Web安全与业务
随着新技术、新思维的出现,看不见硝烟的随时出现。
2012年7月,一部由美国制作的电影预告片被传到互联网上,由于包含对伊斯兰教的侮辱,引起了穆斯林的强烈抗议。9月,一个自称“伊兹丁.哈桑网络战士”的黑客组织,在网上声称对美国金融业展开报复性战争。短短几周之中,美国银行,花旗集团,富国银行,美国合众银行、PNC金融服务集团等金融巨头的网上服务因遭受攻击而中断。分布式拒绝服务攻击。
安全与自身发展
有人说互联网是由人组成的,也有人说互联网是由代码组成的。如果说互联网是由代码组成的,那么Web代码占据着互联网至少半壁江山;如果说互联网是由人组成的,那么有人的地方就有江湖,江湖中总是有剑客高手,互联网中也总是有技术黑客高手。
腾讯Q+和 web QQ上拥有近10万个web应用。
google的chrome 网上应用商店提供了7万多个应用,拥有数亿人次的应用用户。
4399.com拥有数万个在线网页游戏。
安卓和苹果上当前17%的应用都是h5开发的,而且比例持续上升。

Web安全-大事记
天涯被黑事件 SQL 入侵 2012年,泄漏数据的网站包括天涯,多玩,其中天涯的因为2009年使用的是明文密码,因此泄漏的用户密码是明文的,多玩网(YY语音)的数据是内部员工窃取的,网站未被入侵。

百度被劫持事件 DNS劫持
2010年1月12日上午7点钟开始,中国最大中文搜索引擎“百度”遭到黑客攻击,长时间无法正常访问。主要表现为跳转到一雅虎出错页面、伊朗网军图片,出现“天外符号”等,范围涉及四川、福建、江苏、吉林、浙江、北京、广东等国内绝大部分省市。

淘宝撞库
该团伙于2015年10月14日至16日通过租用的阿里云平台向淘宝发起攻击,获取淘宝账户信息约9900万,其中2059万账户为确实存在并且密码吻合。该团伙通过黑客手段获取的账号主要用于淘宝刷单、抢单、并出售给诈骗团伙,严重扰乱了网络秩序,危害了公民的隐私、财产等安全。专案组根据该线索,顺藤摸瓜抓获姚某、黄某等犯罪嫌疑人4名,经进一步审查发现,该团伙通过自编58个黑客盗号软件,获取用户名+密码32亿组,涉及浙江、江苏、上海、山东、四川、福建、安徽等全国20余个省份用户,涉案金额高达200余万元。

灰色产业链
传奇私服,帐号买卖,商品秒杀,抢月饼等等。
攻击与防御
XSS攻击
XSS[CSS] Cross Site Scripting, 跨站脚本。
跨:主要是因为远程或者是第三方域上的脚本资源。
例子:
eval(location.hash.substr(1));
http://www.crm.net/test_xss.html#alert(‘no’)
类型:
反射型,存储型,DOM XSS
反射型: echo $_GET[‘x’];
存储型:存入到对应的数据库,文件等位置。
DOM XSS: 刚刚演示的那个
经典的漏洞:
2009年出现一次大调整,大量融入HTML元素。
昵称修改为: <iframe x=’发送一条这样的消息给被攻击者:’src=’http:\\%62aidu.com’y=

危害:
挂马,
盗取用户cookies
Dos(拒绝服务)客户端浏览器
钓鱼攻击,高级钓鱼技巧
编写针对性的XSS病毒,删除目标文章,恶意篡改数据,嫁祸,“借刀杀人”
实际案例:
百度登录DIV弹出层窗口存在XSS持久性漏洞。
2005年11月4号 MySpace XSS 蠕虫的模式,凌晨0:34开始,短短5小时后,感染了一百多万用户,并在每个用户的个人签名当中添加了一段文件“but most of all,samy is my hero”,XSS蠕虫鼻祖。

SQL注入
普通注入:
普通注入是指最容易利用的SQL注入漏洞,比如直接通过注入union查询就可以查询数据库。
防御:过滤相应的关键词,强制数据类型,就可以过滤了。

编码注入:
最常见的编码注入是MySQL宽字节以及 urldecode 及 rawurldecode 函数导致的。

编码注入–宽字节注入:
当使用PHP连接mysql 的时候,当设置 “set character_set_client = gbk”时会导致一个编码转换注入的问题,注入参数里带入 %df%27 即可把程序中过滤的 \ (%5c) 吃掉。

%27 代表是 ’ 单引号。

假设/1.php?id=1 存在宽字节注入漏洞,
当提交 /1.php?id=-1’ and 1=1 %23 时,Mysql 运行的sql语句为: select * from user where id = 1 \’ and 1=1#’ 很显然,没有注入成功,因为我提交的单引号被转义导致没有闭合前面的单引号。
但是当我们提交 /1.php?id=-1%df’ and 1=1%23时,这时候Mysql运行的语句为:select * from user where id = ‘1運’ and 1=1#’
这是由于单引号被自动转义成 \’ ,前面的 %df 和转义字符 \反斜杠(%5c)组成了 %df%5c,也就是 “運”字,这时单引号依然存在,于是成功闭合了前面的单引号。
漏洞挖掘:
搜索 SET NAMES 及 gbk 关键字
#号,新的开始
编码注入–二次urldecode注入:
只要字符串被进行转换就有可能产生漏洞,现在的web程序大多都会进行参数过滤,通常使用addslashes(),mysql_real_escape_string(),mysql_escape_string()函数或者开启 GPC 的方式来防止注入,也就是给单引号,双引号,反斜杠和NULL加上反斜杠转义。如果某处使用了 urldecode 或者rawurldecode 函数,则会导致二次解码生成单引号而引发注入。

原理是我们提交参数到 web服务器时,web服务器会自动解码一次,假设目标程序开启了 GPC ,我们提交 /1.php=1%2527,因为我们提交的参数里面没有单引号,所以第一次解码后的结果是 id=1%27,%25解码的结果是%,如果程序里面使用了 urldecode 或者 rawurldecode 函数来界面id 参数,则解码后的结果是 id=1’ 单引号成功出现,引发注入。

挖掘:搜索 urldecode
DDOS攻击
简介:基本上无解的攻击方式。
来源:僵尸网络
就是僵尸程序控制的计算机。
知名的僵尸网络:
1 ZeroAccess 一天 10万美元。
2 Zeus 数百万美元。
僵尸网络组成的节点:
1 普通的PC
2 服务器
3 移动设备
方法:精髓
利用分布式的客户端,向服务提供者发起大量看似合法的请求,消耗或长期占用大量的资源,从而达到拒绝服务的目的。

攻击位置:
攻击网络带宽资源
直接攻击
发射和放大攻击
攻击链路
攻击系统资源
攻击TCP连接
攻击SSL连接
攻击应用资源
攻击DNS服务
攻击Web服务
混合攻击

工具:
综合性工具
Hping 编码和解析TCP/IP 协议的命令行开源工具。 当前版本应该 Hping3
PenTBox 免费的开源安全工具套装。
压力测试工具
LOIC 开源的网络压力测试工具,最初由Praetox公司开发。
HULK 基于python的 Web 压力测试工具。
专业攻击工具
Slowloris 是一个Perl程序,有Perl运行环境即可。

成本和收益:
首先抛弃只有“黑客”才能攻击的概念,因为分工现在已经很明确了。
大部分“黑客”都专注于特定领域,有的擅长发现漏洞,有的善于开发工具,有的负责入侵过程,有的专门处理帐号信息。
就DDOS攻击来说,一些“黑客”会建立和维护所谓的“攻击网络”。他们有的利用僵尸网络,有的控制高性能服务器,形成攻击能力后对外提供租用服务器。而最终的租用者很可能只是不具备任何专业知识的普通人。
30000元/月,开始。
收益:
单纯破坏发现没什么意义。
敲诈/报复
10%利润:
20%利润:
100%利润:

治理及缓解:
治理僵尸网络,
反射点等
SQL注入演示
演示网站:
工具演示:
加强web安全
编码规范
参数的安全过滤
第三方过滤函数与类 PHP安全里面的 80sec SQL注入过滤的类。
内置过滤函数
安全的加密算法
对称加密
非对称加密
业务功能安全设计
验证码
不刷新直接绕过
暴力破解
机器识别
打码平台 云速 Q赚
验证码资源滥用
配置规范
web服务器
Linux服务器
sql服务器
php本身
白名单
对于固定用户的,可以使用白名单机制。