thc-ssl-dos
- SSL協(xié)商加密對(duì)性能開銷增加,大量握手請(qǐng)求會(huì)導(dǎo)致拒絕服務(wù)
- 利用SSL secure Renegotiation特性,在單一TCP連接中生成數(shù)千個(gè)SSL重連接請(qǐng)求,造成服務(wù)器資源過載
- 與流量式拒絕服務(wù)攻擊不同,thc-ssl-dos可以利用dls線路打垮30G帶寬的服務(wù)器
- 服務(wù)器平均可以處理300次/秒SSL握手請(qǐng)求
- 對(duì)SMTPS、POP3S等服務(wù)同樣有效
- thc-ssl-dos 【IP】 2083 --accept
對(duì)策
- 禁用SSL-Renegotiation,使用SSL Accelerator
- 通過修改thc-ssl-dos代碼,可以繞過以上對(duì)策
概念補(bǔ)充
AJAX
- Asynchronous JAVAscript and XML
- 是一個(gè)概念,而非一種新的編程語言,是一組現(xiàn)有技術(shù)的組合
- 通過客戶端腳本動(dòng)態(tài)更新頁面部分內(nèi)容,而非整個(gè)頁面
- 降低帶寬使用,提供速度
- 提升用戶體驗(yàn)
- 后臺(tái)異步訪問
AJAX組件
- JavaScript:ajax的核心組件,使用XMLHTTPRequest 對(duì)象接口向服務(wù)器發(fā)起請(qǐng)求,接收并處理服務(wù)器響應(yīng)數(shù)據(jù);
Dynamic html(DHTML)
- 早于AJAX出現(xiàn),通過JavaScript、css等在客戶端修改HTML頁面element,缺點(diǎn)是完成依賴客戶端代碼修改頁面,與服務(wù)器的交互由JavaScript Applets完成,AJAX的XHR彌補(bǔ)了他的缺點(diǎn)(注冊(cè)用戶)
Document Object Model (DOM)
- 處理HTML、XML文檔對(duì)象的框架,DTHML是一個(gè)瀏覽器,DOM作為其一個(gè)實(shí)現(xiàn)的接口,定義和管理每個(gè)頁面元素obj的Properties、method、event
基于AJAX的WEB應(yīng)用工作流程
- XMLHTTPRequest API創(chuàng)建對(duì)象xmlhttp進(jìn)行訪問
- Xml、json、html、文本、圖片
- 多個(gè)異步請(qǐng)求獨(dú)立通信,互不依賴
- AJAX框架
-
- JQuery
- Dojo Toolkit
- google Web Toolkit (GWT)
- Microsoft AJAX library
- 目前沒有通用的AJAX安全最佳實(shí)踐,其攻擊面不為大多數(shù)人所知
- AJAX的安全問題
-
- 多種技術(shù)混合,增加了攻擊面,每個(gè)參數(shù)都可能形成獨(dú)立的攻擊過程
- AJAX引擎是個(gè)權(quán)功能的腳本解釋器,訪問惡意站點(diǎn)可能后果嚴(yán)重,雖然瀏覽器由沙箱和SOP,但可被繞過;
- 服務(wù)器、客戶端代碼結(jié)合使用產(chǎn)生混亂,服務(wù)器訪問控制不當(dāng),將信息泄露
- 暴露應(yīng)用程序邏輯
AJAX對(duì)滲透測(cè)試的挑戰(zhàn)
- 異步請(qǐng)求數(shù)量多且隱蔽
- 初發(fā)AJAX請(qǐng)求的條件無規(guī)律
- 手動(dòng)和截?cái)啻砼谰W(wǎng)可能產(chǎn)生大量遺漏
- AJAX爬網(wǎng)工具使用ZAP
- 客戶端代碼審計(jì)
-
- 源碼
- Firebug
Web Service
- 面向服務(wù)的架構(gòu)(service oriented architecture)便于不同系統(tǒng)集成共享數(shù)據(jù)和功能
- 尤其適合不想暴露數(shù)據(jù)模型和程序邏輯而訪問數(shù)據(jù)的場(chǎng)景
- 無頁面
兩種類型的WEB Service
- Simple object access protocol (SOAP)
-
- 傳統(tǒng)的Web service 開發(fā)方法,xml是唯一的數(shù)據(jù)交換格式
- 要求安全性的應(yīng)用更多采用
- RESTful(Representational State Transfer architecture——REST)
-
- 目前更多被采用的輕量web service ,JSON是首選數(shù)據(jù)交換格式
WEB Service安全考慮
- 使用API key或session token實(shí)現(xiàn)和跟蹤身份認(rèn)證
- 身份認(rèn)證由服務(wù)器完成,而非客戶端
- API key,用戶名,session token永遠(yuǎn)不要通過URL發(fā)送
- RESTful默認(rèn)不提供任何安全機(jī)制,需要使用SSL/TLS保護(hù)傳輸數(shù)據(jù)安全
- SOAP提供強(qiáng)于HTTPS的WS-security機(jī)制
- 使用OAuth或Hmac繼續(xù)身份驗(yàn)證,HMAC身份認(rèn)證使用C/S共享的密鑰加密API KEY
- RESTful應(yīng)只允許身份認(rèn)證用戶使用PUT、DELETE方法
- 使用隨機(jī)token防止CSRF攻擊
- 對(duì)用戶提交參數(shù)過濾,建議部署基于嚴(yán)格白名單的方法
- 報(bào)錯(cuò)信息消毒
- 直接對(duì)象引用應(yīng)嚴(yán)格身份驗(yàn)證(電商公司以ID作為主索引)
