安全三要素:机密性(加密),完整性(数字签名),可用性(DDos攻击)
安全评估:资产等级评估-》威胁分析-》风险分析-》设计安全方案
白帽子兵法:
secure by default:白名单黑名单,
flash : 检测服务器的crossdomain.xml来验证是否允许客户端flash跨域请求
最小权限原则:
纵深防御 Defense in Depth
数据与代码分离原则 缓冲区代码溢出,将用户数据当代码执行
不可预测性原则
浏览器安全:
同源策略
script,img,iframe,link等标签可以跨域加载资源,js不能读写这些标签返回的内容;
XMLHTTPRequest跨域访问标准
浏览器沙箱
挂马 利用浏览器漏洞执行恶意代码 DEP,ASLR,SafeSEH等操作系统保护技术,浏览器多进程架构
恶意网址拦截 挂马网址,钓鱼网址
IE8 XSS filter功能
firefox4:content secuity policy 返回http的访问控制策略
跨站脚本攻击 XSS
反射性XSS:简单的把用户输入反射到浏览器
存储型XSS:把用户输入的数据存储到服务器,
DOM based XSS:
XSS payload
XSS攻击:cookie劫持, httponly解决,cookieIP绑定
XSS钓鱼:
css HISTORY HACK 通过visited来获取用户访问过的链接
获取用户的真实ip地址 利用java Applat
攻击平台:
Attack API
BEFF
XSS-Proxy
XSS Worm 发送站内信,用户留言
XSS攻击技巧:
利用字符编码
绕过长度检测 最常用藏代码的地方:location.hash
base标签 劫持页面所有的相对路径
window.name 共享数据,
apache expect header xss
flash xss 限制flash动态脚本参数allowscriptaccess allownetworking
XSS防御:
HttpOnly:禁止浏览器访问带有httponly的cookie apache TRACE漏洞,把request头作为response返回,从而获得httponly cookie。
XSS FIlter:输入检查
输出检查 HTMLEncode JAVAscriptEncode URLEncode
标签选择尽量使用白名单,不要使用黑名单。
跨站点请求伪造:CSRF
浏览器cookie策略:session cookie|本地cookie session会发送到不同域中,而本地cookie不能跨域发送
P3P header:
CSRF防御
1.验证码
2.referer check 图片盗链 并非什么时候都能渠道referer,https-http
3.anti-csrf-token
足够随机,安全随机数生成token
生成多个有效的token,多页面共存
token曝露,隐藏在表单中,POST方式提交
点击劫持(clickjacking)
透明iframe
flash点击劫持
图片覆盖攻击
拖曳劫持与数据窃取
clickjacking3.0:触屏劫持
防御clickJacking:
frame busting:禁止iframe嵌套 html5的sandbox属性,IE中iframe的security属性都可以禁止iframe脚本执行,绕过frame busting。
x-Frame-options: http头的X-Frame-options
Html5安全:
新标签的XSS Vidio,audio
a, area: linked type noreferer
canvas 破解验证码
跨域资源共享 Access-Control-Allow-Origin Origin
PostMessage window.name
web storage: cookie,flash shared data,IE userData 受同源策略约束
注入攻击:
SQL注入
XML注入
代码注入 eval system
CRLF注入 http头 X-XSS-Protection:0
数据与代码分离
文件上传漏洞
上传web脚本并被执行
设计安全的文件上传功能:文件上传目录不可执行;判断文件类型;使用随机数改写文件名和文件路径;单独设置文件服务器的域名。
认证与会话管理:
Session fixation:session Id登录前后没有变化,在登录完成后,重写sessionID。
Session过期,强制销毁session
访问控制
基于url的访问控制
加密
流密码 Stream cipher attack: RC4,ORYX,SEAL
HMAC
密钥管理,定时更新
使用安全的随机函数 java.security.SecureRandom
web框架安全
strust2 script标签过滤xss漏洞
应用层拒绝服务攻击
DDOS攻击:SYN flood,UDP flood,ICMP flood
SYN flood:SYN cookie,SYN proxy,safereset
应用层DDOS
限制客户端的访问频率
资源耗尽攻击
HTTP POST DOS
Server Limit DOS
ReDos 正则表达式引发的血案
PHP安全
文件包含漏洞
远程文件包含
全局变量覆盖
Web Server配置安全
apache安全:减少不需要的modules,专门用户运行apache,保护apache log
nginx:
JBOSS远程命令执行
Tomcat远程命令执行
Http Parameter POLLution
互联网业务安全
DO-NOT-TRACK
安全开发流程
相关推荐
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
完整版的白帽子讲web安全,不是只到12章的那种样章,web安全越来越被人重视
白帽子讲WEB安全 白帽子讲WEB安全 白帽子讲WEB安全 白帽子讲WEB安全
《白帽子讲Web安全》.pdf 作者:吴翰清 电子工业出版社
白帽子讲解web安全 道哥原书pdf 安全入门
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
阿里巴巴知名安全大牛吴翰清所著书籍--《白帽子讲web安全》
白帽子讲Web安全(纪念版 (带书签高清文字版)
白帽子讲web安全.pdf(Part 2),因上传大小限制,故将文件分割成4个部分。4个部分和1个合并文件都下载后放在同一目录下,运行合并文件(.bat)即可将4个部分合并。PS:只有第一个部分需要一个下载积分。
白帽子web安全,文字版。从事web安全,值得学习的一本书
(没有源码啊,不知道怎么删不掉标题上的这些)《白帽子讲Web安全》是2012年电子工业出版社出版的图书,作者是吴翰清。本书是根据作者若干年实际工作中积累下来的丰富经验而写成的,在解决方案上具有极强的可操作性...
全书分为4大篇共18章,读者可以通过浏览目录以进一步了解各篇章的内容。在有的章节末尾,还附上了笔者曾经写过的一些博客文章,可以作为延伸阅读以及本书正文的补充。