白帽子讲web安全（一）

最新推荐文章于 2022-08-16 09:57:19 发布

wildsea_

最新推荐文章于 2022-08-16 09:57:19 发布

阅读量603

点赞数

CC 4.0 BY-SA版权

分类专栏：白帽子讲web安全文章标签：信息安全

本文链接：https://blog.youkuaiyun.com/weixin_43680269/article/details/84203885

白帽子讲web安全专栏收录该内容

1 篇文章

订阅专栏

白帽子讲web安全笔记

第一篇世界观安全

一、第一章安全的世界观

1.林正隆中国黑客文化先驱者台湾著名黑客
2.黑帽子是指造成破坏破坏的黑客
白帽子是研究安全不造成危险的黑客
3.root是在用户态的最高权限
root对于黑客像大米之于老鼠
（不想拿到root的黑客不是好黑客）
4.exploit 精通计算机技术自己挖掘漏洞并编写exploit
脚本小子是指对编程技术认识较浅，只懂编译别人代码，专注于攻击。
5.黑客精神：崇尚自由免费的互联网精神，热衷于分享自己的最新研究成果。
6.白客：客观全面要求总体观之，看到的是组合的复杂结构。
7.安全的本质是信任问题
划分不同的信任域，基本的信任是条件
8.安全的三要素
机密性，可用性，完整性
9.安全评估过程
资产等级划分-威胁分析-风险分析-确认解决方案
① 资产等级划分：客户的看重程度划分信用度
② 威胁分析：威胁是指可能造成的危险来源；漏洞是系统中可能会被利用造成伤害的地方；
风险是可能出现的损失。
方法：
①通过头脑风暴把所有的威胁找出
②利用STRIDE排除所有威胁
③风险分析：Risk=ProbabilityDamagePotential
影响风险高低的因素：除了造成损失的大小外，还需考虑到发生的可能性
④设计方案模型为参考辅助作用，凭借安全工程师的经验与理性进行全面的思考
尽可能不改变商业设计的初衷好的安全方案对客户是透明的能有效的解决问题良好的客户使用体验高性能易于扩展与升级
10白帽子兵法
①Secure by default
（白名单与黑名单白名单在信任的基础上相对安全，符合最小权限原则）
②Defense inDepth
⑴在不同层面不同方面实施安全方案
⑵ 正确的地方做正确的事情
（朴素的学问与平衡的艺术）（确认漏洞，标准为是否需要修补，只看结果，不顾过程）

第二篇客户端脚本安全

第二章浏览器安全

1.同源策略
功能：限制了来自不同源的“document"或脚本，对当前脚本取消或者设置某些属性
目的：不使浏览器的显示过程中发生混乱。
影响源的因素有：host(域名或IP地址）、子域口、端口、协议
限制对象:Dom,Cookie,XMLHttpRequest以及浏览器加载的一部分插件，比如，Flash,Java,Applet,siliverlight,Google Gears
跨过：CSS跨域漏洞
2.浏览器沙箱
沙箱思想：让浏览器运行在一定的模块之中，“资源隔离型模块”，
具体应用：多进程架构
3.恶意网站拦截
利用定期更新的黑名单
恶意网站的分类：1.挂马网站，包含恶意的脚本如JavaScript,通过浏览器的漏洞（包含一些插件，控件漏洞）执行shellcode,在用户电脑中植入木马；另一类是钓鱼网站，通过模仿知名网站的相似页面以欺骗用户。
4.高速发展的浏览器安全
①XSS Filter对抗反射型XSS,自动修改其中的关键字导致XSS无法完成
②CSP策略

第三章跨站脚本攻击

1.XSS简介
头号大敌且不同情形下的XSS需要分情况考虑
分类：反射型XSS(DOM Based XSS),存储型XSS
XSS构造技巧：
①利用字符编码
②绕过长度限制
③使用base标签
④ windows .name妙用

第四章跨站点请求伪造

1.浏览器的cookie策略
一种是Session Cookie或叫临时Cookie。即浏览器关闭则失效
另一种是Third-party Cookie或叫本地Cookie。即它保存在本地，有指定的Set-cookie中EXPIRE时间
2.默认拦截Thirty-Party Cookie
3.P3P头允许跨域访问隐私数据，从而实现跨域set-cookie成功
4.CSRF防御
①验证码 CSFR总是在客户毫不知情的情况下发起
②Referer Check用于防止图片盗链
③Token不可预测，足够随机

第五章点击劫持

一、点击劫持
1.定义：视觉上的欺骗手段，攻击者使用一个透明的，不可见的<iframe>覆盖在一个网页上，诱使客户在该网页上进行操作。
2.分类
点击劫持（调整iframe长和宽，以及 top left位置。升级版，利用不断变化的位置的iframe实现一系列的复杂操作），
图片覆盖攻击，遮盖原有图片以及关键信息诱使客户点击或者造成误导。
拖拽劫持与数据劫持，诱使用户从隐藏不可见的iframe中
二、触屏劫持
覆盖不可见的iframe利用手机中地址栏一般隐藏的特性，进行钓鱼或者敲诈。
三、防御
1.写一段 Java script 代码禁止 iframe的嵌套
2.使用HTTP头，X-Frame-Options

第六章 HTML5安全

1.定义：HTML5是W3C制定的新一代HTML语言的标准。
2.威胁：XSS filter若建立黑名单五大覆盖HTML新增的标签以及功能。
3.改进：
为Iframe 定义属性：sandbox使用这一属性之后，<iframe>标签加载内容被视为是独立源部分权限禁止。
4.创新canvas强大功能
①直接操作图片对象，像素以及构造图片区域。
②破解验证码操作像素点进行自动识别。
（降低了攻击的门槛，使过去难以做到的事情成为可能）

第七章注入攻击

注入攻击是web安全领域一种常见的攻击，XSS本质上是一种针对于HTML的注入攻击，数据与代码分离原则，专门为解决注入攻击而生。
1.SQL注入：基于数据库的一种攻击
条件：
①控制数据的输入
②原本要执行的代码，拼接了用户的输入
2.盲注：
构造简单的条件语句，根据返回页面是否变化，判断SQL语句是否执行。
3.Timing Attack