《Mysql必知必会》读书笔记 jar包名中自动添加git commit id PyCharm教学视频学习笔记 《SQL基础教程》简要总结 《设计师要懂心理学》读书笔记 MySQL与MariaDB学习笔记 WDT (Folly) 安装指南 -- CentOS 7 [solved]Page build failed(Jekyll) 数据包过滤及分析实例 tshark tcpdump Scala Tour 学习总结 “Docker容器和容器云”读书笔记(1) “Docker Practice”读书笔记 “图解基础设施设计模式”小结 “图解服务器端网络架构”小结 Python网络安全编程 数据包解析笔记 华为挑战赛(1) DDoS攻击防御与云服务 基于网络回溯分析技术的异常行为分析 “Linux程序设计”小结(进程间通信) C语言编程规范(华为软件精英挑战赛) 2017阿里在线编程题--单源最短路径问题 2017年阿里在线编程题-- 数串分组 Uinx/Linux上的帮助查询命令 你懂C,所以C++不在话下 一篇特别长的总结(C专家编程) 程序员面试金典--笔记(精华篇) C陷阱与缺陷--笔记 半小时搭建电子商务网站--opencart linux网络知识和工具(持续更新) 网卡参数查询及设置工具ethtool 高性能流量生成工具trafgen(DDoS模拟) Linux流量控制工具TC 流量控制工具TC详细说明 tcpdump过滤数据包,结果不对? Lecture 网络攻击与防御技术笔记 gotgit-git权威指南 高效使用MacOS所要知道的 shell内置字符串处理 配置ntp(知其所以然) 360黑客攻防技术分享会--记录 中毒U盘恢复--快捷键病毒 Tor--anonymity network介绍(PPT) IBM bluemix 再读《Linux Shell脚本攻略》 linux shell 学习摘记(9) linux shell 学习摘记(8) linux shell 学习摘记(7) linux shell 学习摘记(6) linux shell 学习摘记(5) linux shell 学习摘记(4) linux shell 学习摘记(3) linux shell 学习摘记(2) linux shell 学习摘记(1) firefox vim 插件 vimperator A Byte of Vim 笔记 windows注册表小知识 安全测试工具篇(开源&商业) 安全及性能测试工具(网站收集) 性能测试工具 屡试不爽的“3个”iPad使用技巧 Shell Shortcuts(和Tab键一样实用) vim--自动添加jekyll post信息头 vim 自动给文件添加头部信息 GitHub Tips (很实用,值得收藏) Linux路由、防火墙、NAT命令

360黑客攻防技术分享会--记录

2016年11月19日

图灵社区, 360黑客攻防技术分享会
技术关键字: XSS, CSRF, WAF, BeEF, CSP

1. 李响《从应急响应看黑客攻击纵深》

360信息安全部 0Kee Team, 擅长Web攻防,运维安全,先主要专注应急响应攻击溯源研究
2014年加顾360,曾在网站检测团队”库带计划“项目工程工作过。

案例

  1. 安全防御平台
  2. shelllog日志
  3. webshell高警
  4. rootkie 系统后门
  5. 溯源应用log工具

Geo info –> whois 查询信息 –> 社工QQ到乌云白帽子

应急响应步骤

  1. 确认漏洞类型?确定业务类型?
    • SQL注入/OS命令注入/弱口令
    • 核心业务/边缘业务/合作业务
  2. 确认机器类型?网络环境类型
    • 核心机器/非核心机器
    • 核心网段/隔离网段
  3. 攻击着做了哪些事?攻击者背景?
    • 检测系统
    • web/log 分析要点
    • shellog & banshlog & webshell 分析要点
    • 调查攻击者身份背景
  4. 时间反思?
    -不足、改进

应急响应中的“坑”: 开发人员、使用者的角度分析

案例解决方案: 攻击反弹

2. 孟之杰《初识前端攻击》

奇舞团高级研发工程师《黑客攻防技术宝典:浏览器实战篇》译者之一

网站的主要攻击方式,以及前端相关的攻击形式

  • XSS
  • CSRF
  • 网络劫持(https–>http)
  • 社会工程学(给一段代码放在)

CSRF: Cross-site request forgery

  1. 微博案例
  2. 非幂等请求使用post
  3. 给表单增加token, 对请求增加refer进行校验

用户环境多样化:浏览器、插件类型版本不同,攻击、防御方法也不同
chrome 相对的做的更多,较firefox激进

3. 王珂、任言《XSS攻击与前端防御》

王珂, 0Kee Team 成员,奇虎360高级安全研究员,前端安全工具“360护心镜”作者,入选BlackHat和Kcon2016兵器谱
wangke-it@360.cn
http://0kee.360.cn/hxj
任言, 毕业于天津大学,0Kee Team成员,擅长渗透测试和Web漏洞挖掘,参与开发”Skywolf”, php灰盒代码审计工具,入选Kcon2016兵器谱

XSS: Cross-site scripting

beef The Browser Exploitation Framework
补天漏洞响应平台 http://butian.360.cn/

网站内的js能做什么: 执行本地命令、读取本地文件等都不行,但是能做很多事情

  • XSS 攻击邮箱,盗取cookie…
  • XSS 新浪微博,蠕虫
  • XSS + CSRF –> GetShell
  • XSS攻击内网,获取内网IP, 存活机器
  • XSS 钓鱼

XSS防御

  • 关键字过滤流量,WAF(web application firewall, 网站应用级入侵防御系统) 网站程序通用防护模块(基础防御、一定要)
  • Http Only
  • CSP 内容安全策略, content security policy, 缓解潜在的跨站脚本问题 – google
  • “360护心镜”–配置、部署灵活,对大部分类型的css起到防护作用,漏洞预警,平台化处理漏洞 –> 开源、有公共平台

知识共享许可协议
SWF's Hacking Dreamonephone 创作,采用 知识共享 署名-非商业性使用 4.0 国际 许可协议进行许可。
© 2011-2018. All rights reserved by onephone. Powerd by Jekyll.