2019.3.17

2019.3.17

1.英语单词计划（109,110）

2.字节跳动安全实习线上笔试考点搜索了解了一下（了解了一下CC攻击和慢速攻击，富文本XSS的防御思路）

3.OWASP TOP 10相见第一面:粗略的查看了2017版的OWASP Top 10的介绍，并将它们的介绍手打一遍

①注入: 将不受信任的数据作为命令或查询的一部分发送到解析器时，会产生诸如SQL注入，NoSQL注入，OS
	注入和LDAP注入的注入缺陷。使用者的恶意数据可以诱使解析器在没有授权的情况下执行非预期的
	命令或访问数据

②失效的身份认证: 通常，通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥
		  或会话令牌，或者利用其它开发缺陷来暂时或永久性冒充其它用户身份

③敏感信息泄漏:	  许多Web应用程序和API都无法正确保护敏感数据，例如:财务数据、医疗数据和PII数据。
		  攻击者可以通过窃取或修改未加密的数据在实施各种犯罪行为。未加密的敏感数据容易
		  受到破坏，因此，我们要对敏感数据加密，这些数据包括:传输过程中的数据，存储的数
		  据以及浏览器的交互数据

④XML外部实体(XXE): 许多较早或配置错误的XML处理器评估了XML文件中的外部实体引用。攻击者可以利用
		    外部实体窃取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远
		    程代码和实施拒绝服务攻击

⑤失效的访问控制:  未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权
		   的功能或数据，例如:访问其他用户的账户，查看敏感文件、修改其他用户数据，更改
		   访问权限等

⑥安全配置错误:	   通常是由于不安全的默认配置、不完整的临时配置、开源云存储、错误的HTTP标头配置
		   以及包含敏感信息的详细错误信息所造成的。因此，我们不仅需要对所有的操作系统、
		   框架、库和应用程序进行安全配置，而且必须及时修补和升级它们 

⑦跨站脚本(XSS):   当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时，或者使用可以
		   创建HTML或JavaScript的浏览器API更新现有的网页时，就会出现XSS缺陷。XSS让攻击者
		   能够在受害者的浏览器中执行脚本，并劫持用户会话、破坏网站或将用户重定向到恶意站点

⑧不安全的反序列化:  不安全的反序列化会导致远程代码执行。即使反序列化不会导致远程代码执行，攻击者
		     也可以利用他们来执行攻击，包括:重播攻击、注入攻击和特权升级攻击

⑨使用含有已知漏洞的组件:  组件（例如:库、框架和其他软件模块）拥有和应用程序相同的权限。如果应用程
			   序中含有已知漏洞的组件被攻击者利用，可能会造成严重的数据丢失或服务器接管。
			   同时，使用含有已知漏洞的组件的应用程序和API可能会破坏应用程序防御、造成
  			   各种攻击并产生严重影响

⑩不足的日志记录和监控:  不足的日志监控，以及事件响应缺失或无效的集成，使攻击者能够进一步攻击系统、
			 保持持续性或转向更多的系统，以及篡改、提取或销毁数据。大多数缺陷研究显示，
			 缺陷被检测出的时间超过200天，且通常通过外部检测方检测，而不是通过内部流程
			 或监控

4.SQLMAP 的几个参数 -u 设置url -D 指定数据库 -T 选择表 --tables 获取表名 -columns 获取列名 -C 获取列的数字
–dbs 获取数据库 --os-cmd 可以执行系统命令 --os-shell 可以获得一个shell
–delay 请求延迟 --safe-freq 控制访问次数 -g 使用google搜索，按条件搜索符合的网址

ps: NoSql注入一般指对非关系型数据库比如MongoDB的注入，LDAP（Lightweight Directory Access Protocol）是轻量级目录访问协议

ps: 今天在初步了解了OWASP Top 10之后按照计划应该是从注入开始一步一步了解更多，注入即从SQL注入开始，但是现在就有 一个很严重的问题，无从下手！要仔细想想如何解决这个问题，视频缺少的情况下，书+实践应该是最好的方法

(30/1750)周末起床能不能行了23333