《白帽子讲web安全》——吴瀚清 阅读笔记
- 浏览器安全
- 同源策略:浏览器的同源策略限制了不同来源的“document”或脚本,对当前的“document”读取或设置某些属性。是浏览器安全的基础,即限制不同域的网址脚本交互
- <script><img><iframe><link>可以跨域加载资源
- 在AJAX应用中,XMLHttpRequest受到同源策略的影响,不能进行跨域访问资源。cookie ,DOM也会
- 采用Sandbox技术,可以让不信任的网页代码,js代码运行在一个受限制的环境,从而保护本地桌面系统的安全
- 跨站脚本攻击(XSS)
- XSS攻击通过“HTML注入”篡改网页,插入恶意脚本,从而在用户浏览网页时控制浏览器的一种攻击。
- 反射型XSS:诱导用户点击恶意链接,将数据“反射”给浏览器,“非持久型XSS”
- 存储型XSS:把用户输入的数据存储在服务端。黑客将写一篇含有恶意代码的的博客发表后存在服务器里,访问改博客的用户会自动执行恶意代码
- DOM Based XSS:通过修改DOM节点形成的XSS,比如对用户输入的值进行显示,在显示的地方插入对应的标签,屏蔽掉旧的标签,构造新的事件。也可以通过注释!
- XSS攻击
- XSS Payload:XSS攻击后,攻击者能够对用户当前浏览的页面植入恶意脚本,通过恶意脚本控制用户的浏览器,这种用于完成各种具体功能的恶意脚本称为XSS Payload
- 读取浏览器中的Cookie对象,从而发起Cookie劫持,伪造链接发送用户的document.cookie到远程服务器,然后打开相同的网站,更改本地cookie,从而进行免密码登录。在Set-Cookie时给关键的Cookie植入HttpOnly可以防止Cookie劫持,或者将Cokie与ip结合也可以提高安全性
- 构造GET与POST请求:攻击者在用户的页面通过插入一张图片进而发起GET请求,让用户执行某一个任务,例如删除。post的话可以构造form表单使之自动提交,或者通过XMLHttpRequest发送一个POST请求(因为是在用户对当前页面的操作,所以属于同源的)
- XSS钓鱼:伪造页面骗取用户输入密码后发到远程服务器
- 识别用户的浏览器:usersAgent对象或分辨浏览器之间的差别,准确的判断浏览器的版本
- 如果客户端安装了java可以通过调用JavaApplet的接口获取客户端本地ip
- 攻击平台:Attack API,BeEF,XSS-Proxy,
- js调试工具:FrieBug,IE 8 Developer Tools,Fiddler,HttpWatch,
- XSS构造技巧:
- 利用字符编码,
- 利用注释符绕过长度限制,
- 通过<base>劫持页面中的所有的相对路径
- 巧用window.name实现跨域传递
- XSS防御
- HttpOnly 在Set-Cookie添加,防止cookie劫持
- 输入检查
- 输出编码
- 防御DOMBasedXSS应注意js输出到html页面的必经之路,如document.write(),xxx.innerHTML()等等,以及页面的inputs框,XMLHTTPrequest返回的数据,window.name,localstorage等
- 跨站点请求伪造(CSRF)
- CSRF攻击本质原因,重要操作的所有参数都是可以被攻击者猜测到的,预测出URL,利用用户的身份操作账户。
- 使用Img标签,地址指向要删除的链接,诱导用户访问你的页面,让系统自动加载“链接”,导致跨站请求成功,文章删除,cookie策略
- p3p头可以改变隐私策略,允许跨域访问隐私数据,从而跨域Set-cookie成功
- 防御:验证码,Referer Check(并非什么时候服务器·都能获取Referer),加密URL参数,Anti CSRF Token(添加随机数作为参数)
- Token是根据“不可预测原则”设计的方案,一定要够随机才能确保安全性,存在本地的Token可以考虑生成多个。Token尽量放在表单中,用post提交。对XSS无效
- 点击劫持
- 一种视觉欺诈,构造一个透明、不可见的页面覆盖在一个网页(iframe)上,通过调整位置,覆盖在某些功能键上诱使用户点击
- Flash点击劫持,图片覆盖攻击,拖拽劫持与数据窃取,触屏劫持
- 防御:
- frame busting禁止iframe嵌套。
- http头 X-Frame-Options,值为DENY拒绝页面加载任何frame页面,SAMEORIGIN表示允许同源frame加载,ALLOW-FROM可以定义允许frame加载的地址。
- 对抗CRLF方案只需在“view”中编码所有\r\n,
- HTML5安全:
- 新标签的XSS
- iframe的sandbox新属性
- Canvas识别验证码
- 服务器端应用安全
- sql注入攻击:把用户输入的数据当作代码执行,条件一,用户能控制输入。条件二,原本程序要执行代码拼接了用户输入的数据
- SQL注入:通过用户输入的数据,更改系统原本的sql语句的想法,进行数据库操作。也就是说数据输入没有进行合法性判断,导致攻击者可以构造不同的sql语句实现对数据库任意操作。
- 盲注:当攻击者进行sql攻击时,由于系统没有开启错误回显,意味着攻击者缺少了一个调试工具。但是攻击时可以采用简单的条件判断,再对比页面结果的差异就判断出SQL注入漏洞是否存在(and 1=2,and1=1)
- Timing Attack:利用类似MYSQL数据库中BENCHMARK()函数,可以让同一个一个函数执行若干次,使得结果返回的时间比平时要长,通过时间长短的变化,可以判断注入语句的执行是否成功,这是一种边信道攻击
- 自动注入工具:sqlmap
- 防御:使用预编译语句绑定变量,避免使用动态sql语句,检查输入数据的类型,使用安全函数,遵守数据代码分离原则
- MYSQL注入相关
- 5.0版本后默认存在information_schema数据库 ,SCHEMATA表包含创建的数据库名,字段为SCHEMA_NAME,TABLES表存出用户创建的所有数据库的库名和表名 字段为TABLE_SCHEMA和TABLE_NAME,COLUMNS表存储用户创建的库名,表名,字段名 ,其对应TABLE_SCHEMA和TABLE_NAME和COLUMN_NAME
- 查询语句
- SELECT 要查询的字段名 FROM 库名,表名
- SELECT 要查询的字段名 FROM 库名,表名 WHERE 已知字段=‘已知条件的值’
- SELECT 要查询的字段名 FROM 库名,表名 WHERE 已知字段=‘已知条件的值’AND 已知字段=‘已知条件的值’
- limit m,n m表示开始的位置,n表示结束位置,可以限制查询区域
- database()当前网站使用的数据库,version()当前数据库的版本,user()当前Mysql的用户。
- 注释符 #或--空格或/**/,sql内联注释/*!code !*/
- 文件上传漏洞:上传web脚本能够被服务器解析的问题,也就是webshell的问题
- 条件:上传的文件能被web容器解释执行。用户能够通过web访问。上传的文件不被安全检查、格式化等更改内容
- 利用终止字符更改文件类型绕过文件上传检查功能 0x00 列如文件限制ipg上传 xxx.php[\0].jpg
- 伪造文件,MIMESniff利用文件的前256个字节判断类型,攻击者通过伪造文件头绕过检查。
- Apache文件解析问题,从后向前解析文件后缀,直到认识类型为止,XXX.php.rar.rar.rar为php文件,在Apache的mime.types文件中可查看它认识的
- iis文件解析问题:IIs6中截断字符为“;”。通过OPTIONS方法探测服务器http中是否支持put和move,如果支持则可以上传指定文件后通过MOVE改写为脚本文件。注意iis服务器中勾选“脚本资源访问”发生put问题。
- 防御:
- 文件上上传目录设置为不可执行,防止服务器受影响
- 判断文件类型设置白名单,对于图片可以采用压缩函数或者resize函数进行处理,可以破坏图片中可能包含的html代码
- 使用随机数改写文件名和文件路径
- 单独设置文件服务器的域名
- 密码设置要求
- 普通应用为6位以上
- 重要应用为8位以上,并考虑双重认证
- 区分大小写
- 密码为大写字母,小写字母,数字,特殊符号两种以上的组合
- 不能有连续性字符 1234
- 避免出现多个重复字符 111
- 不要使用公开数据,比如生日,身份证号码等
- 密码必须以不可逆的加密算法,或者是单向散列函数算法加密后存储在数据库中,即使是管理员也看不到密码。哈希,md5,sha-1 。
- 现普遍使用在加密密码添加一个“Salt”随机字符串再加密,以增加明文密码的复杂度。防止彩虹表嗅探到
- 访问控制:建立用户与权限之间的关系
- RBAC(垂直权限管理):将用户分成不同的角色,赋予不同的权限。spring security中的权限管理就是一个RBAC的实现。
- 在配置权限时应当使用“最小权限原则”,使用默认拒绝的策略,对有需要的主体单独配置允许,避免越权访问
- OAuth:对第三方网站的授权
- 加密算法与随机数
- 流密码:基于异或操作进行的,每次只操作一个字节,但是性能非常好。RC4,ORYX,SEAL
- 流密码使用同一密钥多次加密会导致密码变得特别简单,存在“Reused Key Attack”和“Bit-flipping Attack”等攻击方式,以及WEP密钥破解
- 密码系统的安全性依赖与密钥的复杂性,而不是算法的保密性
- 不要使用ECB模式
- 不要使用流密码
- 使用HMAC-SHAI代替md5,甚至代替SHAL
- 不要使用形同的key做不同的事
- 不要自己实现加密算法,尽量使用安全专家已经实现好的库
- 不知如何选择时:
- 使用CBC模式的AE256用于加密
- 使用HMAC-SHA512用于完整性检查
- 使用带salt的SH-256或SHA-512用于Hashing
- MVC框架的安全:在正确的地方做正确的事情
- 在View层解决XSS问题:针对不同情景使用不同的编码进行防御
- WEB框架与CSRF防御
- csrf针对的是构造url对数据进行增删改,而查却没有意义,在开发中应对读写操作予以区分,比如所有写操作使用HTTP POST,并添加token
- 在session中绑定token,如果不能存在服务器,也可以是在cookie
- 在表单自动填入token字段
- 在Ajax请求中自动添加token
- 在服务器端验证提交的token与session中的token是否一致,判断是否是CSRF攻击
- 管理好跳转目的地址
- 如果web框架提供统一的跳转函数,则可以在函数内部设置白名单,指定跳转地址只能在白名单中
- 控制http的location字段,限制location的值只能是哪些地址,本质也是设置白名单
- DDos攻击:利用合理的请求造成资源过载,导致服务不可用
- SYNflood:伪造大量的源ip地址,分别向服务器端发送大量的SYn包。因为服务器返回SYN/ACK包后会等待回应,但ip是伪造的,没有回应,服务器会重试3-5次并等待,到超时才丢弃链接,攻击者利用发送大量的伪造地址SYN请求,消耗服务器大量的资源来处理这种半连接,导致拒绝服务
- 防御:SYNcookie/SYN Proxy 、safereset等算法
- SYNcookie:为每一个ip分配一个“cookie”,并统计访问频率。短时间内收到大量来这同一个ip的数据包则认为受到攻击,之后来自这个ip地址的数据包将被丢弃
- 应用层DDoscc攻击:对一些消耗资源较大的应用页面不断发起正常请求,已达到消耗服务端资源为目的,查数据库,读写文件都会消耗比较多的资源
- 防御:
- 针对每一个客户端做一个请求频率的限制。通过IP地址和cookie定位一个客户端,如果客户端在短时间内频繁发请求,则后将改客户端的所有请求重定向到一个出错的页面
- 攻击者可以通过变换ip地址,清空cookie绕过防御
- 代理猎手是一个常用的搜索代理服务器的工具
- AccessDive自动变换ip地址攻击,可以批量导入代理服务器地址,然后通过代理服务器在线破解用户名密码
- 应用代码要做好性能优化,合理使用mencache。
- 在网络架构上做好优化,善于利用负载均衡分流,利用好CDN和镜像站点的分流作用
- SLOWLORIS攻击:以极低的速度往浏览器发送HTTP请求。恶意占用链接,web Server对于并发连接的数量有限,从而导致无法接受新的请求,拒绝服务。构造畸形的HTTP包头实现
- 本质是对有限的资源无限乱用,对有限的连接数进行占用
- HTTP POST DOS:发送HTTP post包时,指定一个很大的Conten-length值,然后以很低的速度进行发包
《白帽子讲web安全》——吴瀚清 阅读笔记的更多相关文章
- 读>>>>白帽子讲Web安全<<<<摘要→我推荐的一本书→1
<白帽子讲Web安全>吴翰清著 刚开始看这本书就被这本书吸引,感觉挺不错,给大家推荐下,最近读这本书,感觉不错的精华就记录下, 俗话说>>>好脑袋不如一个烂笔头< ...
- 《白帽子讲Web安全》- 学习笔记
一.为何要了解Web安全 最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了). ...
- 白帽子讲web安全——认证与会话管理
在看白帽子讲web安全,刚好看到认证与会话管理:也就是我们在平常渗透测试中遇到最多的登录页面,也即是用户名和密码认证方式,这是最常见的认证方式. 了解两个概念:认证和授权 1):认证的目的是为了认出用 ...
- 白帽子讲web安全读后感
又是厚厚的一本书,为了不弄虚做假,只得变更计划,这一次调整为读前三章,安全世界观,浏览器安全和xss.其它待用到时再专门深入学习. 吴翰清是本书作者,icon是一个刺字,圈内人称道哥.曾供职于阿里,后 ...
- 白帽子讲web安全——一个安全解决方案的诞生细节
1.白帽子:做安全的人.主要做的事,防御,是制定一套解决攻击的方案.而不是只是解决某个漏洞. 2.黑帽子:现在说的黑客.让web变的不安全的人.利用漏洞获取特权.主要做的事,攻击,组合各种方法利用漏洞 ...
- 读书笔记——吴翰清《白帽子讲Web安全》
目录 第一篇 世界观安全 一 我的安全世界观 第二篇 客户端脚本安全 一 浏览器安全二 跨站脚本攻击(XSS)三 跨站点请求伪造(CSRF)四 点击劫持(ClickJacking)五 HTML5 安全 ...
- 白帽子讲Web安全2.pdf
XSS构造技巧 利用字符编码: var redirectUrl="\";alert(/XSS/);"; 本身没有XSS漏洞,但由于返回页面是GBK/GB2312编码的“% ...
- 白帽子讲Web安全1.pdf
第一章 我的安全世界观 安全是一个持续过程 6种威胁:Spoofing(伪装).Tampering(篡改).Repudiation(抵赖).InformationDisclosure(信息泄漏).De ...
- 白帽子讲web安全——白帽子兵法(设计安全方案中的技巧)
1.Secure By Default原则 白名单:筛选出被允许的,屏蔽其他. 黑名单:屏蔽可能造成的威胁. 2.XSS和SSH XSS攻击:跨站脚本(cross site script)攻击是指恶意 ...
随机推荐
- java算法题每日一练01,java入门简单算法题小练
1.给数组做反序 public class Ak01 { public static void main(String[] args) { int[] a = new int[]{22,48,41,2 ...
- Neo4j电影关系图
“电影关系图”实例将电影.电影导演.演员之间的复杂网状关系作为蓝本,使用Neo4j创建三者关系的图结构,虽然实例数据规模小但五脏俱全. 步骤: 一. 创建图数据:将电影.导演.演员等图数据导入Neo4 ...
- mui.storage 将数据持久化到本地
在一个用mui做得app中,要求把历史记录放在本地(感觉...无法言喻的sd),但最终还是做了,以下来记录本次的学习到的内容 mui.plusReady(function() { //这里是一开始定义 ...
- Kafka producer拦截器(interceptor)
Kafka producer拦截器(interceptor) 拦截器原理 Producer拦截器(interceptor)是在Kafka 0.10版本被引入的,主要用于实现clients端的定制化控制 ...
- C++ Primer 第五版 一些遇到的注意点记录。
第8章 8.2 p283 示例里有一句 ostream *old_tie = cin.tie(nullptr);//old_tie指向当前关联到cin的流 一开始不理解为什么不是无关联,查过tie() ...
- 如何挑选node docker镜像
如何挑选node docker镜像 在使用Jenkins构建前端项目的时候遇到一点问题: node的版本问题. 由于可能编译的项目历史不同,所依赖的node版本也各有千秋,直接把所有项目都升级到最新的 ...
- 解决Oracle.DataAccess.Client.OracleConnection”的类型初始值设定项引发异常。
解决Oracle.DataAccess.Client.OracleConnection”的类型初始值设定项引发异常. 这个问题他们说是oracle的版本问题 但是好像不是...(我感觉VS版本问题,我 ...
- Git学习(二):Git的初步使用
一.Git的最小配置 1.使用如下命令创建Git的用户名和邮箱,如下所示: $git config --global user.name 'your_name' $git config --globa ...
- sklearn学习 第一篇:knn分类
K临近分类是一种监督式的分类方法,首先根据已标记的数据对模型进行训练,然后根据模型对新的数据点进行预测,预测新数据点的标签(label),也就是该数据所属的分类. 一,kNN算法的逻辑 kNN算法的核 ...
- threeJS创建mesh,创建平面,设置mesh的平移,旋转、缩放、自传、透明度、拉伸
这个小案例是当初我在学习的时候,小的一个小案例,代码还需要进一步优化:还请谅解~~:主要用到了threeJS创建mesh,创建平面,设置mesh的平移,旋转.缩放.自传.透明度.拉伸等这些小功能: 采 ...