白帽子讲安全 的一些记录点

安全三要素:机密性(加密),完整性(数字签名),可用性(DDos攻击)
安全评估:资产等级评估-》威胁分析-》风险分析-》设计安全方案
白帽子兵法:
secure by default:白名单黑名单,
flash : 检测服务器的crossdomain.xml来验证是否允许客户端flash跨域请求
最小权限原则:
纵深防御 Defense in Depth
数据与代码分离原则  缓冲区代码溢出,将用户数据当代码执行
不可预测性原则
 
浏览器安全:
  同源策略
     script,img,iframe,link等标签可以跨域加载资源,js不能读写这些标签返回的内容;
     XMLHTTPRequest跨域访问标准
  浏览器沙箱
     挂马  利用浏览器漏洞执行恶意代码  DEP,ASLR,SafeSEH等操作系统保护技术,浏览器多进程架构
  恶意网址拦截  挂马网址,钓鱼网址
  IE8 XSS filter功能
  firefox4:content secuity policy 返回http的访问控制策略
 
跨站脚本攻击 XSS
   反射性XSS:简单的把用户输入反射到浏览器
   存储型XSS:把用户输入的数据存储到服务器,
   DOM based XSS:
XSS payload
  XSS攻击:cookie劫持, httponly解决,cookieIP绑定
XSS钓鱼:
  css HISTORY HACK  通过visited来获取用户访问过的链接
  获取用户的真实ip地址 利用java Applat
攻击平台:
  Attack API
  BEFF
  XSS-Proxy
  XSS Worm  发送站内信,用户留言
 
XSS攻击技巧:
  利用字符编码
  绕过长度检测  最常用藏代码的地方:location.hash
  base标签  劫持页面所有的相对路径
  window.name 共享数据,    
  apache expect header xss
  flash xss  限制flash动态脚本参数allowscriptaccess  allownetworking
 
  XSS防御:
    HttpOnly:禁止浏览器访问带有httponly的cookie  apache TRACE漏洞,把request头作为response返回,从而获得httponly cookie。
   XSS FIlter:输入检查
   输出检查  HTMLEncode  JAVAscriptEncode URLEncode
   标签选择尽量使用白名单,不要使用黑名单。
   
跨站点请求伪造:CSRF
  浏览器cookie策略:session cookie|本地cookie  session会发送到不同域中,而本地cookie不能跨域发送
  P3P header:
   
  CSRF防御
    1.验证码
    2.referer check 图片盗链  并非什么时候都能渠道referer,https-http
    3.anti-csrf-token
      足够随机,安全随机数生成token
      生成多个有效的token,多页面共存
      token曝露,隐藏在表单中,POST方式提交
 
 点击劫持(clickjacking)  
   透明iframe
   flash点击劫持
   图片覆盖攻击
   拖曳劫持与数据窃取
   clickjacking3.0:触屏劫持
  防御clickJacking:
    frame busting:禁止iframe嵌套  html5的sandbox属性,IE中iframe的security属性都可以禁止iframe脚本执行,绕过frame busting。
    x-Frame-options: http头的X-Frame-options
 
 Html5安全:
    新标签的XSS Vidio,audio
    a, area: linked type noreferer
    canvas 破解验证码
    跨域资源共享  Access-Control-Allow-Origin  Origin
    PostMessage  window.name
    web storage: cookie,flash shared data,IE userData  受同源策略约束
 
 注入攻击:
  SQL注入
  XML注入
  代码注入 eval system
  CRLF注入 http头 X-XSS-Protection:0  
  数据与代码分离
 
文件上传漏洞
  上传web脚本并被执行
  设计安全的文件上传功能:文件上传目录不可执行;判断文件类型;使用随机数改写文件名和文件路径;单独设置文件服务器的域名。
 
认证与会话管理:
  Session fixation:session Id登录前后没有变化,在登录完成后,重写sessionID。
  Session过期,强制销毁session
 
访问控制
   基于url的访问控制
 
加密
  流密码 Stream cipher attack: RC4,ORYX,SEAL
  HMAC
  密钥管理,定时更新
  使用安全的随机函数 java.security.SecureRandom
 
web框架安全
   strust2 script标签过滤xss漏洞
 
应用层拒绝服务攻击
  DDOS攻击:SYN flood,UDP flood,ICMP flood
  SYN flood:SYN cookie,SYN proxy,safereset
应用层DDOS  
  限制客户端的访问频率
资源耗尽攻击
  HTTP POST DOS
  Server Limit DOS
  ReDos 正则表达式引发的血案
 
PHP安全
  文件包含漏洞
  远程文件包含
  全局变量覆盖
 
Web Server配置安全
  apache安全:减少不需要的modules,专门用户运行apache,保护apache log
  nginx:
  JBOSS远程命令执行
Tomcat远程命令执行
  Http Parameter POLLution
 
互联网业务安全
 DO-NOT-TRACK
 
安全开发流程
 
 
  
 
 
 
 
 
 
 
 
 
 
 
 
  

你可能感兴趣的:(安全)