加载中…
个人资料
MXi4oyu
MXi4oyu
  • 博客等级:
  • 博客积分:0
  • 博客访问:28,458
  • 关注人气:24
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

Web-Attak系列教程第二季0x10讲——Web安全的本质

(2013-10-12 15:24:27)
标签:

it

分类: B.B.S.T
在线观看:http://v.youku.com/v_show/id_XNjE5MzQzMjEy.html
分享知识,分享快乐;收获友谊,收获财富。
大家好,我是数字雨,QQ:798033502
你购物,我返利。91多返利(范例)网将省钱和赚钱进行到底

今天给大家带来的教程是《Web-Attak系列教程第二季0x10讲——Web安全的本质》
本教程仅作教学演示和技术讨论,不得进行违法犯罪活动。
1.为什么研究Web安全的本质?2.Web安全的本质是什么?
        首先我们来看第一个问题,研究Web安全,只有当我们搞清楚了Web安全的本质,我们才能轻松应对任何繁杂多变的安全事件,才能设计出更好的安全解决方案。因为很多东西都是换汤不换药。抓住本质问题,才能以不变应万变。
  然后我们再来看第二个问题,在此之前我也问过很多朋友这个问题,他们都提出了自己独到的见解。今天我就把他们的观点汇总下,分享给大家。
  在《白帽子讲Web安全》中,作者吴翰清举了一个机场登机的例子来说明安全问题的本质是信任的问题。可以说是一语道破天机,可是对于Web安全的本质我们还得细分。
我们可以把Web安全分成3大块:Web服务器安全,Web应用程序安全,Web浏览器安全。
Web服务器存在的安全威胁有:端口扫描、Ping扫射、NetBIOS和服务器消息块(SMB)枚举、拒绝服务攻击(DOS)、未授权访问、任意代码执行与特权提升、病毒、蠕虫和特洛伊木马等
Web应用程序存在的安全威胁有:SQL注入攻击、远程命令执行、目录遍历、文件包含、脚本代码暴露、Http请求头的额外的回车换行符注入、跨帧脚本攻击、PHP代码注入 、XPATH injectionCookie篡改、URL重定向、Google Hacking 等。
Web浏览器存在的安全威胁有:跨站脚本攻击、跨站点请求伪造、点击劫持等。
面对如此众多的安全威胁,我们寻其原因,无非以下几种:
1.协议本身的缺陷:因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。如拒绝服务攻击等。
2.网络结构的不安全性:因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
3.数据窃听:由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。
4.验证手段的有效性:web应用程序中的验证主要是输入/输出验证、角色验证、所有权验证。比如我们在网上购买商品,在收货地址栏写,若web应用程序为对其过滤或者我们通过其他方式绕过其验证的,那么就使其验证手段无效了。就好比火车站虽然有检票的,但是往往还是有那么几个人能够逃票,使其验证手段失效。
5.人为因素:虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。也有网站后台密码是根据自己的姓名缩写加生日组合而成,因此遭受社会工程学攻击。
因此我把Web安全的本质划分成5个方面:
协议本身、网络结构、数据窃听、验证手段和人为因素
菜鸟作品,大牛勿喷!

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有