诚信网安为百安俱乐部做技术交流

2008 年 1 月 12 日 星期六，诚信网安的叶子应百安俱乐部的要求，为北京的技术爱好者做《 SQL 注入和 XSS 技术》的免费交流。来自北京各安全厂家的技术爱好者人员达二十多人。

         下午 2 点左右，北京的技术爱好者碌碌续续到达上地菊园的八维计算机培训基地。在培训基地的 CCIE 培训室外面，聚集了来自启明星辰、绿盟科技、德国电信、中石油、江民科技、锐捷、北信源、 Juniper 、北软世纪、 MOTO 等公司的一些技术爱好者。这些技术爱好者想通过这种技术交流方式增加自己对主流攻击技术的了解，便于在工作中更好地掌握技术。由于交流场地是免费借用八维计算机的 CCIE 培训室，正好赶上八维内部员工在培训室中开会，因此只好在培训室外面聚集等待。后来通过组织人员老蒋跟八维的开会人员交涉，才使得我们的技术交流得以进一步的开展。

       技术交流之前，组织人老蒋简要介绍百安俱乐部的历史，以及近期还会开展的一些活动内容，希望更多的技术爱好者参与进来，一起交流、一起学习、一起进步！

       叶子先开始做 SQL 注入攻击的技术交流。当然，叶子利用这个机会也宣传了一下诚信，网安团队。诚信网安以渗透评估和应急响应服务为主，围绕服务开展漏洞挖掘、恶意代码检测、取证分析、安全加固的技术研究课题，打造一流的、专业的渗透评估和应急响应服务团队。叶子首先介绍了近几年攻击技术的发展趋势，从早期的溢出攻击到 SQL 注入攻击，再到 XSS 攻击的历史； SQL 注入攻击的原理； SQL 注入攻击带来的危害； SQL 注入攻击国内常用的工具，以及工具实现的技术原理； SQL 注入攻击的防范手段。在 SQL 注入攻击的介绍过程中，叶子结合自己以前做过的渗透评估项目的经验，以及对各种不同开发语言的防范手段做了详细的说明。最后叶子告诉大家， SQL 注入的工具不能发现所有的问题，对于 SQL 注入的检测还是要依靠手工发现，依靠专业人员的经验。并且建议每年定期对 Web 站点做 SQL 注入检查。中场休息 10 分钟，技术爱好者自由活动。

       接着叶子做 XSS 的技术交流。 XSS 攻击技术门槛低，使用者容易掌握的技术，但由于需要跟社会工程学结合起来使用，所以常被研究人员忽略。然而近年来研究发现， XSS 已经成为 Web 站点的首要危害， XSS 攻击带到很大的安全隐患。 XSS 攻击影响客户端的安全， XSS 攻击导致 cookie 信息、用户账号、密码等敏感信息被窃取； XSS 蠕虫的传速传播导致大量 Web 站点成为肉鸡。叶子介绍了 XSS 的基本概念； XSS 危害性的认识； XSS 的攻击分类、攻击流程、攻击的不同方式； XSS 的防范方式以及微软的 XSS 检测工具�D�D XSSDetect 。叶子介绍了 XSS 窃取 gmail 的 cookie 、 discuz 的 XSS 攻击等； SQL 注入攻击和 XSS 攻击的共同点和不同点。最后叶子跟参会人员对一些新技术的发展趋势做了进一步的交流。

       技术交流的最后活动是每位参与人员做简要的自我介绍，让到场的人员互相了解，互相熟悉。通过技术交流活动，不仅学到一些技术的知识，又能结交到更多的安全技术人员。

百安俱乐部
成立于 2004 年，至令举办过多次的技术交流活动，在北京的安全技术圈子中小有名气。百安俱乐部每月推出一期的安全技术交流，为北京的安全技术爱好者提供交流的平台。