白帽子讲web安全(一)

白帽子讲web安全笔记

第一篇 世界观安全

一、第一章 安全的世界观

1.林正隆 中国黑客文化先驱者 台湾著名黑客
2.黑帽子是指造成破坏破坏的黑客
白帽子是研究安全 不造成危险的黑客
3.root是在用户态的最高权限
root对于黑客像大米之于老鼠
(不想拿到root的黑客不是好黑客)
4.exploit
精通计算机技术 自己挖掘漏洞并编写exploit
脚本小子 是指对编程技术认识较浅,只懂编译别人代码,专注于攻击。
5.黑客精神:崇尚自由 免费 的互联网精神,热衷于分享自己的最新研究成果。
6.白客:客观 全面要求总体观之,看到的是组合的复杂结构。
7.安全的本质 是信任问题
划分不同的信任域,基本的信任是条件
8.安全的三要素
机密性,可用性,完整性
9.安全评估过程
资产等级划分-威胁分析-风险分析-确认解决方案
① 资产等级划分:客户的看重程度划分信用度
② 威胁分析:威胁是指可能造成的危险来源;漏洞是系统中可能会被利用造成伤害的地方;
风险是可能出现的损失。
方法:
①通过头脑风暴把所有的威胁找出
②利用STRIDE排除所有威胁
③风险分析:Risk=ProbabilityDamagePotential
影响风险高低的因素: 除了造成损失的大小外,还需考虑到发生的可能性
④设计方案 模型为参考辅助作用,凭借安全工程师的经验与理性进行全面的思考
尽可能不改变商业设计的初衷 好的安全方案对客户是透明的 能有效的解决问题 良好的客户使用体验 高性能 易于扩展与升级
10白帽子兵法
①Secure by default
(白名单与黑名单 白名单在信任的基础上相对安全,符合最小权限原则)
②Defense inDepth
⑴在不同层面不同方面实施安全方案
⑵ 正确的地方做正确的事情
(朴素的学问与平衡的艺术)(确认漏洞,标准为是否需要修补,只看结果,不顾过程)

第二篇 客户端脚本安全

第二章 浏览器安全

1.同源策略
功能:限制了来自不同源的“document"或脚本,对当前脚本取消或者设置 某些属性
目的:不使浏览器的显示过程中发生混乱。
影响源的因素有:host(域名或IP地址)、子域口、端口、协议
限制对象:Dom,Cookie,XMLHttpRequest以及浏览器加载的一部分插件,比如,Flash,Java,Applet,siliverlight,Google Gears
跨过:CSS跨域漏洞
2.浏览器沙箱
沙箱思想:让浏览器运行在一定的模块之中,“资源隔离型模块”,
具体应用:多进程架构
3.恶意网站拦截
利用定期更新的黑名单
恶意网站的分类:1.挂马网站,包含恶意的脚本如JavaScript,通过浏览器的漏洞(包含一些插件,控件漏洞)执行shellcode,在用户电脑中植入木马;另一类是钓鱼网站,通过模仿知名网站的相似页面以欺骗用户。
4.高速发展的浏览器安全
①XSS Filter对抗反射型XSS,自动修改其中的关键字导致XSS无法完成
②CSP策略

第三章跨站脚本攻击

1.XSS简介
头号大敌且不同情形下的XSS需要分情况考虑
分类:反射型XSS(DOM Based XSS),存储型XSS
XSS构造技巧:
①利用字符编码
②绕过长度限制
③使用base标签
④ windows .name妙用

第四章 跨站点请求伪造

1.浏览器的cookie策略
一种是Session Cookie或叫临时Cookie。即浏览器关闭则失效
另一种是Third-party Cookie或叫本地Cookie。即它保存在本地,有指定的Set-cookie中EXPIRE时间
2.默认拦截Thirty-Party Cookie
3.P3P头允许跨域访问隐私数据,从而实现跨域set-cookie成功
4.CSRF防御
①验证码 CSFR总是在客户毫不知情的情况下发起
②Referer Check用于防止图片盗链
③Token不可预测,足够随机

第五章 点击劫持

一、点击劫持
1.定义:视觉上的欺骗手段,攻击者使用一个透明的,不可见的<iframe>覆盖在一个网页上,诱使客户在该网页上进行操作。
2.分类
点击劫持(调整iframe长和宽,以及 top left位置。升级版,利用不断变化的位置的iframe实现一系列的复杂操作),
图片覆盖攻击,遮盖原有图片以及关键信息诱使客户点击或者造成误导。
拖拽劫持与数据劫持,诱使用户从隐藏不可见的iframe中
二、触屏劫持
覆盖不可见的iframe利用手机中地址栏一般隐藏的特性,进行钓鱼或者敲诈。
三、防御
1.写一段 Java script 代码禁止 iframe的嵌套
2.使用HTTP头,X-Frame-Options

第六章 HTML5安全

1.定义:HTML5是W3C制定的新一代HTML语言的标准。
2.威胁:XSS filter若建立黑名单五大覆盖HTML新增的标签以及功能。
3.改进:
为Iframe 定义属性:sandbox使用这一属性之后,<iframe>标签加载内容被视为是独立源部分权限禁止。
4.创新canvas强大功能
①直接操作图片对象,像素以及构造图片区域。
②破解验证码操作像素点进行自动识别。
(降低了攻击的门槛,使过去难以做到的事情成为可能)

第七章 注入攻击

注入攻击是web安全领域一种常见的攻击,XSS本质上是一种针对于HTML的注入攻击,数据与代码分离原则,专门为解决注入攻击而生。
1.SQL注入:基于数据库的一种攻击
条件:
①控制数据的输入
②原本要执行的代码,拼接了用户的输入
2.盲注:
构造简单的条件语句,根据返回页面是否变化,判断SQL语句是否执行。
3.Timing Attack

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值