`

《白帽子讲Web安全》读书笔记

 
阅读更多

《白帽子讲Web安全》读书笔记

最近抽时间把这本书读了下,本书共18章,分为四个大篇,包括作者的安全世界观、客户端脚本安全、服务器端应用安全以及互联网公司的安全运营。 



 

一、安全世界观

1、  白帽子:精通安全技术,工作在反黑客领域的专家们;黑帽子:利用黑客技术造成破坏,甚至进行网络犯罪的群体。

2、  安全问题的本质是信任的问题。

3、  安全的三要素(CIA):机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。

机密性:要求保护数据内容不能泄露,加密是实现机密性要求的常见手段。

完整性:要求保护数据内容是完整、没有被篡改的,常用方法是数字签名。

可用性:要求保护资源是“随需而得”,DOS破坏了这个规则。

4、互联网安全的核心核心问题是数据安全的问题。

5、安全评估的四个阶段:资产等级划分、威胁分析、风险分析、确认解决方案

6、微软提出的威胁建模方法:STRIDE模型

威胁

定义

对应的安全属性

Spoofing(伪装)

冒充他人身份

认证

Tampering(篡改

修改数据或者代码

完整性

Repudiation(抵赖)

否认做过的事

不可抵赖性

InformationDisclosure(信息泄露)

机密信息泄露

机密性

Denial of Service(拒绝服务)

拒绝服务

可用性

Elevation of Privilege(提升权限)

未经授权获得许可

授权

7、微软提出的风险衡量模型:DREAD模型

等级

高(3

中(2

低(1

Damage Potential

获取完整验证权限;执行管理员操作;非法上传文件

泄露敏感信息

泄露其他信息

Reproducibility

攻击者可以随意再次攻击

攻击者可以重复攻击,但有时间限制

攻击者很难重复攻击

Exploitability

初学者在短期内能掌握攻击方法

熟练的攻击者才能完成这次攻击

漏洞利用条件非常苛刻

Affected users

所有用户,默认配置,关键用户

部分用户,非默认配置

极少数用户,匿名用户

Discoverability

漏洞很显眼,攻击条件很容易获得

在私有区域,部分人能看到,需要深入挖掘漏洞

发现该漏洞及其困难

8、白帽子兵法

l  黑名单、白名单原则

l  最小权限原则

l纵深防御原则,需要全面防御

l  数据与代码分离的原则,这是漏洞的成因。

l  不可预测性原则,指攻击方式的不可预测性。

二、浏览器安全

同源策略:这是浏览器最核心也是最基本的安全功能。其限制来自不同源的“document”或脚本,对当前“document”读取或者设置某些属性。

影响因素有:host、子域名、端口、协议。

<script>|<img>|<iframe>|<link>等标签可以跨域请求资源,不受同源策略的限制。

挂马:在网页中插入一段恶意代码,利用浏览器漏洞执行任意代码的攻击方式。

恶意网址拦截的工作原理:浏览器周期性地从服务器端获取一份最新的恶意网址黑名单,如用户上网时访问的网址存在于此黑名单汇总,浏览器就会弹出一个警告页面。

分为两类:(1)挂马网站,通过浏览器漏洞执行shellcode植入木马;(2)钓鱼类网站,欺骗用户。

三、跨站脚本攻击(XSS

XSS攻击:黑客通过“HTML注入”篡改页面,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的攻击方式。

XSS可以分为三类:

1、反射型XSS(非持久型):简单把用户输入的数据“反射”给浏览器。也就是说,需要用户点击一个恶意链接才能攻击成功。

2、  存储型XSS(持久型):把用户输入的数据“存储”在服务器端,其具有很强的稳定性。一个常见的场景是,黑客写一篇包含恶意链接的博客,所有访问这个博客的用户都会执行这个恶意链接。

3、 DOM Based XSS:并非按照“数据是否保存在服务器端”来划分,从效果上来说是反射型XSS,由于其形成原因比较特别,因此单独提出。

XSS Payload:用以完成各种具体功能的恶意脚本。

XSS Payload实际上就是JavaScript脚本。最常见的就是通过读取浏览器的Cookie对象,发起“Cookie劫持”攻击。可以避免在URL的参数里写入大量的JavaScript代码。

XSS所能做的事:

1. 构造GETPOST请求;

2.  XSS钓鱼;

3. 识别用户浏览器;

4.识别用户安装的软件;

5. CSS History Back

6. 获取用户的真实IP地址。

XSS攻击平台:Attack APIBeEfXSS-Proxy

XSS构造技巧:

1. 利用字符编码;

2. 绕过长度限制:利用事件(Event),但事件能够缩短的字节数有限,最好方法是使用XSS Payload;利用location.hash,根据HTTP协议,location.hash的内容不会在HTTP包中发送,因此服务器端的Web日志中并不会记录下location.hash的内容;利用注释绕过长度限制。

3. 使用<Base>标签:作用是定义页面上的所有使用“相对路径”标签的hosting地址。

4.Window.name的妙用:对当前窗口的window.name赋值,没有特殊字符限制,可以实现跨域、跨页面传递数据。

XSS的防御:

1. HTTPOnly:在设置Cookie时使用HTTPOnly属性,解决了Cookie劫持问题。

2. 输入检查:转义或过滤

3. 输出检查:转义,使用编码方式

4. 正确的防御XSS:在不同的输出地方使用不同的编码方式。

四、跨站点请求伪造(CSRF

CSRFCross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。

本质:重要操作的所有参数都可以被攻击者猜测到。

浏览器的Cookie策略:

攻击者能够在第三方站点操作用户原本网站的内容,是因为用户的浏览器存储了原站点的Cookie,用户产生操作请求时,自动发送了这些Cookie,导致了攻击的形成。

浏览器所持有的Cookie分为两种:一种是“Session Cookie”,又称临时Cookie;另一种是“Third-parth Cookie,也称本地Cookie。二者区别在于Third-parth Cookie是服务器在Set-Cookie时指定了Expire时间,只有到了Expire时间后Cookie才会失效,其保存在本地,而Session Cookie没有指定Expire时间,浏览器关闭,就失效。

CSRF攻击思想如下:



 

CSRF的防御:

1. 验证码,对抗CSRF攻击最简洁而有效的方法。

2. Referer Check:检查请求是否来自合法的“源”。其缺陷在于,服务器端并不是任何时候都可以获取到Referer

3. 使用Token:防御CSRFToken,是根据“不可预测性原则”设计的方案,所以Token的生成一定要足够随机,需要使用随机的安全函数来生成。

五、点击劫持(ClickJacking

点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

分类:Flash点击劫持;图片覆盖劫持;拖拽劫持和数据窃取,拖拽不受同源策略的限制,思路是诱使用户从隐藏的不可见iframe中“拖拽”出攻击者希望得到的数据,然后放到攻击者能控制的另外一个页面中,从而窃取数据;触屏劫持。

防御:

1、frame busting,禁止iframe的使用

2、 X-Frame-Options(HTTP头):DENY\SAMEORIGIN\ALLOW-FROM origin

六、HTML5安全

HTML5新标签的XSS:其定义了许多新标签,可能带来新的XSS攻击。

Iframesandbox属性极大增强了iframe的安全性。

Link Typesnoreferrer,标签指定了noreferrer后,浏览器在请求该标签指定的地址时将不再发送Referer。从而保护敏感信息和隐私。

七、注入攻击

条件:1、用户能够控制数据输入;2、原本要执行的代码拼接了用户的输入。

正确的防御SQL注入:找到所有的SQL注入漏洞;修补漏洞。

1、使用预编译语句;2、使用存储过程(避免使用动态SQL);3、检查数据类型;4、使用安全的函数。

八、文件上传漏洞

文件上传漏洞:用户上传了一个可执行的脚本文件并通过此脚本获得了执行服务器端命令的能力。

要完成此攻击,需要满足以下几个条件:

1、上传的文件能够被web容器解释执行。且目录是web容器所覆盖到的路径。

2、用户能从web上访问这个文件。

3、用户上传的文件若被安全检查等改变内容,也可能导致攻击失败。

防御:

1、文件上传目录设置为不可执行。

2、判断文件类型(使用MIME Type和后缀检查),推荐使用白名单

3、使用随机数改写文件名和文件路径

4、单独设置文件服务器域名

九、认证与会话管理

Session Fixation攻击:没有换“锁”而导致的安全问题。

解决方法:登录完成后,重写sessionID

Session 保持攻击:

1、强制销毁Session

2、当用户客户端发生变化时,要求用户重新登录

3、每个用户只允许拥有一个Session

十、访问控制

垂直权限管理:建立用户与权限之间的对应关系,常使用RBAC

水平权限管理:对同一个角色能否访问不同资源进行授权。

十一、加密算法与随机数

系统中对数据进行加密使用的加密算法和随机数生成算法的安全性和健壮性都直接关系到整个系统的安全性。对称加密、非对称加密的密钥的安全性,随机数算法的随机性都是要考虑的问题。

十二、Web框架安全

MVC框架中,通过切片、过滤器等方式,能够对数据进行全局处理。
VIEW层可以解决XSS问题

使用securit token可以解决CSRF攻击问题。

十三、应用层拒绝服务攻击

DDOS:分布式拒绝服务,利用合理的请求造成资源过载,导致服务不可用。

常见的DDOS攻击有:SYN floodUDP floodICMP flood等。

SYN flood利用TCP协议设计中的缺陷。

对抗SYN flood的主要措施有SYN Cookie/SYN ProxySafereset等算法

应用层DDOS发生在TCP三次握手已经完成,连接已经建立,所有发起攻击的IP地址都是真实的,针对服务器性能的一种攻击。

CC攻击:对一些消耗资源较大的应用页面不断发起正常请求,以达到消耗服务器资源的目的。

针对应用层DDOS的防御措施:

1、 限制请求频率;2、对应用程序代码进行优化;3、对网络架构进行优化;4、实现一些对抗手段,如限制每个IP的请求频率。

CC外,还可能利用一些Web Server的漏洞或者设计缺陷,称为资源耗尽攻击:

1、slowloris攻击:以极低的速度向服务器发送HTTP请求,由于Web server对于并发的连接数有一定的上限,恶意占用这些连接数,本质:对有限资源的无限制滥用。

2、HTTP POST DOS:指定非常大的Content-length值,然后以很低的速度发包。可以使用web应用防火墙或者一个定制的Web Server安全模块。

3、Server Limit DOS:由cookie造成的一种拒绝服务,通过XSS攻击将cookie值设置为超长,这样在发起HTTP请求时,由于Web ServerHTTP头有长度限制,导致请求不成功。

4、ReDOS,正则DOS

十四、Web Server配置安全

Web服务器安全即应用部署时的运行环境安全,包括Web Server、脚本语言解释器、中间件等,对其提供一些配置参数,以起到安全保护作用。

Web Server的安全关注两点:1、自身是否安全;2、其是否提供了可使用的安全功能。

十五、互联网业务安全

安全是产品的一个特性。

优秀的安全方案至少具备两个条件:

1、良好的用户体验;2、优秀的性能。

业务逻辑要安全,即产品在设计时尽可能消除其潜在缺陷。

十六、安全开发流程

由微软提出,SDLSecurity Development Lifecycle),大致分为16个阶段:

1、培训:开发团队的所有成员都必须接受适当的安全培训,包括安全设计、威胁建模、安全编码、安全测试、隐私等知识。

2、安全要求:在项目确立前,确定安全的要求和需要做的事情。

3、质量门/bug栏:确定安全和隐私质量的最低可接受级别。

4、安全和隐私风险评估:用于和确定软件中需要评析的功能环节

5、设计要求:仔细考虑安全和隐私问题

6、减小攻击面:通过减少攻击者利用潜在弱点或漏洞的机会,来降低风险。

7、威胁建模:明确可能来自的攻击有哪些方面,其提出了STRIDE模型。

8、使用指定工具:编译器、链接器等。

9、弃用不安全的函数。

10、静态分析:由相关工具辅助完成,结果与人工分析相结合。

11、动态程序分析:用户测试环节验证程序的安全性。

12、模糊测试:专门形式的动态分析,通过故意向应用程序引入不良格式或随机数据诱发程序故障。

13、威胁模型和攻击面评价。

14、事件响应计划。

15、最终安全评析:发布之前仔细检查对软件执行的所有安全活动。

16、发布/存档。

SDL实战经验准则:

1、与项目经理进行充分沟通,排出足够时间。

2、规范公司的立项流程,确保所有项目都能通知到安全团队。

3、梳理安全部门的权威,项目必须由安全部门审核后才能发布。

4、将技术方案写入开发、测试的工作手册中。

5、给工程师培训安全方案。

6、记录所有的安全bug,激励程序员编写安全的代码。

十七、 安全运营

从战略层面上来讲有三个:

1、Find and Fix(应用脆弱性扫描,渗透测试 )

2、Defend and Defer(Web应用防火墙),安全监控和警报是有效手段。

3、Secure at the Source(安全软件开发生命周期)

Fix工作分两种:1、扫描漏洞并及时修补;2、安全事件发生或0day漏洞被公布时,紧急响应。

 

安全运营的重要目标:建立SOCSecure Operation Center

  • 大小: 196.4 KB
  • 大小: 36.3 KB
分享到:
评论

相关推荐

    白帽子讲Web安全 读书笔记一

    ### 白帽子讲Web安全读书笔记一:关键知识点解析 #### 第零篇 总览 - **客户端脚本安全**:这部分主要关注浏览器环境下的安全问题,包括浏览器自身的安全机制以及用户与网页交互过程中可能遇到的安全风险。 - **...

    白帽子讲Web安全

    《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...

    白帽子讲Web安全高清完整PDF版

    《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...

    白帽子讲web安全 azw3

    《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...

    白帽子讲Web安全 pdf

    《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...

    白帽子讲web安全 完整版

    《白帽子讲Web安全》是一本深入探讨网络安全领域中Web应用安全的专业书籍,全面覆盖了Web安全的基础理论、常见威胁及防御策略。随着互联网技术的不断发展,Web应用已经成为日常生活和工作中不可或缺的一部分,...

    白帽子讲web安全

    通过阅读《白帽子讲Web安全》,无论是初入行业的新人还是有经验的安全专家,都能从中受益,提升对Web安全的理解,学习到有效的防御策略,从而更好地保护网络环境。无论你是开发者、安全管理员还是对网络安全感兴趣的...

    白帽子讲Web安全.pdf百度云分享+Web前端黑客技术揭秘.pdf

    《白帽子讲Web安全》与《Web前端黑客技术揭秘》这两本书是IT行业中关于网络安全,特别是Web安全领域的经典著作。它们深入浅出地探讨了Web安全的重要性和实践方法,为读者提供了丰富的知识。 《白帽子讲Web安全》一...

    白帽子讲WEB安全--吴翰清.pdf

    阿里巴巴知名安全大牛吴翰清所著书籍--《白帽子讲web安全》

    白帽子讲Web安全【高清】.pdf

    根据给出的文件信息,本文件为《白帽子讲Web安全【高清】.pdf》,内容围绕Web安全、白帽子以及安全入门等知识点展开。该书由道哥原作,旨在帮助读者了解和入门Web安全领域。 知识点一:Web安全的重要性 Web安全是...

    白帽子讲Web安全完整版

    《白帽子讲Web安全》的清晰pdf版本为学习提供了便利,可以随时随地进行阅读和查阅。对于希望提升Web安全知识的IT从业者、学生或者对此感兴趣的人来说,这本书无疑是一份宝贵的资源。通过深入学习并实践其中的知识,...

    《白帽子讲Web安全》.pdf

    《白帽子讲Web安全》.pdf 作者:吴翰清 电子工业出版社

    白帽子讲web安全.pdf.rm2

    白帽子讲web安全.pdf(Part 2),因上传大小限制,故将文件分割成4个部分。4个部分和1个合并文件都下载后放在同一目录下,运行合并文件(.bat)即可将4个部分合并。PS:只有第一个部分需要一个下载积分。

    白帽子讲Web安全(pdf版)

    (没有源码啊,不知道怎么删不掉标题上的这些)《白帽子讲Web安全》是2012年电子工业出版社出版的图书,作者是吴翰清。本书是根据作者若干年实际工作中积累下来的丰富经验而写成的,在解决方案上具有极强的可操作性...

    白帽子讲Web安全(纪念版 (带书签高清文字版)

    白帽子讲Web安全(纪念版 (带书签高清文字版)

    白帽子讲Web安全 完整版 高清PDF 分卷2

    这个是完整高清版 PDF文件220M ...《白帽子讲web安全》是根据作者若干年实际工作中积累下来的丰富经验而写成的,在解决方案上具有极强的可操作性,深入分析了各种错误的解决方案与误区,对安全工作者有很好的参考价值。

    白帽子讲web安全超高清

    《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...

Global site tag (gtag.js) - Google Analytics