10 大安全风险速递,实战智能攻防
王昊天 螣龙安科 CEO 兼创始人
你将获得
- 攻防兼备的 Web 安全知识体系
- 搭建属于自己的攻防对抗系统
- 真实场景下的实战经验总结
- 顶层视角的安全思维与产业级认知
课程介绍
这是一门安全课程,也是一门优雅编码课程。
我们都说,真正优秀的开发者都是大黑客,这句话是真的。厉害的开发人员往往从业务代码不断精进,写到框架层,再写到系统层,这种不断深入的过程即是不断探求原理和创新的过程。而真正的黑客也是如此,他们共同构建了互联网世界的底层。
如果把攻防对抗比作一场战争,Web 渗透、后门技术、横向移动、隧道搭建、权限提升等技术就像排兵布阵,用战术优势不断攻城略地;那么漏洞在攻防中的作用就像核武器,这是一种在硬件装备上的降维打击。在渗透测试之路走到尽头的时候,所有路标都指向了一座新的高山——漏洞挖掘。
漏洞挖掘与安全开发需要大量的知识储备,但是现在大多的课程和学习资料往往都是着眼于某一个知识点去解读,分析的重点往往是漏洞的成因和利用方式。但是对于含金量最高的地方,漏洞挖掘过程以及思考方式,却没有仔细的分解。这就使得我们在学习的过程中,只收获了一个漏洞的利用方式,但是面对主动漏洞挖掘场景以及安全开发时却无能为力。因此,缺乏实战经验成为学习者进一步提高技术能力的瓶颈。网络安全作为一门工程学科,需要的不仅是扎实的理论基础,实战经历同样不可或缺。
基于此,我们邀请到了螣龙安科的创始人王昊天老师,他将带领你直面 2021 OWASP 榜单中最高发的 10 类安全问题。通过真实场景下的案例带你从黑客视角一步步挖掘漏洞,同时又能从工程师视角带你探究漏洞的底层原理,进而对漏洞进行利用,对代码进行优化。最终形成一个完整的闭环!内容中包含了大量未公开利用方式的漏洞,和 2021 真实红蓝对抗案例,手把手教你使用自动化工具,构建智能攻防系统。
课程设计
整个专栏共分为以下四个部分:
导读:一讲篇幅介绍安全领域最权威的 OWASP Top 10 榜单,从与上一份榜单的变化出发,让你对 OWASP 的背景和内容有一个宏观的认识,并且总结出“六步法”,让安全知识“学了就能用”。
五类重点安全问题系统讲解:学习几大主流风险种类,它们分别是失效的访问控制、加密失败、注入、不安全的设计以及安全配置错误,它们将各自以一个模块的篇幅详细展开,让你通过一个个生动的场景深入浅出地理解安全问题,在实战中对漏洞加以利用。
其他安全风险串讲:对于榜单中一些次重点的安全问题进行串讲,各占一讲篇幅,定位短小精悍,干货、代码满满。
综合实战:在学完上述所有的漏洞挖掘思想之后,融合实战,结合之前所学的安全思维,构建属于自己的前沿漏洞挖掘与智能攻防系统。
特别提示
每篇文章中用到的靶机,老师都会放在 MiTuan 平台 的这个板块里面
欢迎各位同学前来自取。
课程目录
常见网络漏洞表现形式和预防方法
一、注入漏洞
由于其普遍性和严重性,注入漏洞在WebTOP10漏洞中始终排在第一位。被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。用户可以通过任何输入点输入构建的恶意代码。如果应用程序没有严格过滤用户的输入,一旦输入的恶意代码作为命令或查询的一部分被发送到解析器,就可能导致注入漏洞。
一般SQL注入的位置包括:
(1)表单提交,主要是POST请求,也包括GET请求;
(2)URL参数提交,主要为GET请求参数;
(3)Cookie参数提交;
(4)HTTP请求头部的一些可修改的值,比如Referer、User_Agent等;
(5)一些边缘的输入点,比如.mp3文件的一些文件信息等。
如何预防?
(1)所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击。
(2)对进入数据库的特殊字符(’”<>&*;等)进行转义处理,或编码转换。
(3)确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型。
(4)数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行。
(5)网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过。
(6)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。
(7)避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。
(8)在网站发布之前建议使用一些专业的SQL注入检测工具进行检测,及时修补这些SQL注入漏洞。
二、文件上传漏洞
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
如何预防?
在开发网站及应用程序过程中,需严格限制和校验上传的文件,禁止上传恶意代码的文件。同时限制相关目录的执行权限,防范webshell攻击。
三、目录遍历漏洞
这个漏洞不常见,但是也是有的,该漏洞允许浏览者直接在浏览器里浏览和下载网站的文件,导致网站结构,网站文件,甚至数据库轻易的被黑客搞到。造成此类漏洞的原因是服务器管理员的疏忽。该漏洞入侵主要是得到数据库的地址,用下载工具下载,并得到管理员账号。防止漏洞的方法就是服务器管理员取消网站目录遍历的权限。
四、文件包含漏洞
文件包含函数中包含的文件参数没有过滤或严格定义,参数可以由用户控制,可能包含意外文件。如果文件中存在恶意代码,无论文件是什么后缀类型,文件中的恶意代码都会被解析执行,导致文件包含漏洞。文件中包含的漏洞可能会造成网页修改、网站暂停、服务器远程控制、后门安装等危害。
五、跨站脚本漏洞
跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击。XSS漏洞是网络应用程序中常见的安全漏洞,它允许用户将恶意代码植入网页。当其他用户访问此页面时,植入的恶意脚本将在其他用户的客户端执行。XSS泄漏的危害很多,客户端用户的信息可以通过XSS漏洞获取,比如用户登录的Cookie信息;信息可以通过XSS蜗牛传播:木马可以植入客户端;您可以结合其他漏洞攻击服务器,并在服务器中植入特洛伊木马。
如何预防?
(1)与SQL注入防护的建议一样,假定所有输入都是可疑的,必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP请求中的Cookie中的变量,HTTP请求头部中的变量等。
(2)不仅要验证数据的类型,还要验证其格式、长度、范围和内容。
(3)不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。
(4)对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。
(5)在发布应用程序之前测试所有已知的威胁。
六、命定执行漏洞
命令执行的漏洞。应用程序的某些函数需要调用可以执行系统命令的函数。如果这些功能或者功能的参数可以被用户控制,那么恶意的命令就有可能通过命令连接器拼接成正常的功能,从而可以随意执行系统命令。这就是命令执行漏洞,这是高风险漏洞之一。
本站内容均为网友上传分享,本站仅负责分类整理,如有任何问题可联系我们(点这里联系)反馈。
