月度归档： 2022 年 2 月

霍林老师是我在大学中给我影响也相当大的一位老师。在给我们上数据结构和操作系统的时候，她展现了对于计算机的透彻理解，她的教学目的是让我们把所学知识融会贯通，并且将思想融入到各个领域。霍老师曾用战场比喻计算机技术，战车、兵马、枪炮是数据结构，而高效利用它们取得胜利的则是战术，也就是算法。
在我阅读ATT&CK一书后，昔日恩师所说的话冒上心头，感慨计算机确实是万变不离其宗。在霍老师的汇报上，老师向我们介绍了我国信息安全产品，也给我们灌输了信安的观念，从底层原理展开描述了老师对安全的理解。我思考，不想做脚本小子，要依靠自己的能力构建安全长城，就要真正从底层理清楚框架，从学习操作系统开始。
我选择学习Unix源码，他是众多os的鼻祖，尽管距离它出现已过去几十年，技术也趋于老旧，但是如今的linux、macos等等都是基于unix实现的，因此学习它很有必要。霍老师打趣道，现在给我们上课的内容还是以前她学过的内容，越是底层的东西越难发生大的变化。而且unix源码10000行左右，我有信心读完，这篇文章既是学习笔记也是备忘录，更是自己主动学习的有力证明。

我先做的，是先通读《unix内核源码剖析》

可以查看源码的网站

一、unix v6

unix诞生在1969年，V6在1975年发布

unix v6内核提供的功能：
①管理运行的进程
②内存管理
③文件系统
④文件和周边设备共享I/O
⑤中断
⑥支持终端处理

在学习操作系统的时候，对于进程管理、内存管理、文件系统等就有所学习，不过距离现在时间过得久了，印象不深了，现在就是重学习的时候。

构成unix v6运行环境的硬件：
①PDP-11：这是一个处理装置，书中以PDP-11/40这个16位计算机作为示例。也就是说它以16bit为单位对数据进行处理。处理器处理数据的单位是：字（word），一个字=16bit

PDP-11/40通过unibus进行数据的输入输出，使用内存映射（Memory Mapped I/O)人们可以对操作系统的寄存器进行操作。注意，这些寄存器被映射到内存最高位的8KB空间，内存地址是从上到下看的，最上端是0，最下端是最高位。

②PSW状态字寄存器
PSW有16位。从0到15代表不同的状态

③通用寄存器
有R0到R7一共八个通用寄存器

④MMU内存管理单元
用于地址变换以及访问权限管理

⑤内存
PDP-11/40的内存被称为磁芯内存（Magnetic Core Memory）地址长度18bit，容量为2¹⁸=256KB

⑥块设备
磁盘或者磁带

⑦行式打印机

⑧终端

二、进程

进程是程序资源分配的最小单位，线程是cpu调用的最小单位。进程由多个线程构成，切换进程开销大，而且资源不共用（可能会死锁），切换线程开销小，因为共用资源。在java中多线程用thread，我曾经写过的。
进程跟线程都可以分为五个状态：创建、阻塞、就绪、执行、终止。

内核先把程序读入内存，然后把这个内存区域分给进程，所以进程拥有独立的虚拟地址空间，可以先使用虚拟内存的地址，再由MMU内存控制单元映射到实际的物理地址上。
回忆进程的组成：PCB进程控制块（包含进程ID）、数据段、正文段。

进程是并行执行的，unix v6允许多名用户同时使用，所以在任意时刻，系统中可能有多个进程。回想学习操作系统和计算机组成与原理的时候，cpu会分时调度的，只需要以人不能感知的速度反复切换进程，就能产生同时操作的效果。分时系统（Time Sharing System，TSS）

用户模式和内核模式：
处理器具有两种模式：用户模式、内核模式。处理器通过PSW来进行切换（PSW的13-12表示先前、15-14表示当前，00表示内核模式，11表示用户模式）
虚拟地址在用户模式的时候会映射到用户程序的内存区域；在内核模式会映射到内核程序的区域。内存映射的实现依靠MMU内存管理单元。内核程序在系统启动的时候就已经被读取到内存中。
用户程序无法访问加载内核程序的内存空间，要想访问内核功能，必须通过系统调用（system call）提出访问请求(这是强制的)。当内核处理结束又会返回用户模式。
书中提到几个用于用户空间与内核空间之间读写数据的函数：
fubute()、fuibyte()、fuword()、fuiword()、subyte()、suibyte()、suword()、suiword()

交换处理：
为了防止进程过多而瘫痪内存，内核会定期休眠，将重要度低的进程从内存转移到交换空间（swap out，换出），或者将交换空间中已经处于执行状态的进程重新恢复到内存（swap in，换入），这个过程称为交换处理，由系统启动时生成的进程执行。在操作系统学习的时候，对内存管理比如动态分区，有：
·首次适应性算法
·循环首次适应算法
·最佳适应算法
·最坏适应算法

proc结构体和user结构体：
这俩结构体管理进程的控制信息和状态信息，PROC结构体常驻内存，USER可能会被移至交换空间
PROC结构体：
由proc结构体组成的数组proc[]，里面每个元素都对应一个进程。这个结构体管理着在 进程状态、执行优先级等与进程相关的信息中需要经常被内核访问的那部分信息。
每当进程要切换的时候，内核会首先检查所有进程的状态，所以为了保证效率，proc结构体常驻内存。proc[]的长度决定了在系统中可以同时存在的进程的上限，proc[]的长度由常量NPROC定义。
proc[]中的一些元素，可以与学习操作系统时的知识串在一起，比如P_time是进程在内存或者交换空间存在的时间（秒），对缺页中断的置换算法：最佳置换（opt）、先入先出置换（FIFO）、最近最久未使用置换（last recently used，LRU），进程在内存中获得资源的时间就会被作为依据进行置换算法的判定。对于一些根据优先级判断的算法，proc[]中的P_pri越小优先级越高，用户可以通过修改P_nice的值来自定义优先级，默认为0。

【进程图像】：包含两个部分，一个是常驻内存图像，如PROC[];另一部分是可交换图像(swappable image),如PPDA、数据区域、栈区域等，可以被交换到磁盘上

USER结构体：
用来管理进程打开的文件或者目录等信息。不像PROC结构体常驻内存，内核只需要当前正在执行的进程的USER结构体，所以它会跟着进程切换而发生改变，比如被移出内存。
书本给出一些名词：
口口口口 实效用户、实效组、实际用户、实际组
也被称为 有效用户、有效组、真实用户、真实组
我的理解是，当前登录的用户是真实用户，但是它的权限可以发生变化，比如su命令提高权限，它的实效就会变高，但是实际用户没有发生变化。

内核可以根据全局变量”U“来访问 进程的user结构体

进程内存分配：
进程的构成除了PCB还有数据段和代码段。数据段和代码段是作为两个连续的物理内存区域被分配给进程，进程通过虚拟地址访问被分配的物理内存区域。
代码段：
代码段是只读的，用来存放程序指令的机器代码。用于复用代码，提高效率。它通过数组text[]进行管理，长度由user.u_tsize表示。
数据段：
存放程序使用的变量等数据，它不能被其他进程共享！

就如上图所表示，数据段的物理地址和长度分别由proc.p_addr和proc.p_size表示。数据段从上到下（地址从低到高）表示成三部分：
①PPDA（per process data area）进程数据区：
·user结构体和内核栈区域构成
·长度为USIZE×64byte=1KB，从用户空间无法访问
·内核栈区域是内核处理时的临时工作区域，每个进程都有供内核模式使用的工作区域。
②数据区域：
由存放全局变量或BSS等变量的区域和进程来动态管理内存的堆区域构成。
【bss段】用来存放未初始化的全局变量和静态变量。
如果要扩展堆区域，要使用系统调用完成，从虚拟地址的低位到高位方向进行（从上到下），长度由user.u_dsize表示。
③栈区域：
用来暂时存放函数的参数或者局部数据，长度会自动扩展。栈区域的扩展是从虚拟地址的高位往地位低位方向（从下到上）进行，长度由user.u_ssize表示。

虚拟地址空间：
进程拥有64KB的虚拟地址空间，通过长度为16bit的虚拟地址访问物理内存，虚拟地址由MMU内存控制单元转换为长度18bit的物理地址。
也就是说本来虚拟地址为2¹⁶=64KB，转换为物理地址为2¹⁸=256KB
代码段位于虚拟地址最低位的地址，往后是数据段，在往后是栈区域，栈区域在虚拟地址空间最高位。
每个进程都有独立的虚拟地址空间，但是也会有共i想的代码段。

使用虚拟地址的好处：

①程序可以使用 以任意地址为起点的内存空间：
不需要考虑该虚拟地址和物理地址的对应关系，MMU内存管理单元会解决这个问题。
②实现对内存访问的管理：
不同于直接操作实际地址可能会误操作，使用虚拟地址如果越权访问会通过MMU触发异常，终止进程处理。
③提高内存使用率：
通过映射有效利用分段的碎片的物理地址。
【但】对于unix v6，代码段和数据段是与物理地址存在对应关系的

变换地址：
MMU内存管理单元通过APR（Active Page Register）寄存器将虚拟地址转换成物理地址。
一个APR由一个PAR（page address register）寄存器和一个PDR(page description register)寄存器构成。
用户进程的APR的值保存在USER结构体中，当该进程进入执行态，会将保存在USER结构体中的值设置到用户进程的APR中。
APR从0到7一共有8组，PDP-11/40对于用户模式和内核模式都有对应的APR，通过切换PSW的当前模式（00或者11）切换APR。
psw：一共16位；左边是最高位（15、14），右边是最低位（0）。根据15、14的情况判断模式。
进程的虚拟地址空间是以 segment段或page页来管理的。1组APR对应一页。PAR用来保存与各页物理地址有关的信息，PDR用来保存各页的块（64byte为单位）的数量以及是否允许访问等信息。每一页最多分配128个块（8KB）。
虚拟地址最左边的高3bit决定对应的页（APR），PAR（16位）的11-0bit决定了物理地址的基址地址的块地址，加上虚拟地址的12-6bit的物理内存的块地址，再加上虚拟地址的5-0bit作为块内偏移地址，得到最后的物理地址。

说人话就是：
①拿到一个虚拟地址，先看15、14、13bit找到对应的APR[i]；
②再根据虚拟地址的12、11、10、9、8、7、6这7位得到APR[i]中的PAR块的编号；
③将该块的11、10、9、8、7、6、5、4、3、2、1、0这12bit作为物理地址的基址地址；
④虚拟地址的5、4、3、2、1、0这6位作为块内偏移量（也就是物理块的块内偏移量）；
⑤这样得到17-6的物理地址基址地址+5-0的物理地址块内偏移量，得到一共18bit的物理地址

在之前操作系统的学习中关于分页管理学过的，有一个页表，页表里面是页号和块号的对应方式，一页是1024，如果逻辑地址是1011，页表中页号0对应块号2，那么转换为物理地址的过程为：1011÷1024=0，0对应块号为2，那么物理地址基址为块号×1024即2×1024=2048，偏移量为1011，所以对应的物理地址为2048+1011=3059

【内核之所以可以通过全局变量U(0140000)来访问执行进程的USER结构体，是因为内核对供内核使用的APR做了相对应的设定】内核将内核模式使用的编号为6（也就是APR[6]/PAR[6]）的PAR设为被执行进程的数据段的物理地址（proc.p_addr）
这是由于地址0140000（oct八进制）的高位3bit是6（十进制），如下图

[书中统一将内核模式使用的APR成为内核APR，用户模式使用的就是用户APR]

三、进程管理

1.进程的生命周期：
①父进程通过 系统调用 fork 创建子进程（子进程复制了父进程的数据）；
②父进程执行 系统调用 wait，开始休眠等待子进程处理结束；
③子进程获得控制权，然后通过 系统调用exec，将程序读取到内存并且执行；
④子进程对应的程序执行完后，会通过 系统调用exit 结束自身运行进入僵尸状态，将控制权归还父进程；
⑤父进程取得子进程的结果，并且清理子进程。

2.进程创建：
①子进程复制父进程的数据
·复制proc[]数组元素，并且子进程的proc.p_ppid指向父进程的proc.p_pid
·复制数据段。包括PPDA(per process data area)；子进程的user.u_procp指向proc[]中代表子进程的元素；子进程和父进程共享text[]中的相同元素

②父进程与子进程的联系：
·父进程只能通过遍历所有proc.p_ppid指向父进程的进程才能找到所有它的子进程。
·父进程会回收子进程结束后释放的资源
·子进程继承父进程打开的文件和当前目录等数据
·父进程和子进程共享代码段。但是如果子进程执行其他程序，这种共享关系会解除。
·父子进程互不干扰

【unix v6允许父进程介入子进程处理的跟踪机制，用管道，也就是“|”来实现父子进程通信】
【面试常问进程通信：管道、信号、信号量、共享内存、sokect】

③系统调用 fork
fork是依靠内核进程处理系统调用

——到这里暂时看不懂了，看看汇编—–

开放式Web应用程序安全项目（OWASP，Open Web Application Security Project），top10 展示了当前对web应用威胁最大应用最广的漏洞，学习目的在于了解当前最新的安全动态、走向，针对其内容更有针对性的学习安全，下图是owasp2021相较于2017的比较图，不难发现新增了三种威胁，而2017的威胁的排名在2021均有变化。

owasp2021 top10 分别是：

1.Broken Access Control 失效的访问控制
2.Cryptographic Failures 加密失败
3.Injection 注入
4.Insecure Design 不安全的设计 //new
5.Security Misconfigration 安全配置错误
6.Vulnerable and Outdated Components 易受攻击和过时的组件
7.Identification and Authentication Failures 认证和授权失败
8.Software and Data Integrity Failures 软件和数据完整性故障 //new
9.Security Logging and Monitoring Failures 安全日志和监控失效
10.Server-Side Request Forgery 服务器请求伪造 //new

总体来看信息安全问题归根到底还是人的问题，比如新上榜的不安全的设计，注入、安全配置错误、易受攻击和过时的组件，都是人为因素占比相当大。体现的是在当前信息化的社会里，很多信息、网络管理员的安全意识淡薄，对于自己配制的信息不熟悉，对其所在的企事业单位的信息系统整体框架不了解，对于当前信息安全发展动向不清楚，对新的安全技术学习不认真。

再仔细看，如果把top10中某些漏洞联系起来看，能发现一个趋势–内网安全问题变得严峻。我得出这个结论最重要的一个论据就是第十位新上榜的SSRF服务端请求伪造，攻击者使用这个技术来实现跨域、横向移动等战术。这说明越来越多的内部网络发现来自内网设备的攻击，这应该引起大家的注意，毕竟当前内网安全的保障仍需完善。

黄保华老师在课上曾不止一次提到，防止安全事故发生要做到两项极重要的事情，一个是访问控制，另一个是安全审计。2021 top10 的首位是失效的访问控制，即攻击者通过绕过等技术，以任意身份访问被限制访问的系统内部资源。显然倘若访问控制失效，攻击者就会如入无人之境。

对于安全审计，我预言不久之后随着防御技术更加成熟，以ATT&CK框架为代表的中级模型被广泛应用后，攻击者可能会采取更意想不到的战术、技术入侵、破坏信息系统。随后攻击者会将把重心集中在破坏审计这个环节。通过破坏审计，让已有框架的搜集功能失效，让上下文信息的联系断开，使得防守方应急速度落后于攻击者的攻击速度、导致防守方无法短时间内制定出方案，无法止损。并且即便处理了漏洞，也无法对事件起因进行分析，无法溯源，对于防御下一次攻击以及更新防御方案，更新防御技术框架十分不利。

基于这个预言，我认为从事安全行业的研究者必须提高警惕，通过改进、巩固，更新已有的安全审计技术和设施，找到更加先进，高效的方法使得攻击者的战术难以实现。我认为，隐写溯源技术，除了在保护版权、保护涉密文件有重大作用外，对于安全审计来说也能发挥其功能。鉴于隐写溯源技术未普及，仅作粗浅判断。目前隐写溯源技术主要还是将数字水印(包含操作人员、设备等秘密信息)利用隐写术嵌入如图像、音频、视频中，后期通过提取识别、验证数字水印实现防伪、溯源的效果。借鉴该思想，对于分析安全事件的核心日志等文件，也可以使用隐写溯源技术分布式的镶嵌在某处或者多处，当攻击者企图篡改日志、破坏日志、混淆数据的时候，我们可以根据水印来检测真伪并且一定程度上进行溯源。隐写溯源技术是具有鲁棒性、脆弱性、不可感知性的，我认为日后它将广泛应用于更行各业之中，本篇文章主要是学习owasp2021同2017的异同分析，对于隐写溯源就不再多描述了。

（ps：照这么发展，以后owasp top 10可能还会出现：失效的隐写溯源，哈哈）

下面我会结合网上优秀文章对新的top10进行讨论。

一、top1

新的top1是失效的访问控制（原top5），取代了注入。调查显示94％受测试的应用程序存在该漏洞。
我认为这很有可能是随着信息化的发展，各行业纷纷转型，而由于技术、资金、安全观念不足，大多企业会使用网上开源的代码，或者雇用经验不足的技术人员，又或者是企业内的技术人员的安全意识不够充分，引起安全问题。
展开来说，编写网站的程序员贪图方便照搬了网上开源的CMS源码，对于一些必须严格执行访问控制的功能点没进行检查。我们知道系统如果没有访问控制，会让非法用户任意跳转页面，或者操作资源。我们应该首先验证身份，再根据授权情况给予放行等操作。一般的验证方式要么写在每个功能页之中，要么就写在一个文件里，通过文件包含去应用所有功能页，我们还会使用cookie或者session、token等技术来快速验证身份。
问题就出在某些功能页没有写上验证代码或者没有引用验证代码，攻击者通过目录扫描技术很快就能找到这些文件，通过工具或者人工检查找到缺少验证的地方，就能直接绕开访问控制，实现跳转。

二、top2

新的top2是加密失败（原top3 敏感数据泄露），网上文章说这是“广泛的症状不是根本原因”，那根本原因是啥啊.……就我所学来看，加密失败与密码学发展有相关性，与当前加密技术、编码技术相关。比方说最普遍的MD5存在哈希碰撞，彩虹表，很多数据库中保存的密码仅简单的加密，很容易被破解为明文，连盐都不加，加密后的md5值放在在线工具一下子就被破解出来了。另一个影响比较大的是保存系统认证的密码、凭证等，如windows的LM Hash和NTLM Hash加密后的内容被破解，让攻击者能实现在内网中提权以及横向移动，危害性很大。
那么需要我们找到更安全的加密技术，比如采取国产加密算法等。同时它上升到top2应该引起人们对密码学关注，根据本人在学校密码学学习，我们用的技术趋于过时，存在极大的被破解风险，就比如随着计算机的算力提高DES都存在被暴力破解。而在未来量子计算技术很有可能打破现有大部分的加密方式。
加密失败举例子说明常见的找到配置文件，根据规则替换掉攻击者想要的密码。

三、top3

新的top3是注入（原top1）学习web安全首先接触的是SQL注入漏洞，xss漏洞（漏洞之王），注入的危害度相比以前有所下降，我想跟如今的安全技术提高有关。从1998年sql注入刚引起瞩目到2017年，这十几二十年的技术发展，频频爆出的注入漏洞一次又一次的提醒开发人员要对传进来的参数进行严格的过滤、控制，我很赞同那个观点–“一切来自用户的输入都是不可信的”。霍林老师在报告中提到，以往很多技术在设计之初是不考虑安全问题的，谁也无法预料未来攻击者会以何种方式找到漏洞并且攻击。比如SQL注入，设计之初没考虑好若有人存心构造payload闭合select语句会产生如此大的危害。
立足当下，我们依然要严格的对传入的参数进行严格的过滤、限制。

四、top4

新的top4是不安全的设计，这是新上榜的威胁，取代了原来的xxe漏洞。它的上榜体现了安全相关从业人员、开发人员正在寻求更多的安全模式，在设计应用或者流程之初就要考虑到安全性。
不安全的设计说白了类似上一点提到的，设计者在关键功能点没有进行细致的安全考虑，出现了验证的漏洞，支付逻辑漏洞，业务逻辑漏洞等安全问题。
比如前后端验证没做好，在某些支付逻辑漏洞中，仅通过修改物品的单价或者数量就能实现对最后价格的修改，0元购不是梦；再比如，任意密码找回，某些验证码的安全机制设计得并不完善，易被绕过；有的验证码不限制次数导致攻击者可以通过爆破求出验证码；还有的验证码允许复用，既先合法进行业务拿到合法的验证码，然后将该验证码用于找回其他任意账户的密码等，这些都是在逻辑上存在的安全问题。

五、top5

新的top5是安全配置错误（原top6），这仍是管理人员疏忽的地方，很多漏洞是基于某些框架、语言的特性利用的，比如php在低版本会存在一些魔术符号，若被错误开启，或者默认开启，攻击者会通过这些错误的安全配置进行攻击。在安全开发我们往往寻求最小特权原则，不必要的功能我们要严格限制，给予用户或者系统实现某种业务最基本的功能权限就足够了，比如一些仅用来留言的功能点，没必要配置其能够解析命令，又比如说宏病毒、eval函数，很多时候我们可以通过禁止宏、禁用eval函数来规避它们被攻击者恶意利用。
再者，我们应该更加注重自身的安全意识培养，对于使用框架或者其他情况，面对大量的可控配置，我们要熟知涉及到安全问题的配置信息，严格的遵守操作手册，对默认配置进行修改，对权限进行合理的增删。

六、top6

新的top6是脆弱的和过时的组件（原top9使用存在已知漏洞的组件）。不难看出这也是人为因素占据大部分责任的威胁。
在web应用、操作系统、数据库管理系统等诸多方面，为了实现不同的需求、便利操作，往往人们选择使用第三方组件、控件，那么这些组件出现安全问题将直接危害到它的载体也就是会危害设备或者系统。在去年年末爆发的log4j2安全漏洞，它是apache推出的日志系统，被广泛使用在apache的产品中，它存在任意代码执行漏洞，使用该组件的所有资产均受到威胁。

七、top7

新的top7是认证和授权失败（原top2）。说明标准化框架发挥了作用。它包括密码、密钥、会话token、用户信息以及与用户身份验证有联系的信息被篡改、伪造、破坏。
比如验证来源时可以通过修改HTTP报文中的数据来伪造来源；很多时候认证和授权为了便利仅进行对某些数据字段的验证，比如状态码，这是十分危险的，因为攻击者可以修改。

八、top8

新的top8是软件和数据完整性被破坏。这是新增的威胁，推测其要实现的战术，有破坏水印对被保护的资产进行恶意泄露；对生产环境的软件进行破坏，导致设备异常如大停电，可能与apt有关。

九、top9

新的top9是安全日志记录和监控失败（原top10）。该问题会严重影响可见性和取证，如我在本篇文章开头处做出的预言那样分析，此类威胁程度会越来愈严重，下次更新它的排名应该会更高。
查阅学习ATT&CK时，我注意到当前的一些高频攻击技术常常伪装自己，比如重命名，这个时候就需要防守方检测表里不一名字的情况，在安全审计的时候提高警惕。

十、top10

新的top10是服务器请求伪造SSRF，是新上榜的安全威胁。了解到它上榜的原因，其中一个是它是安全社区中呼声最高的，同我在文章开头所说的那用，我认为这是内网安全即将迎来下一波风险挑战的信号。

总结：
owasp 仅是一项参考基准，我们可以通过它来大致判断安全的未来走势，也应该通过了解它来加强我们的安全意识。老话重提，上述top10有相当多的威胁是本能避免的，事故就是出于人的疏忽，意识薄弱，或者在一些敏感问题上思想觉悟不够高。是人在贪图方便、利益等。
有时我们不能只掌握技术，还应该要有高度的自觉性，责任心，对社会负责更要对国家负责。

江宝推荐我的一个平台，可以在网上学习并且做一些项目，第一个项目是来自SAP（思爱普）的。

一、关于密码策略

这是这个项目的任务书，从上图的要求看出本项目与安全态势、身份验证有关。要符合ISO 27002用于信息安全控制。

• 身份.csv：“4G$2U3j2$cm@3ur9u”

• 客户端密码策略.pdf：“kAcC9N5u^a**#K3Hk”

接下来是阅读下载到本地的文件，看看用户的密码是否符合标准。可以帮助我思考在企业中能否发现相关的人的漏洞并且及时修正。

1.阅读密码策略，如下图，了解密码制定、维护的策略

①可以看到首先所有等级的密码都应该每90天更新一次；
②上面提到所有的产品 系统等级的密码必须来自安全密码数据库中；
③所有用户级别不能重复使用最近十次使用过的密码；
④密码不能以明文形式传播；
⑤所有用户、系统或者LEIN/NCIC级别密码还得遵循下面规则：

•在所有系统上的最小长度为12个字符
•不是一个字典上的单词或专有名称。
•与用户ID不同。
•过期时间不超过90个日历天。
•与前十(3)个密码不相同。
•不能在安全位置外以明文或明文传输。
•输入时不显示。
•确保只重置授权用户的密码。

之后对于删除密码的策略也要了解，主要是针对合约到期、员工离职等情况密码交接时，要根据策略对密码、账户进行一个删除工作。

任务部分：审计20个密码，判断是否符合。尽管我们用程序就可以识别，但是依旧需要我们本身就有安全意识。

二、关于钓鱼

审计了几封邮件，判断是否为钓鱼邮件

三、整一个Windowsserver2019

四、审计一份扫描结果，判断存在的弊端，给出建议，获取证书。

在这段时间学习的感觉来看，众多攻击技术中powershell使用频次极高，攻击者若能在目标主机运行代码，那么它们就会下载powershell脚本(.ps1)到磁盘中执行，甚至可以直接在内存执行，因此有必要好好看看这部分知识。

首先powershell是windows自带的一个交互式命令行界面和脚本环境，攻击者可以利用powershell实现攻击。而攻击者选用powershell的重要目的在于它可以混淆命令来达到：
·绕过检测
·派生其他进程
·下载并执行代码和二进制文件
·收集信息
·更改系统配置

既然powershell这么广泛使用，那么它的特征将会是很明显的，我们可以先从他的利用方式找到其特征：
·执行命令
·利用编码命令
·混淆执行
·下载其他payload
·启动其他进程

那么检测powershell的方法最有效的就是检查命令行参数，还可以使用反恶意软件扫描接口(AMSI)来检测恶意的powershell，书中介绍了一些检测方式：
①命令加密
攻击者使用powershell的时候往往会使用编码和混淆来扰乱视听，那么我们可以想到检测使用编码和混淆的方法特征，去检查有没有可疑的参数，使用包含“-encodecommand”参数变体的命令行来监控powershell的执行情况。
变体例子：-e,-ec,-encode,-en等

②Base64编码
查找powershell.exe的进程以及包含Base64的相应命令行

③混淆
找到了被编码的数据，可能还被做了手脚混淆了，我们需要找到真正需要的内容。所谓混淆，可能存在压缩，拆解，重新组合等方式绕过检测。我们可以使用正则表达式(比如regex)提高检测准确度，去检测包含“^,+,%,$”等特殊字符的powershell命令

④可疑的cmdlet
从混淆中解开明文内容后我们开始分析。我们可以检测各种可疑的会进行恶意活动的cmdlet(powershell环境中的轻量级命令)、方法和进程参数，比如：invoke-expression(或者他们的变体比如iex,.invoke)、DownloadString、DownloadFile方法，或者如-nop、-noni这样比较特殊的参数。

⑤消除误报
很多时候合法用户也会使用编码等命令，所以会出现误报，这就需要我们懂得其中逻辑并且懂的判断。

再继续了解一下powershell吧
常见攻击工具：
①PowerSplit②Nishang③Empire④Powercat

在之前的内网安全学习曾经提到powershell使用，可以回过头看看。