原创作品,未经Julian 本人授权不得转载,侵权必究。
好吧,大家可能已经猜到了,我和妹纸的友谊小船就这样毫无悬念的说翻就翻了。为什么?因为那天我微信给妹纸说“我吃药的时候看了条新闻,岛国地震了……”而她却马上问我“那我计划去日本买马桶盖会受影响吗?”我顿时心里一紧,下意识的把她拉黑了。我想既然随着科比的退役,我是时候给自己的青春画一个分水岭了,我应该更加成熟一些,而不是拘泥于儿女情长。因此,最近我开始思考一个严肃的问题:我们聊到现在的《和巨廉一起漫谈企业信息安全运维》已经逐渐成为了独角戏,后面启动的《吐槽咱身边的信息安全事件》仿佛更为大家所喜闻乐见,而刚开启的《要不要和巨廉再读读书》活动毫无路演,应该TO BE OR NOT TO BE?Anyway, THAT IS THE QUESTION for 亲爱的读者您,由于您来决定我们这次活动的去留吧。乘着网站老板不在,我小声透露一下,和以前一样,我会在必要的时候帮大家争取参与的福利的哦。
那好,我继续抛砖引玉,这次还是继续掰上次的《网站安全攻防秘籍》读书笔记吧。
五。请求数据分析
5.1 用户请求体里的类型(Content-Type)勘察,包括 application/x-www-form-urlencoded和multipart/form-data
5.2 识别畸形请求体,特别是XML类型。
5.3 把解码请求的数据规范化的使用Unicode编码。比如用户提交的包含有程序不起威望输入的编码(如非ASCII的字符),而在最佳映射(best-fitmapping)原则下,程序映射为最像该字符的字符码,而这些字符码组合起来的javaScript代码可能就是危险的XSS攻击。
5.4~5 识别是否进行过多次编码,甚至是畸形编码从而增加了伪装性。
5.6 编制针对客户请求中全局和针对每个请求方法的白名单(如get,post)。
5.7 检测非法的URI数据。
5.8 检测异常的浏览器请求头部(如host,user-agent,accept)信息和顺序(比如不同浏览器的host位置不同)。
5.9 检测多余的参数,丢失的参数,重复的参数名,异常的参数长度和参数字符集
六。响应数据分析
6.1 检测异常的响应头部
除了关注入流量,出流量同样要监控。比如终端用户的电脑感染了会监控FTP登录信息的恶意程序,攻击者上传恶意程序到用户网站后,修改HTTP的响应数据。又如,网站响应的网页面上出现4XX或5XX的错误,则可能是发来的请求有问题或处理失败,有可能是攻击者开始侦查或攻击所触发的。
另外,攻击者通过Apache的.Htaccess文件(用于网站托管环境下,允许对web服务器配置)以HTTP3XX的响应,把请求重定向到恶意网站。
6.2 检测响应头部的信息泄露
通过软件来修改、隐藏服务器的标识信息甚至是用伪装迷糊攻击者。这样既可以延长攻击者的侦查耗时,为我们识别攻击行为和响应赢得时间,又可以实现因为探测到的与真实不匹配,某些自动攻击程序不去测试某些类型的攻击用例的效果。
6.3 检测响应体的内容
注意如果请求量大,要做好检测的优化,不然会影响响应速度。另外,检测多应用于文本内容,对于MIME类型的二进制格式可能会有误报或漏报。
6.4 检测变更的页面标题
6.5 检测响应页面大小偏差
当web页面被篡改时,最终的页面可能比正常的小而当攻击者成功进行了SQL注入攻击并对数据进行大量拉取时,页面则大很多。所以可以设置上限和下限的阈值,不过也可能会误报,比如有评论功能的论坛页面会迅速增加。
6.6 检测动态内容变更,主要监控页面上javascript,iframe,image以及超级链接的标签数量。
6.7 检测源代码泄露 比如说用户在网址后面添加入?-s这样的特殊字符,网址便反馈网页的源代码。
6.8 检测网址返回的错误信息提示里所包含的网址结构等信息。
6.9~11 检测是否有用户敏感信息泄露,以及木马、后门和webshell的访问尝试。
七。登录身份验证的防护
7.1 ~4 检测是否提交了通用的或默认的用户名 如admin,或是短时间内提交了多个用户名(水平暴力破解)、或同用户多种密码尝试(垂直暴力破解)。
7.5 规范身份验证失败时的提示信息,不泄露是用户名错还是密码错误。
7.6 强制提高密码复杂度。
7.7 把应用的用户名与活跃的SessionID进行关联,以便在告警和日志中查看。
攻击者通过类似BurpSuite的工具通过抓取并分析cookie,构造sessionID并通过Cookie请求头部提交到网站来猜测合法的会话标记。如果提交的字符串是合法的,则网站会把受害者的数据返回给攻击者;如果错误,网站通常会把攻击者重定向到登录页面。
八。保护会话状态
8.1 检测非法提交的cookie。 因为只有网站返回给客户端的set-cookie响应头中的cookie才是合法的,因此只需确认与之前网站发给客户端的是否一致便可。
8.2 检测cookie篡改
8.3 通过设定会话有效期时长,强制会话过期,以缩短会话被劫持的机会。
8.4 检测客户端IP源位置在会话有效期内是否变更。(GeoIP,由于可能使用代理,或移动用户,误报率比较高)。
8.5 检测会话中浏览器标识是否变更(User-Agent)。
哥掐指一算,五一劳动节快到了,大家就不要从自己待腻了的地方到人家待腻了的地方去看人了,在家焚香读书岂不乐哉?最后来句具有工匠精神的励志短语吧:“每天早上唤醒我的除了低电量的手机。。。还有和大家漫谈以及读书的使命哦。你呢?”
