白帽子讲Web安全
2021-11-25 11:55:26 1 举报AI智能生成
白帽子讲Web安全
作者其他创作
大纲/内容
安全世界观
Web安全简史
中国黑客简史
黑暗时代<-黄金时代<-启蒙时代
Open、Free、Share 一去不复返了
黑客技术的发展历程
Web应用<-系统软件
Web安全的兴起
XSS、CSRF等<-SQL注入<-可执行脚本(webshell)
基本概念
白/黑帽子
白帽子
守护安全的专家
黑帽子
利用黑客技术搞破坏、犯罪
安全的本质
信任
必须相信一些东西(最基本的假设)
没有银弹
安全是一个持续的过程
矛与盾都在不断升级
安全三要素(CIA)
机密性(Confidentiality)
数据内容不能泄密
加密
完整性(Integrity)
数据内容是完整、没有篡改的
数字签名
可用性(Availability)
资源是“随需而得”
如何实施安全评估
资产等级划分
目标是什么、要保护什么
互联网安全的核心是数据安全
威胁分析
区分
威胁(Threat)
可能造成危害的来源
风险(Risk)
可能会出现的损失
定义
找出所有的威胁
STRIDE模型
风险分析
公式
Risk = Probability * Damage Potential
DREAD模型
设计安全方案
能够有效解决问题
用户体验好
高性能
低耦合
易于扩展与升级
白帽子兵法
Secure By Default原则
黑/白名单
最小权限原则
纵深防御原则
体系
在各个不同层面、不同方面实施安全方案,不同方案间相互配合,构成一个整体
专精
在正确的地方做正确的事情
在解决根本问题的地方实施针对性的安全方案
数据与代码分离原则
不可预测性原则
客户端脚本安全
浏览器安全
同源策略
因素
协议、host(域名 or IP地址)、子域名、端口
限制
来自不同源的“document”或脚本,对当前“document”读取或设置属性
例外
<script>、<img>、<iframe>、<link>
可加载、不能读写
浏览器沙箱
Sandbox
让不可信任的代码运行在一定的环境中,限制不可信任的代码访问隔离区之外的资源
拦截恶意网址
恶意网址
挂马网站
包含恶意的脚本,利用浏览器漏洞执行shellcode
钓鱼网站
模仿知名网站的相似页面来欺骗用户
内置黑名单
更进一步
IE8 的XSS Filter
拦截URL中的XSS脚本
Firefox 的CSP(Content Security Policy)
服务端返回一个HTTP头,描述页面应该遵守的安全策略
智能识别URL
Chrome
www.google.com\\abc -> www.google.com/abc
Firefox
[http://www.cnn.com]
[http://]www.cnn.com
[http://www].cnn.com
插件
也可能被利用的威胁
跨站脚本攻击XSS
XSS 简介
Cross Site Script
避免层叠样式表CSS冲突(Cascading Style Sheet)
改简称 XSS
分类
反射性XSS
把用户输入的数据“反射”给浏览器
黑客会诱导用户“点击”一个恶意链接
存储型XSS
把用户输入的数据“存储”在服务器端
DOM Based XSS
通过修改页面DOM节点形成XSS
XSS 攻击进阶
XSS Payload
初探
Cookie 劫持
HttpOnly 防止
深入
构造GET/POST请求
XSS钓鱼
\"画出\"一个伪登录框
识别用户浏览器
识别用户安装的软件
CSS History Hack
获取用户的真实IP
XSS 攻击平台
Attack API
通过API 的方式
BeEF
曾经最好的XSS 演示平台
XSS-Proxy
可实时地远程控制被XSS 攻击的浏览器
XSS Worm
Samy Worm
百度空间蠕虫
特别注意
用户之间发生交互行为的页面,如果存在存储XSS ,则比较容易发起XSS Worm攻击
发送站内信、用户留言等
调试JavaScript
Firebug、Fiddler、HttpWatch
XSS 构造技巧
利用字符编码
绕过长度限制
使用<base>
window.name 的妙用
Mission Impossible
Flash XSS
JavaScript 框架
XSS 防御
HttpOnly
检查
输入
必须Server 端实现
XSS Filter
缺陷:对语境理解不完整
输出
安全的编码函数
OWASP ESAPI
Apache Common Lang - StringEscapUtils
也可能漏洞
正确防御XSS
在HTML标签中输出
在HTML属性中输出
在<script>标签中输出
在事件中输出
在CSS中输出
在地址中输出
处理富文本
【输入检查】
优秀的XSS Filter
htmlparser
黑名单
<iframe>、<script>、<base>、<form>
白名单
标签
<a>、<img>、<div>
属性、事件
CSS Filter
OWSAP的 Anti-Samy
HTMLPurify
防御DOM Based XSS
从服务直接输出到HTML
从javascript 中输出到HTML
关键触发点
JavaScript输出到HTML
document.write/writeln()
xxx.innerHTML/outerHTML()
innerHTML.replace
document/window.attachEvent()
document.location.replace/assign()
服务器输出变量到JavaScript
所有input 框
window.location(href、hash等)
window.name
document.referrer
document.cookie
localstorage
XMLHttpRequest 返回的数据
换个角度看
从漏洞形成的原理上看
从业务风险的角度看
存储型XSS > 反射型XSS
更隐蔽
用户交互的页面
XSS Worm可能性高
重要页面优先级高
PageView 高低
跨站点请求伪造CSRF
CSRF 简介
CSRF 进阶
浏览器Cookie 策略
Session Cookie(临时Cookie)
关闭浏览器失效
Third-party Cookie(本地Cookie)
Expire 时间到达失效
浏览器对Third-party Cookie 策略
默认拦截
IE、Safari...
默认放开
Firefox、Opera、Google Chrome、Android...
P3P 头的副作用
GET/POST ?
Flash CSRF
CSRF Worm
CSRF 防御
验证码
Referer Check
Anti CSRF Token
点击劫持ClickJacking
ClickJacking 简介
Flash 点击劫持
图片覆盖攻击
拖拽劫持与数据窃取
触屏劫持
ClickJacking 防御
frame busting
X-Frame-Options
HTML5安全
HTML5 新标签
其他安全问题
白帽子讲Web安全
服务端应用安全
注入攻击
00年代通讯霸主
文件上传漏洞
10年代通讯霸主
少量广告
支付入口
认证与会话管理
访问控制
加密算法与随机数
Web 框架安全
应用层拒绝服务攻击
PHP 安全
Web Server 配置安全
安全运营
互联网业务安全
类似:google
安全开发流程(SDL)
国内最知名的BBS
似乎没有较成功的收入模式
类似:wikipedia
权威性不如wikipedia
0 条评论
回复 删除
下一页
