作者：Dafydd Stuttard、 石華耀

暫無簡介

一本改變職業(yè)方向的書籍，陪伴著我走過了五年半時(shí)間。在過去的五年多時(shí)間里，從初次相遇的熱情，再到埋入箱底，再到重新讀過，難免心中再起波瀾。

1、web核心安全問題：用戶可以提交任意輸入

過去五年多時(shí)間，移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展給社會(huì)經(jīng)濟(jì)生活帶來翻天覆地的變化，然而移動(dòng)互聯(lián)網(wǎng)背后的web安全問題依然突出。

雖然大多數(shù)開發(fā)同學(xué)都會(huì)明白需要對用戶輸入進(jìn)行服務(wù)端校驗(yàn)，但是依然存在部分千萬級(jí)、億級(jí)的App對用戶輸入的處理方法不當(dāng)。

輸入處理的方法：

拒絕已知的不良輸入接受已知的正常輸入凈化安全數(shù)據(jù)處理語法檢查2、影響web安全的關(guān)鍵問題因素

對于web/移動(dòng)app而言，影響web/移動(dòng)app安全的原因是相近的。web安全的主要影響原因包括：

不成熟的安全意識(shí)獨(dú)立開發(fā)欺騙性的簡化迅速發(fā)展的威脅形式資源與時(shí)間限制技術(shù)上強(qiáng)其所難對功能需求的不斷增強(qiáng)3、處理用戶訪問

處理用戶訪問主要從身份認(rèn)證、會(huì)話管理、訪問控制三方面入手，根據(jù)過去開發(fā)、測試的經(jīng)驗(yàn)，這三部分通常存在非常嚴(yán)重的安全問題。

4、避開客戶端控件

避開客戶端控件最簡單的方法就是抓包，直接攔截web、app的網(wǎng)絡(luò)請求，修改請求參數(shù)、響應(yīng)內(nèi)容便可。

但是目前已有部分移動(dòng)app通過檢查網(wǎng)絡(luò)環(huán)境、證書，不能抓取app的http請求，但是在開發(fā)、測試過程中還是可以通過調(diào)整打包策略，滿足開發(fā)測試的需求。

5、攻擊驗(yàn)證機(jī)制

目前常見的驗(yàn)證機(jī)制密碼驗(yàn)證、短信驗(yàn)證碼驗(yàn)證、openauth驗(yàn)證。

在短信驗(yàn)證碼驗(yàn)證過程中存在蠻力攻擊的可能性極大。

密碼保密性不強(qiáng)結(jié)合社交工程，蠻力攻擊造成的影響愈來愈大多數(shù)app依然顯示詳細(xì)的登錄失敗信息證書明文傳輸依然存在密碼修改過程中僅使用單因素驗(yàn)證可預(yù)測的用戶名，用戶ID在商品評(píng)論中隨處可見，不用枚舉，直接用爬蟲吧證書分配不安全，直接發(fā)短信將明文密碼發(fā)到用戶智能手機(jī)中（android用戶手機(jī)中讀取短信的權(quán)限授權(quán)太多）可預(yù)測的初始密碼，直接百度搜索某某網(wǎng)站的默認(rèn)密碼

常見缺陷：

故障開放登錄機(jī)制多階段登錄機(jī)制中存在邏輯缺陷不安全的證書存儲(chǔ)，明文傳輸、日志未模糊處理、使用md5/sha1加密未加salt在實(shí)際工作過程中使用加密傳輸?shù)拿艽a也存在密碼回放的風(fēng)險(xiǎn)。

6、攻擊會(huì)話管理

會(huì)話挾持的問題司空見慣

7、攻擊訪問控制

包括垂直訪問控制、水平訪問控制、上下文相關(guān)的訪問控制。

越權(quán)訪問漏洞也非常常見，部分系統(tǒng)將該部分核心功能交給無訪問控制開發(fā)經(jīng)驗(yàn)的人來設(shè)計(jì)，從一開始便陷入錯(cuò)誤的陷阱。

8、代碼注入

主要在解釋型語言中發(fā)生，解釋型語言包括sql、ldap、perl、php。

9、server端組件

常見問題包括注入操作系統(tǒng)命令、路徑遍歷漏洞等

10、邏輯漏洞

通常是設(shè)計(jì)者或開發(fā)者在思考過程中作出的特殊假設(shè)存在明顯或隱含的錯(cuò)誤?？梢躁P(guān)注專注模式的特點(diǎn)、程序員的思考方式。避免邏輯漏洞的方法：

確保將應(yīng)用程序各方面的設(shè)計(jì)信息清楚、詳細(xì)的記錄到文檔中。清楚的源代碼注釋在以安全為中心的應(yīng)用程序設(shè)計(jì)審核中，考慮設(shè)計(jì)過程中的每一假設(shè)，并想象假設(shè)被違背的每種場景。代碼審核需考慮程序如何處理用戶反常行為和輸入；代碼審核過程中不同代碼組件與應(yīng)用功能之間的相互依賴、互操作可能造成的不利影響。

11、XSS漏洞

包括反射型XSS漏洞、保存型XSS漏洞、基于DOM的XSS漏洞。

其中反射型XSS漏洞對于目前最新的瀏覽器chrome、firefox、IE11、safari、edge，都會(huì)被瀏覽器攔截。

12、偽造請求

包括本站點(diǎn)請求偽造（OSRF漏洞）、跨站點(diǎn)請求偽造（CSRF漏洞）

13、模糊測試

手工測試太慢，運(yùn)用定制化測試工具、腳本，生成大量包括常見攻擊字符串的請求，根據(jù)服務(wù)器響應(yīng)快速確定問題。

書中知識(shí)非常豐富，歡迎各位朋友一起學(xué)習(xí)分享。