论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 46 篇帖子 ]  前往页数 上一页  1, 2, 3, 4  下一页
作者 内容
 文章标题 :
帖子发表于 : 2010-02-11 18:52 
离线
版主

注册: 2005-03-05 09:28
最近: 2015-07-18 20:44
拥有: 4,166.30 安全币

奖励: 620 安全币
在线: 4182 点
帖子: 310
superhei 写道:
哎,不想和你做无谓的口舌之争,我想你也没有认真看我的说的东西 就急急忙忙回贴了

而且还有玩文字游戏的嫌疑。

主要的问题是你的论定是建立在你自己的知识水平上的,你不知道的事情或者技术还很多,不要以你自己的水平来衡量别人的水平

你自己想想把为什么大公司每年都投资那么人力财力在安全上面,但是还是那么屡报漏洞呢?

我说的那些都是有技术根据的,我想这个论坛里还是有人知道一些的....


顶。superhei是国内web安全研究领域的领先者之一。LaurelW做为晚辈应该多听从一些前辈的经验指导和建议,这对你计划进入安全行业是很有好处的。技术方面人外有人,山外有山,千万不可以为自己所识知的就是一切就是正确的。


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-11 19:18 
离线
高级用户

注册: 2010-02-10 23:52
最近: 2013-03-10 00:00
拥有: 2,980.00 安全币

奖励: 745 安全币
在线: 4069 点
帖子: 263
非常荣幸能得到superhei的指教:)


的确我的言论是建立在我技术水平的基础上,我也只是个没入门的新手而已,所以也不必太过于跟我计较啦,嘿嘿!


回到顶部
  用户资料  
 
 文章标题 : Re:
帖子发表于 : 2010-05-20 15:26 
离线
新手

注册: 2009-12-18 09:58
最近: 2013-06-06 13:38
拥有: 103.00 安全币

奖励: 34 安全币
在线: 248 点
帖子: 12
gumphui 写道:
网路游侠 写道:
相对而言,最大的一些问题

跨站、注入、应用程序或者系统的漏洞

用IPS或者WAF能解决多数

比如注入和跨站,虽然有问题

但是ips和waf都能检测到

一些网页木马的操作也能检测并阻断

还算好…… 呵呵


我没有用过WAF,这玩意儿到底有多大用处啊,我是有几点疑问:
对于一个HTTP请求,WAF是对包头进行侦测,还是对整个包进行侦测?
因为很多恶意代码不是在URL的参数中,而是在POST请求的参数里面。而对于flex结构的Web应用程序,请求的body内容有的时候是AMF格式的,现有的WAF能够解析吗。
对于使用HTTPS协议的Web应用,WAF如何解析请求包。
对于1' or '1'='1这种SQL注入的脚本,WAF如何进行模式匹配,过滤or,还是过滤单引号,如果这样的话,误报率会不会很大。
WAF本身有没有做好安全工作,因为国外某些过滤URL的产品中曾经爆出缓冲区溢出的漏洞,造成了用这个产品的网站反而成了容易被攻击的对象。最近的实例,也可以参考綠霸,使用了精心构造的URL可以造成缓冲区溢出。
大家有没有WAF的介绍文档,参考一下,最好是原理性的。


发表一点个人拙见,不完全正确,有错误之处还请牛人指出。

对于一个HTTP请求,WAF是对包头进行侦测,还是对整个包进行侦测?
一般来说WAF解析此类请求分三种方式检测,1:GET方式检测,只检测url部分内容,2:POST方式检测,会检测整个payload部分内容。3:cookie方式检测,会检测数据包的cookie部分内容。

因为很多恶意代码不是在URL的参数中,而是在POST请求的参数里面。而对于flex结构的Web应用程序,请求的body内容有的时候是AMF格式的,现有的WAF能够解析吗。
因为AMF是采用二进制压缩,序列化、反序列化、传输数据,所以最好decoder部分进行解包处理,这样签名部分就不需要更改规则了。

对于使用HTTPS协议的Web应用,WAF如何解析请求包。
因为https采用40 位关键字作为RC4流加密算法,目前为止解析此类请求包还是有点难度的。

对于1' or '1'='1这种SQL注入的脚本,WAF如何进行模式匹配,过滤or,还是过滤单引号,如果这样的话,误报率会不会很大。
此类SQL注入脚本,一般会用正则来匹配,如,or\s+((\'[\w\s]+\')|\b(\d+)\b)\s*(=|like)\s*等等。尽可能减少误报。


--------本帖迄今已累计获得48安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 关于SQL注入漏洞和跨站点攻击漏洞看法
帖子发表于 : 2010-05-20 15:32 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,375.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
其实,很多人都说IPS和WAF一样
这样的话一般都是从卖IPS的人口中说出来的

实际上看看性能吧,IPS多少了?WAF呢?

所以,在对WEB过滤方面,更建议选择WAF

一些细粒度的控制,WAF比IPS更有优势


--------本帖迄今已累计获得36安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 关于SQL注入漏洞和跨站点攻击漏洞看法
帖子发表于 : 2010-05-23 17:28 
离线
顶级用户

注册: 2008-11-02 00:15
最近: 2014-11-27 11:17
拥有: 2,591.30 安全币

奖励: 4429 安全币
在线: 1611 点
帖子: 791
地址: 铱迅WAF
铱迅Web应用防火墙,采用内核级驱动技术,在操作系统获取网络数据包前,对数据包进行深度检查,精确辨别正常用户访问与恶意攻击,对恶意攻击的数据包进行过滤,达到保护Web服务器的作用。
核心检测引擎采用四层技术:

l “零拷贝”对数据编码解析,全面支持unicode与ASCII编码

l 采用快速关键词匹配技术,高速匹配

l 采用正则匹配技术,精确匹配

l 采用数据虚拟执行技术,智能匹配

给个简单的介绍,希望大家对WAF加深理解。


回到顶部
  用户资料  
 
 文章标题 : Re: 关于SQL注入漏洞和跨站点攻击漏洞看法
帖子发表于 : 2010-05-23 21:02 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2015-10-28 10:36
拥有: 24,445.80 安全币

奖励: 24026 安全币
在线: 12978 点
帖子: 1843
地址: 北京
WAF对于一些HTTPS的应用 肯定做不到内容分析 需要精心考虑其部署位置 多数情况下还需要增加网络设备 调整网络结构


回到顶部
  用户资料  
 
 文章标题 : Re: 关于SQL注入漏洞和跨站点攻击漏洞看法
帖子发表于 : 2010-06-02 10:21 
离线
中级用户

注册: 2010-06-01 09:54
最近: 2010-08-05 15:26
拥有: 156.00 安全币

奖励: 152 安全币
在线: 0 点
帖子: 86
SQL注入可以用半自动工具和全自动工具会更得心应手。


回到顶部
  用户资料  
 
 文章标题 : Re: 从根源做起才是最安全的
帖子发表于 : 2010-06-19 20:44 
离线
中级用户

注册: 2009-12-15 14:52
最近: 2014-08-19 10:00
拥有: 641.00 安全币

奖励: 20 安全币
在线: 789 点
帖子: 95
地址: 成都
beatyouman 写道:
我想从根源做起是最安全的。
比如:
我的银行帐户里面就100元,黑客门都知道我的帐户号码,但是他难花心思来搞这么点钱;
如果我的帐户里有100万元,就算我用了指纹、密码器、口令牌,等等十层封锁,都无法阻止黑客门想去搞这笔钱。

如果黑客们发现你的代码编写没有任何问题,那他会直接走的。不用你加几十万的应用防火墙,再加网页防篡改软件等等。

人没病就不用吃药,我的意见,请大家指导。



100元是资产,100万元也是资产,黑客关心的是资产,黑客会充分利用你的脆弱性(如代码)来达到攻击目的,即使你的代码编写近乎完美,可是黑客你的网站(既你的资产)感兴趣还是会想尽各种办法来攻击(如社会工程学,邮件病毒),Microsoft网站的代码应该很健壮,可是为什么还是黑客感兴趣呢?
当然不可否认,对代码健壮性检查是保证安全的必要措施!


回到顶部
  用户资料  
 
 文章标题 : Re: 关于SQL注入漏洞和跨站点攻击漏洞看法
帖子发表于 : 2010-07-28 22:36 
离线
初级用户

注册: 2008-07-24 15:05
最近: 2012-01-31 15:16
拥有: 337.70 安全币

奖励: 6 安全币
在线: 103 点
帖子: 20
哪有绝对安全的应用,再牛逼的程序员也有打盹的时候,即使应用相对安全,也保证不了其他服务没有问题,哪怕是再小的服务,再说了我们还用着windows呢。安全基础设施永远需要的。


--------本帖迄今已累计获得28安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 关于SQL注入漏洞和跨站点攻击漏洞看法
帖子发表于 : 2010-07-29 09:13 
离线
超级用户

注册: 2007-11-26 09:58
最近: 2011-12-29 22:24
拥有: 2,890.00 安全币

奖励: 577 安全币
在线: 1 点
帖子: 322
1、定期评估和加固;
2、固化变更过程中的安全方式;
3、聘请第三方顾问公司;
4、加强信息安全的整体化工程。


回到顶部
  用户资料  
 
 文章标题 : Re: 关于SQL注入漏洞和跨站点攻击漏洞看法
帖子发表于 : 2010-07-29 10:39 
离线
初级用户

注册: 2006-08-17 16:21
最近: 2015-11-18 16:21
拥有: 420.00 安全币

奖励: 5 安全币
在线: 798 点
帖子: 36
走的人多了便成了路
确实SQL注入和跨站脚本是近两年WEB中的主要漏洞,网上攻击方法和解决方案也很多。
毕竟,漏洞这东西也是发展的,“道高一尺,魔高一丈”吗。
但是作为用户:
1、在边界,部署防扫描探测的措施和设备,在IPS设置一些关键字过滤确实能大幅度的降低被攻击成功的概率,比较快捷和实用。
2、如果有可能的话,加固代码;
3、将连接数据库的用户权限尽可能调低,减小被攻击成功后的风险。
4、加强监控。
5、。。。。。


--------本帖迄今已累计获得28安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 关于SQL注入漏洞和跨站点攻击漏洞看法
帖子发表于 : 2010-08-14 17:12 
离线
新手

注册: 2010-08-14 16:33
最近: 2011-06-27 23:04
拥有: 0.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 13
SQL注入一直是一个让人头疼的问题。,网上关于这方面的资料也最多,不过也没有绝对的防止方法


回到顶部
  用户资料  
 
 文章标题 : Re: 关于SQL注入漏洞和跨站点攻击漏洞看法
帖子发表于 : 2010-08-15 20:51 
离线
顶级用户

注册: 2010-02-26 10:11
最近: 2017-08-17 14:51
拥有: 3,982.00 安全币

奖励: 0 安全币
在线: 1811 点
帖子: 1159
目前大家对注入已经引起了关注,但对跨站还是没有足够的重视,特别是跨站不是对网站本身产生损害,而是利用人们的信任来获取人们的财富,这比注入更严重,而且目前也已经超过注入,成为当前最严重的问题了。


回到顶部
  用户资料  
 
 文章标题 : Re: 关于SQL注入漏洞和跨站点攻击漏洞看法
帖子发表于 : 2010-08-17 20:08 
离线
新手

注册: 2010-01-28 06:25
最近: 2011-08-03 09:50
拥有: 29.00 安全币

奖励: 0 安全币
在线: 7 点
帖子: 3
最大的风险是业务风险。如果你的产品没有太多的价值,再多的XSS都没有人来折腾;如果你的产品非常有价值,我付出的成本远远小于我的收益,我会想尽一切办法来折腾。

现在很多程序员根本不验证输入,什么东西都直接拿来用,怎么可能没有安全的问题嘛。

验证用户的输入,使用参数化的查询,不要拼接SQL Statement。。。。


--------本帖迄今已累计获得29安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 关于SQL注入漏洞和跨站点攻击漏洞看法
帖子发表于 : 2010-09-03 14:44 
离线
中级用户

注册: 2008-07-25 10:45
最近: 2014-12-25 12:54
拥有: 536.50 安全币

奖励: 112 安全币
在线: 518 点
帖子: 79
没有什么办法是能完全消除这些漏洞的,而且这些漏洞的存在也不是绝对的不安全。一切取决于你的资产需要得到什么程度的保护。
就现在的手段来说,制订有效的代码开发规范、采取代码安全审核工具、加WAF之类的应用层安全设备,基本能够保证这些漏洞不能轻松的被人利用。至于每个手段是否采用以及做到什么程度,取决于自唱需要保护到什么程度。这样把思路理清了,具体怎么做就不会那么乱了,参考owasp有很多现成的规范来做,不是很困难的


--------本帖迄今已累计获得29安全币用户奖励--------


回到顶部
  用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 46 篇帖子 ]  前往页数 上一页  1, 2, 3, 4  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012