`
aaronjiu_00
  • 浏览: 69035 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

2008精武门之WEB安全研讨会纪实

阅读更多

本月17、18日,我参加了由支付宝主办的“2008精武门之WEB安全研讨会”。会上,听了很多大侠的讲义,我作为一个门外客,只算是一个扫盲,虽然听不懂,但是还是仔细听完了。

 

首先出场的是腾讯安全中心TST(Tencent Security Team)总监杨勇,演讲主题是《互联网企业安全建设的思考》,在腾讯,具有一横一竖的产品线,组织架构有专门的安全中心,下有:应用运维、业务安全、信息安全,面对众多和严峻的安全问题,TST的应对策略是“专职专岗,立足运维,植根研发,服务产品”。

QQ安全中心:http://safe.qq.com 

 

接下来,Discuz的剑心带来了《WEB应用程序中的字符集攻击》,感觉演讲者讲话很快,听得不是很清楚,主要的字符集有:

  • 单字节编码字符集(SBCS)
  • 多字节编码字符集(MBCS)
  • 国际化编码字符集(Unicode)

问题来源:

 

  • 上下层使用的字符集不一致,导致数据的意义出现问题
  • 处理多字节字符集时出现问题
  • 对于非法数据的处理上理解不一致
  • 某些字符集的天生缺陷
  • 数据库里的校对规则(前后使用字符集不一致就出现问题)
  • 其他攻击

解决方案:

  • 用正确的字符集编码理解数据
  • 理解上下层之间处理数据的方式
  • 尽量使用相对安全的编码utf-8
  • 处理好非法的数据

下午,第一场是 team509的吴石的《关于软件缺陷》

主要根源是缓存区溢出,解决方案是GS、Safe SEH、Heap Protection、 DEP and ASLR,有效区分代码和数据,最后引出了MS的SDL(Security Development Lifecycle),是MS的一个安全开发流程。

 

接下来就是MS的王琦带给大家的《安全开发生命周期SQL》,主要思想是SD3 + C

  • Security by Design
  • Security in deployment
  • Security by Default
  • Communications

 接下来是钟晨鸣带来的《CSRF攻击》,这个我们应该多关注一下

CSRF是Cross-Site Request Forgery的缩写,意思是跨站请求伪造

 

Cross Site Request Forery跨站点请求伪造,主要特点是:

  • 请求是跨站点的
  • 请求是伪造的

被攻击者的浏览器被迫向目标站点发起了伪造的请求,这个过程会带上被攻击者的身份验证标识(session)以通过目标站点的验证。从而借用被攻击者在目标站点上的权限进行一系列不被期望的操作 。

 

何谓恶意站点?

恶意站点 = 目标站点,同域CSRF

恶意站点 != 目标站点,跨域CSRF

浏览器存在的问题

  • 本地Cookie
  • 内存Cookie
  • 多标签浏览器

根源是浏览器、目标站点没对正常的请求、伪造的请求进行区分

主要使用的类型:

  • POST
  • GET型
  • 手段:JavaScript, ActionScript, HTML/CSS, XML, ASP, PHP, JSP, .NET

 CSRF攻击能完成的事情:

  • 删除、修改、新增目标站点上被攻击者的数据
  • JSON Hijacking等获取被攻击者的隐私数据
  • 作为其它攻击向量的辅助攻击手法
  • 使被攻击者成为黑客下一步攻击的跳板
  • 甚至可以实现CSRF蠕虫攻击

基于CSRF的XSS攻击

  • 基于CSRF的XSS攻击
  • 基于CSRF的SQL注入攻击
  • 基于CSRF的命令执行攻击

同域CSRF攻击。

  • 同域内获取数据几乎没任何限制。

跨域CSRF攻击
跨域获取数据的几种方法:

  • XSS
  • 服务端代理技术
  • JSON Hijacing
  • Flash AsctionScript(crossdomain.xml)

要获取的关键数据是唯一标识

 

 解决方案:

  • 在服务端区严格区分好POST与GET的数据请求
  • 可以考虑使用referer来判断请求来源
  • 使用随机的不可猜测的表单token值来防止外站CSRF攻击
  • 在一些重要的表单提交处可以考虑使用验证码或者密码确认方式进行

接下来是赵伟奉上的《世界恶意软件制造工厂》,主要讲解了中国黑客的历史,及地下经济产业链,谈论了一些钓鱼的极力推销了自己的IE安全增强软件——365门神(大家不妨下载尝试一下)。主要功能如下:

  • 反钓鱼网站功能
  • 主机入侵保护功能
  • 在浏览网页的时候标示出恶意网站(我们在扫描国内100w个网站)
  • 为普通网民提供一些基础的社会安全服务

国外类似的软件有:SiteAdvisor, Finjan, MyWOT

 

 

最后一场是郑歆炜带来的《运维安全思考》,主要是紧急安全响应的流程规范,偏向于流程管理,感兴趣的可以自看看。

第二天早上,去的人较前一天少。首先是会议主持人带来的《如何构建安全的Web应用系统》,对很多技术做了总结及解决方案,具体我就不啰嗦了,我也说不明白,接下来是三场嘉宾座谈互动,回答问题的会得到组委会的衣服,我们不是专家,当然也很少有话题提问了,漂亮的阿里橙衣服也与我无缘了。

 

说些题外话,公司能够给我们这样的技术人员,面对面讨论技术机会确实很好。虽然我们不是这方面的专家、研究人员,对于自己也算是扫盲了,了解了我们WEB应用还不是很安全,尤其是WEB2.0的时代,我们更应该多关注企业应用的安全问题。

最后也希望公司为我们研发人员多提供些参加技术论坛和培训的机会。

 

 

 

 

 

 

 

 

9
0
分享到:
评论
2 楼 gurudk 2008-12-25  
我也参加了,你的笔记很仔细,佩服
1 楼 E.vind 2008-12-24  
其实,大家只是考虑到了外网的黑客攻击、病毒入侵,并没有意识到内网的安全问题,其实内网的安全才是最具风险的

相关推荐

    安全设计及规范

    精武门WEB安全 网络安全知识 从开发上规范起来

    精武门_支付宝整体架构_20100610.pdf

    精武门_支付宝整体架构,业务架构与业务平台,系统架构与技术平台,架构过程与资源。支付业务模式,支付配套模式。

    支付宝架构-精武门课程-64页

    课程大纲 1业务架构与业务平台 2. 系统架构与技术平台 3. 架构过程与资源

    看电影《精武门》有感作文.doc

    看电影《精武门》有感作文.doc

    京武门学习参考答案(3).pptx

    文化安全制度考试旨在提高员工的安全意识和操作技能,以确保物流仓库的安全运营。 京武门学习参考答案涵盖了物流仓储管理的多个方面,包括入场区、卸车区、特殊件区、称重量方、矩阵区、人工滑道、自动滑道、小件区...

    京东方应聘笔试题目及答案

    京东方应聘笔试题目及答案 京东方科技集团股份有限公司是中国内地显示领域最具综合实力的高科技企业。该公司创立于1993年4月,是一家显示产品与解决方案的供应商。经过多年的技术积累与创新,京东方已完整掌握了TFT...

    行业-电子-李小龙与李连杰功夫电影武打风格对比研究的说明分析.rar

    标题中的“行业-电子”可能是指这个研究是通过电子媒介进行传播或讨论的,而“李小龙与李连杰功夫电影武打风格对比研究”则是主题,涉及到两位武术巨星在电影中的表现和动作设计的不同之处。这个研究可能是电影学、...

    魅力西青新区战略发展规划.pdf

    西青区的历史文化底蕴深厚,拥有丰富的旅游资源,如京杭大运河、杨柳青木版年画等非物质文化遗产,以及杨柳青镇、精武门·中华武林园等多个历史文化名胜。此外,西青区也是天津市唯一的集成电路产业基地,汽车零部件...

    专题讲座资料(2021-2022年)东方电影期末考试答案2017剖析.doc

    27. 李小龙的《精武门》上映时间:1972年,是李小龙的标志性动作电影之一。 28. 朝鲜红色经典电影的成就:除了人物塑造和叙事技巧外,它们可能在主题表现、民族精神传达以及战争题材的处理上取得了重大成就。 这些...

    大学生迎新晚会总结.docx

    从搞笑的小品《奶粉风波》到惊艳的印度舞,再到震撼的《精武门》和豪放的《大鼓舞》,每个节目都充满了创意和热情,引发了同学们的阵阵喝彩。这些表演不仅是对新生们艺术才能的展现,也是他们融入大学生活、团结协作...

    电影知识竞赛题目.pdf

    - 李小龙的四部半经典电影包括《唐山大兄》、《精武门》、《猛龙过江》和《龙争虎斗》,他推动了武术和功夫电影的发展。 - 《贫民窟的百万富翁》和《三个白痴》是印度宝莱坞的杰作,来自孟买的电影产业。 - ...

Global site tag (gtag.js) - Google Analytics