----------------------------------
煮酒品茶：為什么要叫80安全了，其實(shí)也是因?yàn)橄矚g80sec，緊跟時(shí)尚嘛。寫的也就是那些道道。因?yàn)檫@方面文章不多，所以故有此文。在這里我希望申明一下我個(gè)人的觀點(diǎn)，有人談“黑客”色變，你說黑客都是壞家伙，請你上烏云看看。其實(shí)這是觀點(diǎn)的理解錯(cuò)誤，主要是因?yàn)楣ぞ呋钠占?，然后服?wù)器管理的失誤或者是更多的人為因素。安全這方面出在人身上的失誤往往比出在技術(shù)上面的失誤要多的多。安全意識(shí)不可失。
煮酒品茶：另外我也就是個(gè)小菜鳥，這只是一些經(jīng)驗(yàn)之談。也希望高手們來指點(diǎn)指點(diǎn)。讓小菜我跟著進(jìn)步哈。
思路：怎么防如何防？想這個(gè)問題還不如反過來白盒，怎么攻擊？如何攻擊？一臺(tái)WEB服務(wù)器擺這里。讓你攻，怎么攻。不知你們?nèi)绾蜗搿７凑沂沁@么想。
設(shè)定假想攻擊：
--------------------------------------------------------------------
一、我的想法是第一零日唄，這貨比較難求，像“白帽子講web安全”中講的信任，我們應(yīng)該相信我們的系統(tǒng)是沒有漏洞的，不然我們的防無法做下去。還有服務(wù)器上面的軟件，如果是連這也不相信那么沒有繼續(xù)看下去的必要了。我們對此做的只是用最穩(wěn)定的，多注意漏洞廠商的官方以及漏洞庫的查看?？纯茨闶遣皇侵辛说?。出了漏洞盡快補(bǔ)以及查看日志是否中標(biāo)。所以攻擊第一步應(yīng)該是收集信息。
二、既然排除了系統(tǒng)與軟件的零日漏洞，那么我又如何攻呢？讓我想想吧，掃描服務(wù)器開放端口，然后再針對端口進(jìn)行相應(yīng)的攻擊，比如開了80，那么我又多了一條路，web，然后對web進(jìn)行攻擊。如果開了ftp，那么我又對ftp進(jìn)行攻擊，當(dāng)然前面我講過，信任。如果你連web服務(wù)器與ftp程序都無法信任，那無從談起。開了22那么暴破，不管有沒有結(jié)果，字典一掛，先在機(jī)器上跑著再說。
三、首先我們是web服務(wù)器，那么80端口是必要的，所以我們可以對其它服務(wù)進(jìn)行關(guān)閉或者有償連接。比如限制IP，VPN登陸。完了，我只有一條路可走，那就是80了。80怎么整？還是信息收集， 程序是asp?php?jsp?python? 動(dòng)態(tài)還是靜態(tài)？信息收集一般收集后臺(tái)吖，上傳地址啊，編輯器地址（ewe,fck這些都是赤果果的）啊。以及有人會(huì)把網(wǎng)站整站打包到根目錄，以及rebort信息啊。有人喜歡把后臺(tái)地址放到rebort上，這樣就爽了。
四、找著后臺(tái)就為我們暴破提供的場地，因?yàn)榇蠹叶紣塾胊dmin嘛，正合我意，不管出不出來，先破著再說。那么上傳地址了，這貨可以無驗(yàn)證上傳哇，牛，扎包，發(fā)包哇。好事。如果后臺(tái)沒出來，也無上傳組件，編輯器組件啊，那如何辦？頭疼啊，我xss和sql注入吧。與是拼命的找xss，一般體現(xiàn)在兩方面，肯定是程序與用戶的交互地。比如url比如程序內(nèi)的文本輸入框。精心構(gòu)造唄。得xss就有了cookies有了cookies就有了數(shù)據(jù)和權(quán)限。有了權(quán)限就可以進(jìn)一步獲取更大的權(quán)限。sql注入，老生常談啊。注入這東西真的危害，你屏了常用的 ' and union order...等等，他就可以給用gb2312你轉(zhuǎn)個(gè)碼，沒屏蔽？那我就直接上，當(dāng)然還有各種方法，主要是構(gòu)造思路。
五、那么如果以上都沒有，我旁站？哈米你機(jī)器上只有一個(gè)站？那怎么辦呢？暴庫？這貨基本上現(xiàn)在都沒有用對了，網(wǎng)站是會(huì)員的，那會(huì)員肯定會(huì)有一些權(quán)限，比如說上傳圖片哇？試試能不能突破。還不行？那就C段。C段不行？那么最終 核武器。
六、社工，也叫社會(huì)工程學(xué)。這名字取的好啊，凱文干的活兒，較多的是社工，而且還出了本書叫斯騙的藝術(shù)，是叫藝術(shù)哦，他是最牛黑客喔。哈哈，社工指啥，利用人的問題，比如說釣魚，dns劫持、站內(nèi)發(fā)信息帶連接啊、站外QQ傳毒啊，郵箱傳毒啊。拿你運(yùn)維電腦的權(quán)限啊，然后掛個(gè)鍵盤記錄器啊。電話你人員說我是機(jī)房的，你們機(jī)器出現(xiàn)問題，然后我這邊DDOS，你那邊急哇，趁運(yùn)維急想盡辦法套權(quán)限哇。等等等。。。。只有想不到的沒有做不到的。
七、沒有七了，因?yàn)槲乙簿椭肋@么點(diǎn)了，或許忘了些。但是思路要在這里就成。你可以擴(kuò)散。
------------------------------------------------------------------
針對攻擊設(shè)防御（請你擴(kuò)散思維）：、
煮酒品茶：沒有攻擊的假想你如何防？所以肯定是先設(shè)想再防御。一點(diǎn)一點(diǎn)來吧。
---------------------------------------------------------------------
一、針對零日，應(yīng)該是沒有任何辦法。你自己做個(gè)系統(tǒng)？所以第一只我們只能退而求其次，首先保證服務(wù)器上只要可以運(yùn)行業(yè)務(wù)的功能就行。其它軟件能不裝就不裝。裝了也定時(shí)查看官網(wǎng)看有沒有出漏洞以及系統(tǒng)出漏洞，所以我們要盡可能的少裝軟件，更新倒沒必要，主要是一個(gè)穩(wěn)定，然后更新的話查看更新的內(nèi)容，如果有漏洞那必須更。
二、端口，ftp,22 21等都沒必要開放，連VPN吧，VPN才能訪問，所以只開放一個(gè)端口:80。
三、只余80了，這里是最難防的。信息隱葳，后臺(tái)這貨一定的保證好，不行就后臺(tái)指定IP連接。還有其它編輯器，這貨無法隱藏，你必須得供用戶使用，所以能不要的組件就盡量不要。rebort別太傻太天真。
四、 針對后臺(tái)
后臺(tái)被找著了？想暴破？那我給你設(shè)定個(gè)次數(shù)，就三次吧，超過三次那么你三小時(shí)后再來連接吧。ssh也可以設(shè)，但還有一層也就是VPN、你vpn都被干了那就沒法了
針對上傳。我們做如下設(shè)定。首先上傳肯定要屏蔽好，只允許上傳哪些，以及不允許上傳哪些，為什么要寫兩個(gè)？萬事無絕對，細(xì)心點(diǎn)好。可寫不可讀，可讀不可寫。這種境界一定要發(fā)揮好。有人就要說了緩存。緩存請分離，別放web上占著地方。緩存是靜態(tài)的。那這個(gè)問題也解決了，不行上傳也分離到別的服務(wù)器上，但是權(quán)限要把握手，可寫不可讀，你可以上傳，但我不讓你讀取。就不存在webshell的問題了。定期查殺唄。
針對xss，這個(gè)自己一定得測，這個(gè)是靠經(jīng)驗(yàn)，如<a hert"https://www.jb51.net /"></a>我們構(gòu)造一下<a hert""><script>alert (/XSS/)</script>// "></a> 這個(gè)"><script>alert (/XSS/)</script>// 直接窗口跳出來，所以這個(gè)靠經(jīng)驗(yàn)，事后可以自己測，注意兩個(gè)方向，一個(gè)url一個(gè)文本輸入框。
針對sql 剛也說了屏蔽掉一切可以屏蔽的，并且保證每個(gè)連接數(shù)據(jù)的文件必須引用。是必須。 還有一個(gè)無驗(yàn)證權(quán)限的，或者說在url上驗(yàn)證權(quán)限的，這種是程序的問題。只能寫程序時(shí)注意。什么構(gòu)造個(gè)UID就直接通過驗(yàn)證進(jìn)行帳戶了，而且這種漏洞最多啦。新浪手機(jī)的昨天就出個(gè)這樣的，QQ空間也有。當(dāng)然是我?guī)煾蛋l(fā)現(xiàn)的啦。
五、旁站，這個(gè)隔離吧，虛擬空間用戶較多，這個(gè)依托與服務(wù)提供商。C段也是依托與別的服務(wù)器，但盡量做到只用可用的，而且你要用可用的那你還必須指定的IP來用我的。
六、社工，這個(gè)真沒法說，只能自己加強(qiáng)安全意識(shí)，遇事不急。切記不可急。你急全完了。還有定期給同事客服進(jìn)行培訓(xùn)。講啥，講你們別亂搞，亂搞出問題了我們都負(fù)不起責(zé)，然后再講其它的。
七、未知的一切才最可怕，如果你自己都不知道還有哪里可以攻擊到自己，那沒辦法，這就是失敗的！這時(shí)你可以請專業(yè)人員來測試，什么像游戲一樣，技術(shù)測試，技術(shù)一測技術(shù)二測技術(shù)三測，內(nèi)部測試，第一次內(nèi)測，第二次內(nèi)測。。所以說游戲都是蛋疼的。無聊的。也可以找一些在線的安全測試，比如360啊，這類的。都有免費(fèi)提供這樣的服務(wù)的。
八、忘說一點(diǎn)，比如說web運(yùn)行指定用戶，數(shù)據(jù)庫指定用戶。但他們都不可以登陸系統(tǒng)，只能讀訪問。等等。。這個(gè)靠思維擴(kuò)散。
九、漏了一點(diǎn)，測試，包括程序服務(wù)器的攻擊測試，最后直接上傳webshell進(jìn)行提權(quán)測試。
十、有條件的可以考慮硬件防火墻，IPS等安全產(chǎn)品。畢竟人家是專業(yè)的。能擋則擋。
------------------------------------------------------------------
煮酒品茶：寫到這里我已經(jīng)無語了，腦力透之了。光打字和想就花了一個(gè)多小時(shí)。但你看看我們的成果，還是很爛。為啥發(fā)散不夠徹底，第八點(diǎn)，我其實(shí)已經(jīng)忘記寫在攻擊預(yù)想中了，沒像我的馬甲一樣跳出這個(gè)思維。為什么會(huì)出現(xiàn)這種情況？我們想想，我們都是針對自己的攻擊方案來防，但攻擊方案丫根就沒有放他到這一步來，理論上是他不可能得到WEB服務(wù)器權(quán)限，但我們看看第七點(diǎn)，未知的，如果你自己的假設(shè)攻擊都有錯(cuò)誤。那么安全就是失敗的。此文就當(dāng)一篇自我反省的文章，以及記錄我想到的攻擊方法。以及實(shí)際經(jīng)驗(yàn)。根據(jù)白帽子一書上寫的兩點(diǎn)
【Secure By Default】以及 【Defense in depth】
去做。真可怕，我又想起一點(diǎn)，密碼安全，密碼規(guī)則。我的天啊。所以這一項(xiàng)工作是長期的堅(jiān)持的努力的，群策群力的。
煮酒品茶：希望有下期吧，下期下點(diǎn)具體實(shí)施方案出來。
最后我還是得感謝我的朋友們對我的幫助，特別是我的師傅，名字還沒經(jīng)過他的同意不方便透露。還有很多思想取自“白帽子講web安全”雖然我還沒看完。
---------------------------------------------------------------------
參考書名：
白帽子講Web安全(阿里巴巴集團(tuán)首席架構(gòu)師、阿里云總裁王堅(jiān)力薦) 作者：吳翰清
幫助文章成長的朋友：Demos

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。