白帽子讲保险 的一些记录点

白帽子讲安全 的一些记录点
安全三要素：机密性（加密），完整性（数字签名），可用性（DDos攻击）安全评估：资产等级评估-》威胁分析-》风险分析-》设计安全方案白帽子兵法：secure by default：白名单黑名单，flash : 检测服务器的crossdomain.xml来验证是否允许客户端flash跨域请求最小权限原则：纵深防御 Defense in Depth数据与代码分离原则  缓冲区代码溢出，将用户数据当代码执行不可预测性原则 浏览器安全：  同源策略     script,img,iframe,link等标签可以跨域加载资源，js不能读写这些标签返回的内容；     XMLHTTPRequest跨域访问标准  浏览器沙箱     挂马  利用浏览器漏洞执行恶意代码  DEP，ASLR，SafeSEH等操作系统保护技术，浏览器多进程架构  恶意网址拦截  挂马网址，钓鱼网址  IE8 XSS filter功能  firefox4:content secuity policy 返回http的访问控制策略 跨站脚本攻击 XSS   反射性XSS：简单的把用户输入反射到浏览器   存储型XSS：把用户输入的数据存储到服务器，   DOM based XSS：XSS payload  XSS攻击：cookie劫持， httponly解决，cookieIP绑定XSS钓鱼：  css HISTORY HACK  通过visited来获取用户访问过的链接  获取用户的真实ip地址 利用java Applat攻击平台：  Attack API  BEFF  XSS-Proxy  XSS Worm  发送站内信，用户留言 XSS攻击技巧：  利用字符编码  绕过长度检测  最常用藏代码的地方：location.hash  base标签  劫持页面所有的相对路径  window.name 共享数据，      apache expect header xss  flash xss  限制flash动态脚本参数allowscriptaccess  allownetworking   XSS防御：    HttpOnly：禁止浏览器访问带有httponly的cookie  apache TRACE漏洞，把request头作为response返回，从而获得httponly cookie。   XSS FIlter：输入检查   输出检查  HTMLEncode  JAVAscriptEncode URLEncode   标签选择尽量使用白名单，不要使用黑名单。   跨站点请求伪造：CSRF  浏览器cookie策略：session cookie|本地cookie  session会发送到不同域中，而本地cookie不能跨域发送  P3P header：     CSRF防御    1.验证码    2.referer check 图片盗链  并非什么时候都能渠道referer，https-http    3.anti-csrf-token      足够随机，安全随机数生成token      生成多个有效的token，多页面共存      token曝露，隐藏在表单中，POST方式提交  点击劫持（clickjacking)     透明iframe   flash点击劫持   图片覆盖攻击   拖曳劫持与数据窃取   clickjacking3.0:触屏劫持  防御clickJacking：    frame busting:禁止iframe嵌套  html5的sandbox属性，IE中iframe的security属性都可以禁止iframe脚本执行，绕过frame busting。    x-Frame-options: http头的X-Frame-options  Html5安全：    新标签的XSS Vidio，audio    a, area: linked type noreferer    canvas 破解验证码    跨域资源共享  Access-Control-Allow-Origin  Origin    PostMessage  window.name    web storage: cookie，flash shared data，IE userData  受同源策略约束  注入攻击：  SQL注入  XML注入  代码注入 eval system  CRLF注入 http头 X-XSS-Protection:0    数据与代码分离 文件上传漏洞  上传web脚本并被执行  设计安全的文件上传功能：文件上传目录不可执行；判断文件类型；使用随机数改写文件名和文件路径；单独设置文件服务器的域名。 认证与会话管理：  Session fixation:session Id登录前后没有变化，在登录完成后，重写sessionID。  Session过期，强制销毁session 访问控制   基于url的访问控制 加密  流密码 Stream cipher attack: RC4,ORYX,SEAL  HMAC  密钥管理，定时更新  使用安全的随机函数 java.security.SecureRandom web框架安全   strust2 script标签过滤xss漏洞 应用层拒绝服务攻击  DDOS攻击：SYN flood，UDP flood，ICMP flood  SYN flood：SYN cookie，SYN proxy，safereset应用层DDOS    限制客户端的访问频率资源耗尽攻击  HTTP POST DOS  Server Limit DOS  ReDos 正则表达式引发的血案 PHP安全  文件包含漏洞  远程文件包含  全局变量覆盖 Web Server配置安全  apache安全：减少不需要的modules，专门用户运行apache，保护apache log  nginx：  ＪＢＯＳＳ远程命令执行Tomcat远程命令执行  Http Parameter POLLution 互联网业务安全 DO-NOT-TRACK 安全开发流程