白帽子讲安全 的一些记录点

安全三要素：机密性（加密），完整性（数字签名），可用性（DDos攻击）

安全评估：资产等级评估-》威胁分析-》风险分析-》设计安全方案

白帽子兵法：

secure by default：白名单黑名单，

flash : 检测服务器的crossdomain.xml来验证是否允许客户端flash跨域请求

最小权限原则：

纵深防御 Defense in Depth

数据与代码分离原则  缓冲区代码溢出，将用户数据当代码执行

不可预测性原则

 

浏览器安全：

  同源策略

     script,img,iframe,link等标签可以跨域加载资源，js不能读写这些标签返回的内容；

     XMLHTTPRequest跨域访问标准

  浏览器沙箱

     挂马  利用浏览器漏洞执行恶意代码  DEP，ASLR，SafeSEH等操作系统保护技术，浏览器多进程架构

  恶意网址拦截  挂马网址，钓鱼网址

  IE8 XSS filter功能

  firefox4:content secuity policy 返回http的访问控制策略

 

跨站脚本攻击 XSS

   反射性XSS：简单的把用户输入反射到浏览器

   存储型XSS：把用户输入的数据存储到服务器，

   DOM based XSS：

XSS payload

  XSS攻击：cookie劫持， httponly解决，cookieIP绑定

XSS钓鱼：

  css HISTORY HACK  通过visited来获取用户访问过的链接

  获取用户的真实ip地址 利用java Applat

攻击平台：

  Attack API

  BEFF

  XSS-Proxy

  XSS Worm  发送站内信，用户留言

 

XSS攻击技巧：

  利用字符编码

  绕过长度检测  最常用藏代码的地方：location.hash

  base标签  劫持页面所有的相对路径

  window.name 共享数据，    

  apache expect header xss

  flash xss  限制flash动态脚本参数allowscriptaccess  allownetworking

 

  XSS防御：

    HttpOnly：禁止浏览器访问带有httponly的cookie  apache TRACE漏洞，把request头作为response返回，从而获得httponly cookie。

   XSS FIlter：输入检查

   输出检查  HTMLEncode  JAVAscriptEncode URLEncode

   标签选择尽量使用白名单，不要使用黑名单。

   

跨站点请求伪造：CSRF

  浏览器cookie策略：session cookie|本地cookie  session会发送到不同域中，而本地cookie不能跨域发送

  P3P header：

   

  CSRF防御

    1.验证码

    2.referer check 图片盗链  并非什么时候都能渠道referer，https-http

    3.anti-csrf-token

      足够随机，安全随机数生成token

      生成多个有效的token，多页面共存

      token曝露，隐藏在表单中，POST方式提交

 

 点击劫持（clickjacking)  

   透明iframe

   flash点击劫持

   图片覆盖攻击

   拖曳劫持与数据窃取

   clickjacking3.0:触屏劫持

  防御clickJacking：

    frame busting:禁止iframe嵌套  html5的sandbox属性，IE中iframe的security属性都可以禁止iframe脚本执行，绕过frame busting。

    x-Frame-options: http头的X-Frame-options

 

 Html5安全：

    新标签的XSS Vidio，audio

    a, area: linked type noreferer

    canvas 破解验证码

    跨域资源共享  Access-Control-Allow-Origin  Origin

    PostMessage  window.name

    web storage: cookie，flash shared data，IE userData  受同源策略约束

 

 注入攻击：

  SQL注入

  XML注入

  代码注入 eval system

  CRLF注入 http头 X-XSS-Protection:0  

  数据与代码分离

 

文件上传漏洞

  上传web脚本并被执行

  设计安全的文件上传功能：文件上传目录不可执行；判断文件类型；使用随机数改写文件名和文件路径；单独设置文件服务器的域名。

 

认证与会话管理：

  Session fixation:session Id登录前后没有变化，在登录完成后，重写sessionID。

  Session过期，强制销毁session

 

访问控制

   基于url的访问控制

 

加密

  流密码 Stream cipher attack: RC4,ORYX,SEAL

  HMAC

  密钥管理，定时更新

  使用安全的随机函数 java.security.SecureRandom

 

web框架安全

   strust2 script标签过滤xss漏洞

 

应用层拒绝服务攻击

  DDOS攻击：SYN flood，UDP flood，ICMP flood

  SYN flood：SYN cookie，SYN proxy，safereset

应用层DDOS  

  限制客户端的访问频率

资源耗尽攻击

  HTTP POST DOS

  Server Limit DOS

  ReDos 正则表达式引发的血案

 

PHP安全

  文件包含漏洞

  远程文件包含

  全局变量覆盖

 

Web Server配置安全

  apache安全：减少不需要的modules，专门用户运行apache，保护apache log

  nginx：

  ＪＢＯＳＳ远程命令执行

Tomcat远程命令执行

  Http Parameter POLLution

 

互联网业务安全

 DO-NOT-TRACK

 

安全开发流程