webmin 作为管理服务器(尤其是克隆系统集群)的策略非常值得评估。 它灵活、可扩展并且非常强大。
Wireshark:捕获数据包和协议
有时,您只需要蹲下身子,开始拉数据包,寻找任何导致您出现问题的东西。 市面上有很多商业工具,但许多人认为最好的工具是 Wireshark,它不仅免费,而且还是开源的。
Wireshark 是一款数据包捕获和网络协议分析器,适用于在 Windows 和 macOS 上运行的中型企业规模网络; 还有一个 Windows PortableApps 版本。 此外,第三方已将 Wireshark 移植到许多 Linux 发行版,包括 UNIX、HP/UX、FreeBSD、NetBSD、OpenBSD 和 Solaris。
安装 Wireshark 非常简单,一旦运行,您就可以开始使用捕获过滤器来限制计算机上一个或多个可用接口(支持的接口包括以太网、Wi-Fi、VLAN、蓝牙、USB 和环回)上的数据包保持。 然后,当您停止捕获时,您可以使用显示过滤器排除捕获的数据包,以便您可以专注于对您重要的流量。 过滤非常灵活,允许按数据包类型(TCP 或 UDP)、协议(POP、IMAP、SMTP、DNS 等)、源和目标地址、地址范围、时间和/或数据包内的特定数据进行过滤。
Wireshark 可以解码大量协议,并可以启用专家信息功能,该功能会根据严重性级别自动对异常进行颜色编码。 Wireshark 网站解释道:“专家信息背后的总体思路是更好地展示‘不常见’或只是值得注意的网络行为。这样,新手和专家用户都会希望将其与扫描进行比较。能够找到以下数据包列表: “手动”更快地解决可能的网络问题。”
Wireshark 还可以读取和写入各种捕获文件格式的捕获数据,包括 pcapng、libpcap、Microsoft Network、Network Associates Sniffer 和 Oracle snoop。
结论:如果您是一名网络工程师,试图追踪 DHCP 或 DNS 问题等服务问题,或者您是一名开发网络应用程序的程序员,或者是一名正在观察异常情况或您想要捕获的任何其他原因的网络安全工程师,请对网络流量进行切片,这就是您想要的工具,
