最近加入新公司後,公司的官網突然被google標記為了不安全的詐騙**,一時間我們資訊科技部門成為了眾矢之的,雖然老官網並不是我們開發的(因為開發老官網的前輩們全都跑路了)。我們花了很多時間做web安全掃瞄以及修復,在檢查和修復過程中,發現老系統的**的不可維護性(再次說明整潔**之道clean code的重要性)及安全性(同時也說明了web安全的重要性)。
修復之後,向google提出了申訴,漫長的等待(1~2天對於公司的官網來說就是money啊!)後google放開了。當我們慶幸終於把該死的老官網的安全問題解決了的時候,過了幾天後又被google加入黑名單了,wtf!於是,再次安全掃瞄,排除一切可能的原因,做好備用方案,再次進入安全修復迭代...
對於我們來說,這次的經驗讓我意識到,不遵守整潔**之道和安全系統之道的系統就像一顆定時炸彈,你不知道它什麼時候就會**又或者是虛晃一槍,又讓我想起整潔**之道一書的封面:
上面這張圖是m104:草帽星系,其核心是乙個質量超大的黑洞,有100萬個太陽那麼重,環繞著m104的光環就像一頂墨西哥草帽,彷彿經歷了大**之後碎片四濺的產物。聯絡到我們所經歷過的沒由整潔**風格各異不可維護的軟體專案,其實當你接手時之前的**都是乙個個的黑洞,存在著某天會定時爆發的風險,而當它真正爆發時,接手這個專案的所有人又或者沒有接手過的人都會因此遭殃。
因此,作為一名web系統開發者,不但要追求整潔**,也要了解web安全知識。目前系統講解web安全的書籍裡,阿里巴巴高階技術專家吳翰清的這本《白帽子講web安全》是評分較高的一本(豆瓣評分7.4),雖然現在看來有點過時(很多的漏洞案例都早已被修復),但是基礎的知識點都有覆蓋,是建立安全思維的好書!此外,它對於安全開發流程與運營的介紹,同樣具有深刻的行業指導意義。所以,我快速地學習了一遍,做了一些筆記與各位分享。
掃瞄後的結果如下圖所示:可以看到,我們得**沒有critical的安全漏洞,也沒有被各大安全體系(例如google安全瀏覽體系)列入黑名單。
又如下圖,在http header中缺少安全性的配置,可能會遭受xss攻擊。
安裝完成後,你就可以進入https://localhost:3443/#/login/登入進去了。
下面演示乙個基本的掃瞄過程:
step1.新增掃瞄目標
這裡選擇fast speed & critical
step2.點選scan按鈕設定掃瞄選項,選擇full scan & developer report,然後點選「create scan」開始掃瞄
step3.此時可以點選scan選單進入掃瞄任務列表,如下圖所示:你可以從vulerabilities列看到漏洞數量,重點關注紅色背景,它們是高危漏洞,必須得解決的!
step4.你也可以點選某個scan item,進入dashboard檢視更詳細的資訊
吳翰清,《白帽子講web安全》
(1)很好玩的部落格,《xss攻擊原理及防禦措施》
(2)很好玩的部落格,《csrf攻擊原理及防禦措施》
(3)海角在眼前,《前後端安全系列博文》=> 包含了xss,csrf,web劫持等內容
(4)張善友,《保護asp.net應用免受csrf攻擊》
出處:
讀書筆記《白帽子講web安全》
2016年3月24日 09 34 32 星期四 ddos攻擊 一種 隨機生成ip,去建立鏈結,由於http tcp握手協議原理,傳送應答報文時因為ip無效會導致等待重發,這種行為可以通過電腦硬體裝置攔截 清洗 二種 通過掛馬等手段控制別人電腦,使用有效ip去瘋狂訪問某乙個介面導致服務掛掉,這種行為要...
《白帽子講web安全》讀書筆記
第1章 安全世界觀 攻擊分兩種 exploit script 早期多攻擊系統和軟體,能快速獲得root許可權。smtp,ftp使用者多 web使用者少,且攻擊它只能獲得較低許可權 防火牆,acl 訪問控制列表 的興起,給暴露的系統施加了屏障 使得暴露在外的非web程式越來越少 web的興起 web攻...
《白帽子講Web安全》 學習筆記之注入攻擊
注入攻擊的本質是,把使用者輸入的資料當作 執行。有兩個關鍵的條件 一是使用者能夠控制輸入 二是原本程式要執行的 拼接了使用者輸入的資料。1 sql注入 sql注入,就是通過把sql命令插入到web表單提交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。sql注入攻擊是一種...