图解HTTP-11
Executive Summary
核心观点(金字塔原理)
结论先行: Web安全是一场攻防战,理解XSS、SQL注入、CSRF等常见攻击手段,并实施输入验证和输出转义,是构建安全Web应用的基础。
支撑论点:
- Web攻击分为主动攻击(SQL注入、OS命令注入)和被动攻击(XSS、CSRF)两大类
- 安全防护需要客户端验证和服务端验证双重保障,输入验证和输出转义缺一不可
- 会话管理漏洞(Session劫持/固定)和密码破解是常见的认证绕过手段
SWOT 分析
| 维度 | 分析 |
|---|---|
| S 优势 | 攻击类型分类清晰便于针对性防护;成熟的防护方案(参数化查询、CSP等)已广泛应用 |
| W 劣势 | 攻击手段持续演进,防护需不断更新;开发人员安全意识参差不齐 |
| O 机会 | 安全框架和工具日益完善;DevSecOps理念推动安全左移 |
| T 威胁 | 0day漏洞难以防范;社会工程学攻击防不胜防;DoS攻击成本低破坏力大 |
适用场景
- Web应用安全审计与渗透测试
- 安全编码规范制定与培训
- 安全架构设计(WAF、入侵检测)
11 Web攻击技术
针对Web应用的攻击模式
- 主动攻击
- 被动攻击
实施Web应用的安全对策可大致分为以下两部分
- 客户端验证
- Web应用端(server)的验证
- 输入值验证
- 输出值转义
- XSS (Cross-Site Scripting)跨站脚本攻击
- SQL注入攻击(SQL Injection)
- OS注入命令攻击(OS Command Injection)
- HTTP Header Injection
- Mail Header Injection
- Directory Traversal
- Remote File Inclusion
因设置或设计上的缺陷引发的安全漏洞
- 强制浏览
- 不正确的错误消息处理
常见的比如登陆时邮箱是没有注册的,如果提示邮箱未注册,则攻击者就可以输入不同的邮件根据提示确认邮件是否已注册,这种情况,为了不让错误消息给攻击者启发,建议将提示消息修改为”认证错误”这种程度即可。
- 数据库等系统抛出错误消息,即直接将错误消息显示在页面种。
- 开放重定向
因会话管理疏忽引发的安全漏洞
- 会话劫持 Session Hijack
- 会话固定攻击 Session Fixation
跨站点请求伪造
- CSRF Cross-Site Request Forgeries
其它安全漏洞
- 密码破解
- 穷举法
- 字典法
- 彩虹表:由明文密码以及与之对应的散列值构成的一张数据库表,是一种事先制作庞大的彩虹表
- 拿到密钥
- 加密算法的漏洞
- 点击劫持 Clickjacking
- DoS攻击 Denial of Service attack
- 后门程序 Backdoor