2008精武门之WEB安全研讨会纪实

本月17、18日，我参加了由支付宝主办的“2008精武门之WEB安全研讨会”。会上，听了很多大侠的讲义，我作为一个门外客，只算是一个扫盲，虽然听不懂，但是还是仔细听完了。

 

首先出场的是腾讯安全中心TST(Tencent Security Team)总监杨勇，演讲主题是《互联网企业安全建设的思考》，在腾讯，具有一横一竖的产品线，组织架构有专门的安全中心，下有：应用运维、业务安全、信息安全，面对众多和严峻的安全问题，TST的应对策略是“专职专岗，立足运维，植根研发，服务产品”。

QQ安全中心：http://safe.qq.com 

 

接下来，Discuz的剑心带来了《WEB应用程序中的字符集攻击》，感觉演讲者讲话很快，听得不是很清楚，主要的字符集有：

• 单字节编码字符集（SBCS）
• 多字节编码字符集（MBCS）
• 国际化编码字符集（Unicode）

问题来源：

 

• 上下层使用的字符集不一致，导致数据的意义出现问题
• 处理多字节字符集时出现问题
• 对于非法数据的处理上理解不一致
• 某些字符集的天生缺陷
• 数据库里的校对规则（前后使用字符集不一致就出现问题）
• 其他攻击

解决方案：

• 用正确的字符集编码理解数据
• 理解上下层之间处理数据的方式
• 尽量使用相对安全的编码utf-8
• 处理好非法的数据
  

下午，第一场是 team509的吴石的《关于软件缺陷》

主要根源是缓存区溢出，解决方案是GS、Safe SEH、Heap Protection、 DEP and ASLR，有效区分代码和数据，最后引出了MS的SDL（Security Development Lifecycle），是MS的一个安全开发流程。

 

接下来就是MS的王琦带给大家的《安全开发生命周期SQL》，主要思想是SD3 + C

• Security by Design
• Security in deployment
• Security by Default
• Communications

 接下来是钟晨鸣带来的《CSRF攻击》，这个我们应该多关注一下

CSRF是Cross-Site Request Forgery的缩写，意思是跨站请求伪造

 

Cross Site Request Forery跨站点请求伪造，主要特点是：

• 请求是跨站点的
• 请求是伪造的

被攻击者的浏览器被迫向目标站点发起了伪造的请求，这个过程会带上被攻击者的身份验证标识（session）以通过目标站点的验证。从而借用被攻击者在目标站点上的权限进行一系列不被期望的操作 。

 

何谓恶意站点?

恶意站点 = 目标站点，同域CSRF

恶意站点 != 目标站点，跨域CSRF

浏览器存在的问题

• 本地Cookie
• 内存Cookie
• 多标签浏览器

根源是浏览器、目标站点没对正常的请求、伪造的请求进行区分

主要使用的类型：

• POST
• GET型
• 手段：JavaScript, ActionScript, HTML/CSS, XML, ASP, PHP, JSP, .NET

 CSRF攻击能完成的事情：

• 删除、修改、新增目标站点上被攻击者的数据
• JSON Hijacking等获取被攻击者的隐私数据
• 作为其它攻击向量的辅助攻击手法
• 使被攻击者成为黑客下一步攻击的跳板
• 甚至可以实现CSRF蠕虫攻击

基于CSRF的XSS攻击

• 基于CSRF的XSS攻击
• 基于CSRF的SQL注入攻击
• 基于CSRF的命令执行攻击

同域CSRF攻击。

• 同域内获取数据几乎没任何限制。
  

跨域CSRF攻击
跨域获取数据的几种方法：

• XSS
• 服务端代理技术
• JSON Hijacing
• Flash AsctionScript（crossdomain.xml）

要获取的关键数据是唯一标识

 

 解决方案：

• 在服务端区严格区分好POST与GET的数据请求
• 可以考虑使用referer来判断请求来源
• 使用随机的不可猜测的表单token值来防止外站CSRF攻击
• 在一些重要的表单提交处可以考虑使用验证码或者密码确认方式进行

接下来是赵伟奉上的《世界恶意软件制造工厂》，主要讲解了中国黑客的历史，及地下经济产业链，谈论了一些钓鱼的极力推销了自己的IE安全增强软件——365门神（大家不妨下载尝试一下）。主要功能如下：

• 反钓鱼网站功能
• 主机入侵保护功能
• 在浏览网页的时候标示出恶意网站（我们在扫描国内100w个网站）
• 为普通网民提供一些基础的社会安全服务

国外类似的软件有：SiteAdvisor, Finjan, MyWOT

 

 

最后一场是郑歆炜带来的《运维安全思考》，主要是紧急安全响应的流程规范，偏向于流程管理，感兴趣的可以自看看。

第二天早上，去的人较前一天少。首先是会议主持人带来的《如何构建安全的Web应用系统》，对很多技术做了总结及解决方案，具体我就不啰嗦了，我也说不明白，接下来是三场嘉宾座谈互动，回答问题的会得到组委会的衣服，我们不是专家，当然也很少有话题提问了，漂亮的阿里橙衣服也与我无缘了。

 

说些题外话，公司能够给我们这样的技术人员，面对面讨论技术机会确实很好。虽然我们不是这方面的专家、研究人员，对于自己也算是扫盲了，了解了我们WEB应用还不是很安全，尤其是WEB2.0的时代，我们更应该多关注企业应用的安全问题。

最后也希望公司为我们研发人员多提供些参加技术论坛和培训的机会。