安全三要素:机密性(加密),完整性(数字签名),可用性(DDos攻击)
安全评估:资产等级评估-》威胁分析-》风险分析-》设计安全方案
白帽子兵法:
secure by default:白名单黑名单,
flash : 检测服务器的crossdomain.xml来验证是否允许客户端flash跨域请求
最小权限原则:
纵深防御 Defense in Depth
数据与代码分离原则 缓冲区代码溢出,将用户数据当代码执行
不可预测性原则
浏览器安全:
同源策略
script,img,iframe,link等标签可以跨域加载资源,js不能读写这些标签返回的内容;
XMLHTTPRequest跨域访问标准
浏览器沙箱
挂马 利用浏览器漏洞执行恶意代码 DEP,ASLR,SafeSEH等操作系统保护技术,浏览器多进程架构
恶意网址拦截 挂马网址,钓鱼网址
IE8 XSS filter功能
firefox4:content secuity policy 返回http的访问控制策略
跨站脚本攻击 XSS
反射性XSS:简单的把用户输入反射到浏览器
存储型XSS:把用户输入的数据存储到服务器,
DOM based XSS:
XSS payload
XSS攻击:cookie劫持, httponly解决,cookieIP绑定
XSS钓鱼:
css HISTORY HACK 通过visited来获取用户访问过的链接
获取用户的真实ip地址 利用java Applat
攻击平台:
Attack API
BEFF
XSS-Proxy
XSS Worm 发送站内信,用户留言
XSS攻击技巧:
利用字符编码
绕过长度检测 最常用藏代码的地方:location.hash
base标签 劫持页面所有的相对路径
window.name 共享数据,
apache expect header xss
flash xss 限制flash动态脚本参数allowscriptaccess allownetworking
XSS防御:
HttpOnly:禁止浏览器访问带有httponly的cookie apache TRACE漏洞,把request头作为response返回,从而获得httponly cookie。
XSS FIlter:输入检查
输出检查 HTMLEncode JAVAscriptEncode URLEncode
标签选择尽量使用白名单,不要使用黑名单。
跨站点请求伪造:CSRF
浏览器cookie策略:session cookie|本地cookie session会发送到不同域中,而本地cookie不能跨域发送
P3P header:
CSRF防御
1.验证码
2.referer check 图片盗链 并非什么时候都能渠道referer,https-http
3.anti-csrf-token
足够随机,安全随机数生成token
生成多个有效的token,多页面共存
token曝露,隐藏在表单中,POST方式提交
点击劫持(clickjacking)
透明iframe
flash点击劫持
图片覆盖攻击
拖曳劫持与数据窃取
clickjacking3.0:触屏劫持
防御clickJacking:
frame busting:禁止iframe嵌套 html5的sandbox属性,IE中iframe的security属性都可以禁止iframe脚本执行,绕过frame busting。
x-Frame-options: http头的X-Frame-options
Html5安全:
新标签的XSS Vidio,audio
a, area: linked type noreferer
canvas 破解验证码
跨域资源共享 Access-Control-Allow-Origin Origin
PostMessage window.name
web storage: cookie,flash shared data,IE userData 受同源策略约束
注入攻击:
SQL注入
XML注入
代码注入 eval system
CRLF注入 http头 X-XSS-Protection:0
数据与代码分离
文件上传漏洞
上传web脚本并被执行
设计安全的文件上传功能:文件上传目录不可执行;判断文件类型;使用随机数改写文件名和文件路径;单独设置文件服务器的域名。
认证与会话管理:
Session fixation:session Id登录前后没有变化,在登录完成后,重写sessionID。
Session过期,强制销毁session
访问控制
基于url的访问控制
加密
流密码 Stream cipher attack: RC4,ORYX,SEAL
HMAC
密钥管理,定时更新
使用安全的随机函数 java.security.SecureRandom
web框架安全
strust2 script标签过滤xss漏洞
应用层拒绝服务攻击
DDOS攻击:SYN flood,UDP flood,ICMP flood
SYN flood:SYN cookie,SYN proxy,safereset
应用层DDOS
限制客户端的访问频率
资源耗尽攻击
HTTP POST DOS
Server Limit DOS
ReDos 正则表达式引发的血案
PHP安全
文件包含漏洞
远程文件包含
全局变量覆盖
Web Server配置安全
apache安全:减少不需要的modules,专门用户运行apache,保护apache log
nginx:
JBOSS远程命令执行
Tomcat远程命令执行
Http Parameter POLLution
互联网业务安全
DO-NOT-TRACK
安全开发流程