《白帽子讲web安全》——吴瀚清阅读笔记

2022-11-09 08:53:18

浏览器安全

同源策略：浏览器的同源策略限制了不同来源的“document”或脚本，对当前的“document”读取或设置某些属性。是浏览器安全的基础，即限制不同域的网址脚本交互
<script><img><iframe><link>可以跨域加载资源
在AJAX应用中，XMLHttpRequest受到同源策略的影响，不能进行跨域访问资源。cookie ，DOM也会
采用Sandbox技术，可以让不信任的网页代码，js代码运行在一个受限制的环境，从而保护本地桌面系统的安全

跨站脚本攻击（XSS）

XSS攻击通过“HTML注入”篡改网页，插入恶意脚本，从而在用户浏览网页时控制浏览器的一种攻击。
反射型XSS：诱导用户点击恶意链接，将数据“反射”给浏览器，“非持久型XSS”
存储型XSS：把用户输入的数据存储在服务端。黑客将写一篇含有恶意代码的的博客发表后存在服务器里，访问改博客的用户会自动执行恶意代码
DOM Based XSS：通过修改DOM节点形成的XSS，比如对用户输入的值进行显示，在显示的地方插入对应的标签，屏蔽掉旧的标签，构造新的事件。也可以通过注释！
XSS攻击

XSS Payload：XSS攻击后，攻击者能够对用户当前浏览的页面植入恶意脚本，通过恶意脚本控制用户的浏览器，这种用于完成各种具体功能的恶意脚本称为XSS Payload

读取浏览器中的Cookie对象，从而发起Cookie劫持，伪造链接发送用户的document.cookie到远程服务器，然后打开相同的网站，更改本地cookie，从而进行免密码登录。在Set-Cookie时给关键的Cookie植入HttpOnly可以防止Cookie劫持，或者将Cokie与ip结合也可以提高安全性
构造GET与POST请求：攻击者在用户的页面通过插入一张图片进而发起GET请求，让用户执行某一个任务，例如删除。post的话可以构造form表单使之自动提交，或者通过XMLHttpRequest发送一个POST请求（因为是在用户对当前页面的操作，所以属于同源的）

XSS钓鱼：伪造页面骗取用户输入密码后发到远程服务器
识别用户的浏览器：usersAgent对象或分辨浏览器之间的差别，准确的判断浏览器的版本
如果客户端安装了java可以通过调用JavaApplet的接口获取客户端本地ip
攻击平台：Attack API，BeEF，XSS-Proxy，

js调试工具：FrieBug，IE 8 Developer Tools，Fiddler，HttpWatch，
XSS构造技巧：

利用字符编码，
利用注释符绕过长度限制，
通过<base>劫持页面中的所有的相对路径
巧用window.name实现跨域传递

XSS防御

HttpOnly 在Set-Cookie添加，防止cookie劫持
输入检查
输出编码
防御DOMBasedXSS应注意js输出到html页面的必经之路，如document.write(),xxx.innerHTML()等等，以及页面的inputs框，XMLHTTPrequest返回的数据，window.name,localstorage等

跨站点请求伪造（CSRF）

CSRF攻击本质原因，重要操作的所有参数都是可以被攻击者猜测到的，预测出URL，利用用户的身份操作账户。
使用Img标签，地址指向要删除的链接，诱导用户访问你的页面，让系统自动加载“链接”，导致跨站请求成功，文章删除，cookie策略
p3p头可以改变隐私策略，允许跨域访问隐私数据，从而跨域Set-cookie成功
防御：验证码，Referer Check（并非什么时候服务器·都能获取Referer），加密URL参数，Anti CSRF Token(添加随机数作为参数)
Token是根据“不可预测原则”设计的方案，一定要够随机才能确保安全性，存在本地的Token可以考虑生成多个。Token尽量放在表单中，用post提交。对XSS无效

点击劫持

一种视觉欺诈，构造一个透明、不可见的页面覆盖在一个网页（iframe）上，通过调整位置，覆盖在某些功能键上诱使用户点击
Flash点击劫持，图片覆盖攻击，拖拽劫持与数据窃取，触屏劫持
防御：

frame busting禁止iframe嵌套。
http头 X-Frame-Options，值为DENY拒绝页面加载任何frame页面，SAMEORIGIN表示允许同源frame加载，ALLOW-FROM可以定义允许frame加载的地址。
对抗CRLF方案只需在“view”中编码所有\r\n，

HTML5安全：

新标签的XSS
iframe的sandbox新属性
Canvas识别验证码

服务器端应用安全

sql注入攻击：把用户输入的数据当作代码执行，条件一，用户能控制输入。条件二，原本程序要执行代码拼接了用户输入的数据

SQL注入：通过用户输入的数据，更改系统原本的sql语句的想法，进行数据库操作。也就是说数据输入没有进行合法性判断，导致攻击者可以构造不同的sql语句实现对数据库任意操作。

盲注：当攻击者进行sql攻击时，由于系统没有开启错误回显，意味着攻击者缺少了一个调试工具。但是攻击时可以采用简单的条件判断，再对比页面结果的差异就判断出SQL注入漏洞是否存在（and 1=2，and1=1）

Timing Attack：利用类似MYSQL数据库中BENCHMARK（）函数，可以让同一个一个函数执行若干次，使得结果返回的时间比平时要长，通过时间长短的变化，可以判断注入语句的执行是否成功，这是一种边信道攻击

自动注入工具：sqlmap
防御：使用预编译语句绑定变量，避免使用动态sql语句，检查输入数据的类型，使用安全函数，遵守数据代码分离原则

MYSQL注入相关

5.0版本后默认存在information_schema数据库，SCHEMATA表包含创建的数据库名，字段为SCHEMA_NAME，TABLES表存出用户创建的所有数据库的库名和表名字段为TABLE_SCHEMA和TABLE_NAME，COLUMNS表存储用户创建的库名，表名，字段名，其对应TABLE_SCHEMA和TABLE_NAME和COLUMN_NAME
查询语句

SELECT 要查询的字段名 FROM 库名，表名
SELECT 要查询的字段名 FROM 库名，表名 WHERE 已知字段=‘已知条件的值’
SELECT 要查询的字段名 FROM 库名，表名 WHERE 已知字段=‘已知条件的值’AND 已知字段=‘已知条件的值’

limit m，n m表示开始的位置，n表示结束位置，可以限制查询区域
database（）当前网站使用的数据库，version（）当前数据库的版本，user（）当前Mysql的用户。
注释符 #或--空格或/**/，sql内联注释/*！code !*/

文件上传漏洞：上传web脚本能够被服务器解析的问题，也就是webshell的问题

条件：上传的文件能被web容器解释执行。用户能够通过web访问。上传的文件不被安全检查、格式化等更改内容
利用终止字符更改文件类型绕过文件上传检查功能 0x00 列如文件限制ipg上传 xxx.php[\0].jpg
伪造文件，MIMESniff利用文件的前256个字节判断类型，攻击者通过伪造文件头绕过检查。
Apache文件解析问题，从后向前解析文件后缀，直到认识类型为止，XXX.php.rar.rar.rar为php文件，在Apache的mime.types文件中可查看它认识的
iis文件解析问题：IIs6中截断字符为“；”。通过OPTIONS方法探测服务器http中是否支持put和move，如果支持则可以上传指定文件后通过MOVE改写为脚本文件。注意iis服务器中勾选“脚本资源访问”发生put问题。
防御：

文件上上传目录设置为不可执行，防止服务器受影响
判断文件类型设置白名单，对于图片可以采用压缩函数或者resize函数进行处理，可以破坏图片中可能包含的html代码
使用随机数改写文件名和文件路径
单独设置文件服务器的域名

密码设置要求

普通应用为6位以上
重要应用为8位以上，并考虑双重认证
区分大小写
密码为大写字母，小写字母，数字，特殊符号两种以上的组合
不能有连续性字符 1234
避免出现多个重复字符 111
不要使用公开数据，比如生日，身份证号码等
密码必须以不可逆的加密算法，或者是单向散列函数算法加密后存储在数据库中，即使是管理员也看不到密码。哈希，md5，sha-1 。
现普遍使用在加密密码添加一个“Salt”随机字符串再加密，以增加明文密码的复杂度。防止彩虹表嗅探到

访问控制：建立用户与权限之间的关系

RBAC（垂直权限管理）：将用户分成不同的角色，赋予不同的权限。spring security中的权限管理就是一个RBAC的实现。
在配置权限时应当使用“最小权限原则”，使用默认拒绝的策略，对有需要的主体单独配置允许，避免越权访问
OAuth：对第三方网站的授权

加密算法与随机数

流密码：基于异或操作进行的，每次只操作一个字节，但是性能非常好。RC4，ORYX，SEAL
流密码使用同一密钥多次加密会导致密码变得特别简单，存在“Reused Key Attack”和“Bit-flipping Attack”等攻击方式，以及WEP密钥破解
密码系统的安全性依赖与密钥的复杂性，而不是算法的保密性
不要使用ECB模式
不要使用流密码
使用HMAC-SHAI代替md5，甚至代替SHAL
不要使用形同的key做不同的事
不要自己实现加密算法，尽量使用安全专家已经实现好的库
不知如何选择时：

使用CBC模式的AE256用于加密
使用HMAC-SHA512用于完整性检查
使用带salt的SH-256或SHA-512用于Hashing

MVC框架的安全：在正确的地方做正确的事情

在View层解决XSS问题：针对不同情景使用不同的编码进行防御

WEB框架与CSRF防御

csrf针对的是构造url对数据进行增删改，而查却没有意义，在开发中应对读写操作予以区分，比如所有写操作使用HTTP POST，并添加token
在session中绑定token，如果不能存在服务器，也可以是在cookie
在表单自动填入token字段
在Ajax请求中自动添加token
在服务器端验证提交的token与session中的token是否一致，判断是否是CSRF攻击

管理好跳转目的地址

如果web框架提供统一的跳转函数，则可以在函数内部设置白名单，指定跳转地址只能在白名单中
控制http的location字段，限制location的值只能是哪些地址，本质也是设置白名单

DDos攻击：利用合理的请求造成资源过载，导致服务不可用

SYNflood：伪造大量的源ip地址，分别向服务器端发送大量的SYn包。因为服务器返回SYN/ACK包后会等待回应，但ip是伪造的，没有回应，服务器会重试3-5次并等待，到超时才丢弃链接，攻击者利用发送大量的伪造地址SYN请求，消耗服务器大量的资源来处理这种半连接，导致拒绝服务

防御：SYNcookie/SYN Proxy 、safereset等算法
SYNcookie：为每一个ip分配一个“cookie”，并统计访问频率。短时间内收到大量来这同一个ip的数据包则认为受到攻击，之后来自这个ip地址的数据包将被丢弃

应用层DDoscc攻击：对一些消耗资源较大的应用页面不断发起正常请求，已达到消耗服务端资源为目的，查数据库，读写文件都会消耗比较多的资源

防御：

针对每一个客户端做一个请求频率的限制。通过IP地址和cookie定位一个客户端，如果客户端在短时间内频繁发请求，则后将改客户端的所有请求重定向到一个出错的页面
攻击者可以通过变换ip地址，清空cookie绕过防御

代理猎手是一个常用的搜索代理服务器的工具
AccessDive自动变换ip地址攻击，可以批量导入代理服务器地址，然后通过代理服务器在线破解用户名密码

应用代码要做好性能优化，合理使用mencache。
在网络架构上做好优化，善于利用负载均衡分流，利用好CDN和镜像站点的分流作用

SLOWLORIS攻击：以极低的速度往浏览器发送HTTP请求。恶意占用链接，web Server对于并发连接的数量有限，从而导致无法接受新的请求，拒绝服务。构造畸形的HTTP包头实现

本质是对有限的资源无限乱用，对有限的连接数进行占用
HTTP POST DOS：发送HTTP post包时，指定一个很大的Conten-length值，然后以很低的速度进行发包