09 常见的安全事件
（1）钓鱼 phishing
网站域名 不同
qq密码保护钓鱼系统
欺骗性邮件和伪造的web站点，骗取信息

（2）“篡改”网页
关键字 Hacked by
搜索引擎
intitle:keyword 标题中含有关键字的网页
intext:keyword 正文中含有关键字的网页
site:domain 在某个域名下和子域名下的网页
炫耀技术和政治行为

（3）“暗链” hidden hyperlinks
73%植入暗链
提高网站排名，这些被植入的网站将排在最前面
不是为人准备的而是为爬虫机器人准备的

（4）.Webshell 传送门
大码:目录、账号、组件、命令执行
小码:一句话木马
网页 功能强大 asp/php/jsp 后门程序

web安全
客户端：XSS CSRF 点击劫持 url跳转
服务器：SQL注入 命令注入 文件操作类

10.XSS
跨站脚本 盗取用户信息
插入恶意脚本，使其触发
谁偷了我的钥匙 cookie盗用

类型
存储型 反射型 dom型

（1）存储型
1.xss脚本保存在数据库中
2.访问了携带XSS脚本的页面，触发XSS
输出者：后端web程序
输出位置：响应页面

（2）反射型—主动访问携带XSS的脚本链接
原理：
xss脚本链接 请求数据 解析请求 触发xss
输出者：后端web程序
输出位置：响应页面

（3）DOM型
dom based XSS
主动访问带有xss脚本的链接
输出者：前端JS
输出位置在：动态构造的DOM节点中

11.CSRF 用户主动访问页面
“谁动 了我的奶酪”
cross-site request forgery
跨站网站请求伪造
危害：自动执行非法操作

原理：利用已登录的身份，构造恶意网页（其中函数调用使其自动进行相关操作），进入到该恶意网站后，在用户不清楚的情况下执行非法操作。
------iframe嵌入跳转

12.点击劫持
套娃—内部不可见
iframe：创建一个包含另外一个文档的内联框架

通过覆盖不可见的框架误导受害者点击而造成的攻击行为
特点：
隐蔽性高
骗取用户操作
UI 覆盖攻击
利用iframe或其他标签

构造过程
1.插入一张图片
2.插入一个iframe框架
3.对iframe进行调整使其与之对应以及不可见

13.URL跳转
比如：www.baidu.com&url=/www.baiduxyakcjan.com
通过访问带有迷惑性（含有跳转操作的）URL使其跳转到不同页面

实现方式：
1.Header头跳转 php页面
2.Javascript跳转 js内
3.META标签跳转

应用过程
构造恶意链接
主动访问web
解析后跳转
（详细实现过程）

14.SQL注入
万能密码 admin’ –
注释符号完成注入

过程（原理）：
1.获取用户请求参数
2.拼接到代码中
3.SQL语句按照我们构造参数的语义执行

必备条件
1.数据可控
2.可拼接
实质：数据和代码未分离 数据成了代码
利用方法：查看库内信息
危害：
获取数据库权限
植入webshell
读取服务器敏感文件
万能密码

15.命令注入（四个注入场景）
针对dos命令
ipconfig/all release renew flushdns
net user 查看系统用户
dir “./” 查看当前目录
find “hello” ./test.txt 查找字符串

复合命令
& 拼接
| 管道

传圣旨
web应用命令注入条件
1.调用可执行系统命令的函数
2.函数或函数的参数可控
3.拼接注入命令

php执行命令
参数不可控：
从参数中获取type值
执行对应操作
输出命令结果
参数可控：
注入命令 利用分隔符进行注入
www.xx.com“ & dir ”./

攻击过程：
构造 拼接 回显

url中&是需要用%26代替才能执行

16.文件漏洞分析
常见文件操作
文件上传漏洞
1.上传Webshell
2.上传木马
条件（文件处理不当）：
1.可上传执行脚本
2.脚本拥有执行权限

文件下载漏洞
1.下载系统任意文件
2.下载程序代码
条件（文字处理不当）：
更改url中的后缀php/aspx/jsp

文件包含漏洞（include require once）
1.本地文件包含
2.远程文件包含
条件：（文件处理不当）
用户上传的恶意文件或远程文件

必须打开远程功能才能测试2
allow_url_fopen =On
include=On

漏洞利用
攻击 webshell
攻击 利用代码
文件包含

17.代理工具实战基础
什么是插件 插件能干什么
firebug F12
网络数据包
网络功能
查看请求和响应数据包的具体内容
查看页面元素

hackBar
快速构造HTTP请求及多种编码变换的功能
进制转换
多种变换算法
load URL 复制浏览器地址栏URL
split URL分离URL参数
Post data构造post方式的参数
Referrer 构造HTTP数据的referrer字段

cookie manager
XSS获取的凭证用此来解析
查询、添加、删除Cookie的功能
为连接器提供快速修改

18.代理工具介绍
Proxy Switcher
代理工具就相当于与收费站
浏览器代理设置
选项 – 网络
手动配置代理

manual 开启代理
charles抓包

常用http代理工具
burpsuite
代理抓包 还能 安全防护
repeater 脚本
Charles
基于java环境，跨平台；代理抓包 功能细致
配置 监听端口即可执行
fiddler （windows下运行）
配置：tools中设置监听端口

19、漏洞扫描工具
综合性Web漏洞扫描器
界面介绍
AWVS

Netsparker
AppScan

扫描流程
配置 --爬虫 --漏洞探测–显示
后三个并行操作

1.注意事项
（1）对目标站点的误伤
（2）漏扫的盲区：逻辑漏洞
2.漏洞评级
技术角度+业务角度
3.结果的解读和运用
（1）手工调整
（2）误报 或 漏报
（3）只要有信息就可以利用

20.SQL注入漏洞测试入门
Sqlmap— python 2.7
SQL注入
代码拼接 获取数据库信息
工具：sqlmap
流程：
1.找到有数据交互的功能页面
2.判断页面是否存在sql注入
3.利用SQL注入漏洞读取数据
4.导出
自动获取注入点 获取表单

sqlmap常用语法
python sqlmap.py -u “目标URL”
‘artist’ is vulnerable 表示可注入
-单个字母
–单词

3.实战

GET请求
python sqlmap.py -u “目标URL” ++以下
–user
–dbs
–current-user --current-db
–tables -D “xx”查看XX数据库的表信息
–columns -T “目标表” -D “目标数据库”
查看目标数据库下目标表的内容
–count -T ”目标表“ -D ”目标数据库“
查看这个表中有多少条数据
–dump -T “” -D “”
读取数据
–dump -T “” -D “” --start 2- --stop 3
从第二条读到第三条

–dump-all -D “目标数据库名称”
下载目标数据库中所有表内容

POST请求
–data=“pass=xxx” ++前面命令
检查注入点

21.敏感文件探测入门
常见敏感文件类型：
1.网站管理员后台
2.数据文件
3.备份文件
4.webshell

敏感文件探测原理
猜测文件名，根据返回的http状态码判断文件是否存在

”御剑“
1.添加目的站点
2.选择判断策略
3.双击选择所需字典
4.开始扫描

提升：改进字典
1.先判断网站index类型asp、php、aspx、jsp
2.选择对应字典和构造一份针对性字典

22.在线工具详解
搜索引擎语法 高级搜索
Google hack
site：指定站点
inurl：指定字符串
组合也ok
intitle
intext
filetype

网络空间搜索
shondam
zoomey
基本原理：
原理：探测/爬取 识别/打标签

在线web工具
www.cmd5.com
www.ipip.com
安全圈
站点之家

23.https工作原理
出现过程：
http全程明文传输
明文 — 密文·
对称加密 每个人都需要一套钥匙
非对称加密
对比
安全性
速度
密钥数量

所以数据传输采用对称加密
对称加密的密钥通过非对称加密算法进行解密
用户用的这个对称密钥每个都不同吗？
—服务器的公钥

复杂情况
如何辨别此公钥是淘宝的

CA可信机构
SSL + HTTP==https
https解密
解决公司不知道https加密数据包问题

SSL中间人解密 （AC）
客户端----AC(SSL 服务端和客户端)–服务器
缺点:会显示不安全

无感知SSL解密
准入插件，截取证书
缺点：需要提前安装插件

对比
解密方式 替换 截取
部署方式 网关、网桥 网关桥、旁路
安装条件 用户安装证书 用户安装准入插件

支持流量 小 小

25.DDOS攻击
攻击网络带宽资源
放大攻击
攻击系统资源
攻击应用资源

流量清洗服务

26.ddos
局域网环境下 ARP内网环境下
广域网环境下 DDOS外网环境
拒绝服务攻击 现象:卡
用于攻击服务器
机房环境下 IDC = Internet data center
数据中心环境下
几百G流量攻击过来---- 殃及池鱼
进不去

1.数据从哪里来？
来源–僵尸网络–被控制的电脑，肉鸡
黑客 卖给 安全公司
不能被封杀— 源太多

2.如何防御的？
1.网线拔掉 也不行-路由—运营商分配的
只要发这个段 运营商都发过来
2.上防火墙 ddos
作用不明显 出口带宽被占用
3.封IP 运营商只要到百度ip的数据直接封杀
—但百度不能访问 其他可以访问

3.行业里怎么做的？
你有一个服务器 在阿里云ECS虚拟化服务器
P2P金融 安全提高
5G抗DDOS—超过5G黑洞模式

购买SLB服务 多线路热备份
6–10之间安全的
高防抗DDOS IP
安全设备上下游 | 数据中心 --机房
抗DDOS服务 – 阿里云 – 1分钟
关你两个小时黑洞模式
总结:抗DDOS服务 – 没有绝对见效 相对减缓
根本抗击DDOS关键

流量超标 == 马上提醒 短信提醒

28.边界安全设备的前身今生
七层模型
传统防火墙（包过滤防火墙）
一个严格的规则表
五元组
（数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口）
工作范围：网络层、传输层（3-4层）
区别与路由器：
决定路径外还需要判断permit and deny
技术应用：包过滤技术
优势：小型站点易于实现，处理速度快，价格便宜
劣势：规则表很快变得庞大复杂难运维

传统防火墙（应用代理防火墙）–每个应用添加代理
判断：应用层的信息包
工作在第七层 应用层
和包过滤区别：
包过滤检验报头进行规则匹配 工作基于34层
应用代理防火墙7层，检查信息包，每个应用需要添加对应的代理服务
技术应用：应用代理技术
优势：检查了应用层的数据
缺点：慢，难，伸缩差

传统（状态检查防火墙）
首次检查建立会话表
判断信息：ip地址、端口号、TCP标记
工作范围2-4层
是包过滤的升级，一次检查建立会话表，后期直接按会话表放行
缺点：未对应用层检查，数据不知道是否安全

入侵检测系统（IDS）
部署方式：旁路部署，可多点部署
工作范围2-7层
工作特点：监控操作 像一个摄像头
目的：让管理员知道发生了什么

组成：
1.探测器：收集信息
2.分析器：
基于规则检查
基于异常检查
统计模型分析呈现
3.用户接口

入侵防御系统（IPS）
工作范围2-7层
部署方式：串联部署
工作特点：根据已知威胁生成的规则，匹配进行阻断，不匹配就放通
目的：防御已知威胁

**防病毒网关（AV）**基于网络侧识别病毒
判断信息：数据包
工作范围2-7层
目的：防病毒进入
将数据包还原成文件进行检测

传统：
MAD5值匹配
病毒特征码
规则匹配

web应用防火墙（WAF）--专门用来保护web应用
判断信息：http协议数据的request和response
工作在第七层
目的：防止基于应用层的攻击影响Web应用系统
主要技术
1.代理服务：对于ddos可以抑制
2.特征识别：正则表达式识别
3.算法识别：针对攻击方式模式化识别，比如SQL XSS DDOS

统一威胁管理（UTM–多合一的安全网关）
包含：2004 FW IDS IPS AV
缺点：只是多种设备的串联，
多次拆包多次检测，应用层性能低

优点：降低成本，人力成本、时间成本

下一代防火墙（NGFW）–升级版的UTM
功能：FW、IDS\IPS\AV\WAF
并行处理，性能更强，管理更高效