[李景山php] web 安全资料篇
Web安全与业务
1939年9月1日凌晨,第二次世界大战爆发。德军14个师兵分三路,从北,南,西同时入侵波兰,波军6个集团军80万人组成的防线瞬间瓦解。由于兵力分散和移动迟缓,波军很快被各个击破,到9月21日“布楚拉战役”,主流已全军覆没。这次战争的时间之短,出乎所有人意料,它将一种新的战争模式呈现在人们眼前“闪电战”。
随着新技术、新思维的出现,看不见硝烟的随时出现。
2012年7月,一部由美国制作的电影预告片被传到互联网上,由于包含对伊斯兰教的侮辱,引起了穆斯林的强烈抗议。9月,一个自称“伊兹丁.哈桑网络战士”的黑客组织,在网上声称对美国金融业展开报复性战争。短短几周之中,美国银行,花旗集团,富国银行,美国合众银行、PNC金融服务集团等金融巨头的网上服务因遭受攻击而中断。分布式拒绝服务攻击。
安全与自身发展
有人说互联网是由人组成的,也有人说互联网是由代码组成的。如果说互联网是由代码组成的,那么Web代码占据着互联网至少半壁江山;如果说互联网是由人组成的,那么有人的地方就有江湖,江湖中总是有剑客高手,互联网中也总是有技术黑客高手。
腾讯Q+和 web QQ上拥有近10万个web应用。
google的chrome 网上应用商店提供了7万多个应用,拥有数亿人次的应用用户。
4399.com拥有数万个在线网页游戏。
安卓和苹果上当前17%的应用都是h5开发的,而且比例持续上升。
Web安全-大事记
天涯被黑事件 SQL 入侵
2012年,泄漏数据的网站包括CSDN,天涯,多玩,其中天涯的因为2009年使用的是明文密码,因此泄漏的用户密码是明文的,多玩网(YY语音)的数据是内部员工窃取的,网站未被入侵。
百度被劫持事件 DNS劫持
2010年1月12日上午7点钟开始,中国最大中文搜索引擎“百度”遭到黑客攻击,长时间无法正常访问。主要表现为跳转到一雅虎出错页面、伊朗网军图片,出现“天外符号”等,范围涉及四川、福建、江苏、吉林、浙江、北京、广东等国内绝大部分省市。
淘宝撞库
该团伙于2015年10月14日至16日通过租用的阿里云平台向淘宝发起攻击,获取淘宝账户信息约9900万,其中2059万账户为确实存在并且密码吻合。该团伙通过黑客手段获取的账号主要用于淘宝刷单、抢单、并出售给诈骗团伙,严重扰乱了网络秩序,危害了公民的隐私、财产等安全。专案组根据该线索,顺藤摸瓜抓获姚某、黄某等犯罪嫌疑人4名,经进一步审查发现,该团伙通过自编58个黑客盗号软件,获取用户名+密码32亿组,涉及浙江、江苏、上海、山东、四川、福建、安徽等全国20余个省份用户,涉案金额高达200余万元。
灰色产业链
传奇私服,帐号买卖,商品秒杀,抢月饼等等。
攻击与防御
XSS攻击
XSS[CSS] Cross Site Scripting, 跨站脚本。
跨:主要是因为远程或者是第三方域上的脚本资源。
例子:
eval(location.hash.substr(1));
http://www.crm.net/test_xss.html#alert(‘no’)
类型:
反射型,存储型,DOM XSS
反射型: echo $_GET[‘x’];
存储型:存入到对应的数据库,文件等位置。
DOM XSS: 刚刚演示的那个
经典的漏洞:
2009年出现一次大调整,大量融入HTML元素。
昵称修改为: <iframe x=’发送一条这样的消息给被攻击者:’src=’http:\\%62aidu.com’y=
危害:
挂马,
盗取用户cookies
Dos(拒绝服务)客户端浏览器
钓鱼攻击,高级钓鱼技巧
编写针对性的XSS病毒,删除目标文章,恶意篡改数据,嫁祸,“借刀杀人”
实际案例:
百度登录DIV弹出层窗口存在XSS持久性漏洞。
2005年11月4号 MySpace XSS 蠕虫的模式,凌晨0:34开始,短短5小时后,感染了一百多万用户,并在每个用户的个人签名当中添加了一段文件“but most of all,samy is my hero”,XSS蠕虫鼻祖。
SQL注入
普通注入:
普通注入是指最容易利用的SQL注入漏洞,比如直接通过注入union查询就可以查询数据库。
防御:过滤相应的关键词,强制数据类型,就可以过滤了。
编码注入:
最常见的编码注入是MySQL宽字节以及 urldecode 及 rawurldecode 函数导致的。
编码注入–宽字节注入:
当使用PHP连接mysql 的时候,当设置 “set character_set_client = gbk”时会导致一个编码转换注入的问题,注入参数里带入 %df%27 即可把程序中过滤的 \ (%5c) 吃掉。
%27 代表是 ’ 单引号。
假设/1.php?id=1 存在宽字节注入漏洞,
当提交 /1.php?id=-1’ and 1=1 %23 时,Mysql 运行的sql语句为: select * from user where id = 1 \’ and 1=1#’ 很显然,没有注入成功,因为我提交的单引号被转义导致没有闭合前面的单引号。
但是当我们提交 /1.php?id=-1%df’ and 1=1%23时,这时候Mysql运行的语句为:select * from user where id = ‘1運’ and 1=1#’
这是由于单引号被自动转义成 \’ ,前面的 %df 和转义字符 \反斜杠(%5c)组成了 %df%5c,也就是 “運”字,这时单引号依然存在,于是成功闭合了前面的单引号。
漏洞挖掘:
搜索 SET NAMES 及 gbk 关键字
#号,新的开始
编码注入–二次urldecode注入:
只要字符串被进行转换就有可能产生漏洞,现在的web程序大多都会进行参数过滤,通常使用addslashes(),mysql_real_escape_string(),mysql_escape_string()函数或者开启 GPC 的方式来防止注入,也就是给单引号,双引号,反斜杠和NULL加上反斜杠转义。如果某处使用了 urldecode 或者rawurldecode 函数,则会导致二次解码生成单引号而引发注入。
原理是我们提交参数到 web服务器时,web服务器会自动解码一次,假设目标程序开启了 GPC ,我们提交 /1.php=1%2527,因为我们提交的参数里面没有单引号,所以第一次解码后的结果是 id=1%27,%25解码的结果是%,如果程序里面使用了 urldecode 或者 rawurldecode 函数来界面id 参数,则解码后的结果是 id=1’ 单引号成功出现,引发注入。
挖掘:搜索 urldecode
DDOS攻击
简介:基本上无解的攻击方式。
来源:僵尸网络
就是僵尸程序控制的计算机。
知名的僵尸网络:
1 ZeroAccess 一天 10万美元。
2 Zeus 数百万美元。
僵尸网络组成的节点:
1 普通的PC
2 服务器
3 移动设备
方法:精髓
利用分布式的客户端,向服务提供者发起大量看似合法的请求,消耗或长期占用大量的资源,从而达到拒绝服务的目的。
攻击位置:
攻击网络带宽资源
直接攻击
发射和放大攻击
攻击链路
攻击系统资源
攻击TCP连接
攻击SSL连接
攻击应用资源
攻击DNS服务
攻击Web服务
混合攻击
工具:
综合性工具
Hping 编码和解析TCP/IP 协议的命令行开源工具。 当前版本应该 Hping3
PenTBox 免费的开源安全工具套装。
压力测试工具
LOIC 开源的网络压力测试工具,最初由Praetox公司开发。
HULK 基于python的 Web 压力测试工具。
专业攻击工具
Slowloris 是一个Perl程序,有Perl运行环境即可。
成本和收益:
首先抛弃只有“黑客”才能攻击的概念,因为分工现在已经很明确了。
大部分“黑客”都专注于特定领域,有的擅长发现漏洞,有的善于开发工具,有的负责入侵过程,有的专门处理帐号信息。
就DDOS攻击来说,一些“黑客”会建立和维护所谓的“攻击网络”。他们有的利用僵尸网络,有的控制高性能服务器,形成攻击能力后对外提供租用服务器。而最终的租用者很可能只是不具备任何专业知识的普通人。
30000元/月,开始。
收益:
单纯破坏发现没什么意义。
敲诈/报复
10%利润:
20%利润:
100%利润:
治理及缓解:
治理僵尸网络,
反射点等
SQL注入演示
演示网站:
工具演示:
加强web安全
编码规范
参数的安全过滤
第三方过滤函数与类 PHP安全里面的 80sec SQL注入过滤的类。
内置过滤函数
安全的加密算法
对称加密
非对称加密
业务功能安全设计
验证码
不刷新直接绕过
暴力破解
机器识别
打码平台 云速 Q赚
验证码资源滥用
配置规范
web服务器
Linux服务器
sql服务器
php本身
白名单
对于固定用户的,可以使用白名单机制。
[李景山php] web 安全资料篇相关推荐
- [李景山php] php高级程序员简历的要点
1 熟练掌握web前端相关知识,对h5及css3有一定了解,能熟练运用bootstrap,jquery及相关知识独立完成[类似于京东首页]大型电商首页制作工作,具有一定移动端的兼容处理能力. 2 熟练 ...
- [李景山php]每天TP5-20170131|thinkphp5-Request.php-3
/*** 获取当前URL 不含QUERY_STRING* @access public* @param string $url URL地址* @return string*/ public funct ...
- [李景山php]每天TP5-20170111|thinkphp5-Model.php-4
/*** 设置需要追加的输出属性* @access public* @param array $append 属性列表* @return $this*/ public function append( ...
- [李景山php]每天TP5-20161225|thinkphp5-Console.php-2
/*** 执行指令* @param Input $input* @param Output $output* @return int*/ public function doRun(Input $in ...
- php tp5.3,[李景山php]每天TP5-20161226|thinkphp5-Console.php-3
/** * 某个指令是否存在 * @param string $name 指令名称 * @return bool */ public function has($name) { return isse ...
- [李景山php]每天TP5-20170125|thinkphp5-Process.php-7
/*** 获取输入* @return null|string*/public function getInput(){return $this->input;}// 获取输入信息/*** 设置输 ...
- [李景山php]每天TP5-20170114|thinkphp5-Model.php-7
/*** 删除记录* @access public* @param mixed $data 主键列表 支持闭包查询条件* @return integer 成功删除的记录数*/ public stati ...
- php tp5 parent,[李景山php]每天TP5-20161225|thinkphp5-Console.php-2
/** * 执行指令 * @param Input $input * @param Output $output * @return int */ public function doRun(Inp ...
- [李景山php]每天TP5-20170110|thinkphp5-Model.php-3
/*** 自动写入时间戳* @access public* @param string $name 时间戳字段* @return mixed*/ protected function autoWrit ...
- [李景山php]每天TP5-20161205|Loader.php-3
// 注册classmappublic static function addClassMap($class, $map = ''){// 如果 addClassMap 类文件映射,支持 数组,或者 ...
最新文章
- CDCN 活体检测笔记
- 强化学习(十七) 基于模型的强化学习与Dyna算法框架
- 微软75亿收购Github,微软以开发者为中心的初心不变
- c#中使用mysql查询语句_遇到@符合怎么办_C# Mysql 查询 Rownum的解决方法
- 接管任意微软账户并获$5万赏金的故事
- 无法将W ndOWs配置为在,配置Wndows2000中的磁盘配额.doc
- python 和 iphone 通过socket传数据注意
- python取余什么意思_基于python 取余问题(%)详解
- java 求两点的角度_计算两点之间的角度 – java
- SQL Server 2012软件安装教程
- win10各个版本激活码到期了
- [转]库存那些事儿_8_盘点
- 【笔记本触摸屏】实用技巧整理
- 让一台电脑死机至少需要几行代码
- CentOS 7下安装pptp服务端手记
- 截止2017年5月19日小虎软考粉丝有798人
- spring中 shiro logout 配置方式
- 企业中深信服防火墙旁挂部署
- python标注cad坐标点_利用pyautocad模块批量画点位
- 电池板焊点检测图像数据集