web安全基础

web安全备忘

主机系统安全防护：防火墙控制

Web是一个分布式系统，一个站点多个主机布置，一主机布置多个站点：并发，异步，同步

主机安全配置文件修改与强化

web站点数据验证逻辑的常用技巧：功能性代码+安全性代码

web核心漏洞：用户提交任意数据

截取数据包修改请求参数，cookie，http信息头

web核心防护措施：

web实现功能：

购物（商品信息发布），社交，银行支付，资源搜索，博客，web邮件，交互论坛

常见漏洞：

不完善的身份认证逻辑

不完善的数据访问控制

SQL注入

跨站点脚本攻击用户：针对其他用户的攻击

信息泄露

核心安全机制：

处理数据与功能的访问控制：游客，会员，管理员：身份认证，会话管理(session token ,http cookie)，访问控制()

处理用户输入：编码(html编码，url编码，js编码)，转码，转义，特征检测，白名单(正则表达式)

处理攻击者：报告与处理运行时错误信息的展现，审计运行日志与日志记录设置

管理web应用程序功能实现逻辑

安全基础

http请求头消息：字段修改与绕过；请求方法的限制？（Apache配置文件get,post,head,trace,options,put)等请求方法的限制 Apache|Nginx配置文件的安全修改

cookie 不同语言的cookie设置属性：expires,domain,path,secure,httpOnly)php,python,java

http| https :SSL(安全套接层),TLS(传输层安全)

• http验证：Basic，NTLM，Digest

• 网站web开发平台：java平台，ASP.NET,PHP

  cookie方式： JSESEESIONID,ASPSESSSIONID(Microsoft_IIS),ASP.NET_SessionId(ASP.NET) PHPSESSID

编码方式：

• URL编码%XX(ASCI 0x20-0x7e)
• Unicode编码(%u2215)16位
• HTML编码：" ' & < > " A A(&字符实体，&#加任意字符的ASCII十进制 | s十六进制进行HTML编码) 绕过跨站脚本攻击
• Base64编码 ==结尾
• 十六进制编码：daf == 646166 cookie传送
• javascript编码

攻击过程与工具使用

信息收集：枚举应用功能+分析安全机制（前后端处理）

• burpsuit + nmap + nessus + google搜索语法

第三方组件：购物车，登录机制组件的开源代码

疑惑点

什么是厚客户端组件？Java applet，ActiveX控件，Flash