一點乾貨：Web菜鳥的ISC之旅

距離ISC已經有點久了，這段時間都用來把參會經歷曬曬，如今感受差很少曬乾了，因此仍是總結下在此次大會中看到、聽到、學到關於安全相關的一點見聞，儘可能乾貨。對此次大會的感受呢，主要由於會議面向羣體覆蓋面很廣，議題也不少，做爲一個學習技術的菜鳥，興趣點比較少，因此以爲總體技術乾貨仍是比較少，不少議題一看是「業務拓展經理」、「高級產品經理」等領導來說，就知道不是講技術的，讓人昏昏欲睡。長話短說。

一、IoT

IoT：Internet of Things ,萬物互聯；

互聯網時代從「PC互聯網」到「手機互聯網」再到「IoT萬物互聯」；好比如今的各類智能手錶，智能眼鏡，智能電視，那麼不遠的將來，咱們的電燈甚至都內置了cpu，能夠直接接入互聯網。

而咱們客戶端的安全呢，也從「電腦衛士」，到「手機衛士」，到了萬物互聯的時候，不可能給每一個智能硬件都作個衛士，那就統一在出入口管理，因此有了如今的智能路由器，能夠在路由器上部署「家居衛士」。

周鴻禕說，到了IoT時代，也就到了從新發明輪子的時代，其實這點看360的產品頁也就有所感覺了：

二、大數據時代的用戶隱私保護

關於這一點呢，周鴻禕提出了3點「大數據安全準則」

1）信息是用戶的我的資產；

2）安全傳輸，安全存儲；

3）平等交換，受權使用；

聽說360某發言人在一個分論壇展現用戶數據的時候，就有人提問說「大家這樣用數據符合周董提議的安全準則嗎」，結果固然就不了了之。

隨着安全意識的提升，斯洛登，豔照門等事件的發生，對普通用戶來講，隱私問題愈來愈重視，可是估計如今沒有哪家公司能作到毫不收集和存儲涉及用戶隱私的行爲信息。因此說，如今的互聯網時代，對咱們來講，能夠說是一個無處藏身的時代，且行且珍惜。

三、2013年日本、美國、中國信息安全投資分佈

日本：安全硬件：5%      安全軟件：24%    安全服務：71%

美國：安全硬件：15%      安全軟件：41%    安全服務：44%

中國：安全硬件：51%      安全軟件：23%    安全服務：26%

由此能夠看出，中國和發達國家在信息安全領域的「意識差距」，可能從事相關信息安全工做的人也能感覺到，向企事業單位，尤爲是政府單位提供安全設備和服務的時候，他們很看輕軟件和服務，而看重硬件，感受具體的設備是實打實的，擺在那裏感受就有說服力，好像硬件就能就說明他們在信息安全方便確實作了工做和努力。好比，一套軟件的防禦系統，賣1萬，他們就很不情願，說你一個軟件值什麼錢，可若是銷售方再搭配個定製的計算機，賣20萬他們都能接受..........每次想到這裏，心頭萬馬奔騰。

其實說實話，軟件每每是研發人員的智慧結晶，而服務，背後對應的是信息安全人才。在信息安全領域，人才纔是最貴的。不少單位買回去的設備，因爲沒有專業人員維護，每每處於閒置狀態，或者就是串接到網絡中，默認設置一點沒改，安全功能只有默認開啓的開了，出了問題也不曉得怎麼解決。而一旦你有了專業技術人員的支持，即便是普通的設備，也能經過配置發揮出相應的安全功能。因此，對「安全服務」和「安全軟件」的重視，真正表現的是對安全人才的重視。

四、雲計算的幾個相關概念

1）IaaS  (Infrastructure as a Service，基礎架構即服務)  經過互聯網提供了數據中心、基礎架構硬件和軟件資源。IaaS能夠提供服務器、操做系統、磁盤存儲、數據庫和/或信息資源。

2）PaaS  (Platform as a Service，平臺即服務)  提供了基礎架構，軟件開發者能夠在這個基礎架構之上建設新的應用，或者擴展已有的應用，同時卻沒必要購買開發、質量控制或生產服務器。

3）SaaS  (Software as a Service，軟件即服務)  是最爲成熟、最出名，也是獲得最普遍應用的一種雲計算。你們能夠將它理解爲一種軟件分佈模式，在這種模式下，應用軟件安裝在廠商或者服務供應商那裏，用戶能夠經過某個網絡來使用這些軟件，一般使用的網絡是互聯網。

PaaS、IaaS和SaaS之間的區別並非那麼重要，由於這三種模式都是採用外包的方式，減輕企業負擔，下降管理、維護服務器硬件、網絡硬件、基礎架構軟件和/或應用軟件的人力成本。從更高的層次上看，它們都試圖去解決同一個商業問題——用盡量少甚至是爲零的資本支出，得到功能、擴展能力、服務和商業價值。當某種雲計算的模式得到了成功，這三者之間的界限就會進一步模糊。成功的SaaS或IaaS服務能夠很容易地延伸到平臺領域。

注意，雲平臺不光要防禦外部的各類攻擊，用戶的數據在服務商的數據中心中，還須要防內。只有真正地數據安全才是用戶確信擁有本身保險櫃的核心。而云上的數據通常是不會丟的，都有備份，但願將來雲存儲能值得信賴。

五、「計算機安全」已經成爲一種有價值的商業活動

那麼問題來了！

+首先，賺錢是商業的主要目的，以PC防禦軟件爲例；

+那麼，若是廠家把安全服務作得太好，讓您感覺不到威脅的存在，你也就再也不須要安全服務了？

+但反之，若是廠家把安全服務作得很差，那麼你爲何還要花錢去購買它呢？

+那麼銷售方該怎麼去向消費者推銷咱們的安全軟件呢？

一個答案是：FUD

-F 恐懼：壞事即將發生在你身上，它已經在別人身上發生了

-U 不肯定：你怎麼知道本身是安全的，誰是看着你的守護者？

-D 懷疑 即便是NSA（美國國家安全局）也不能保住本身的祕密

在製造恐懼、不肯定與疑惑後，你就須要幫助消費者釋放這些恐懼

那麼，快來使用給咱們的產品吧，用了你就安全了，NSA已經在使用咱們的產品了。

六、DoS攻擊理論

1）資源枯竭形成拒絕服務

2）關鍵資源示例：CPU時間，文件句柄，磁盤空間，內存空間，進程中條目，連入端口，網絡帶寬，內部總線帶寬等

七、Web掃描

1）全自動掃描器：基於爬蟲和字典等，只能達到70%-80%的覆蓋頁面，難以應對Web應用複雜的操做邏輯。 如：孤島頁面、須要登陸系統、具有複雜的交互邏輯的應用。

2）半自動漏洞掃描

業務重放+url鏡像，實現高度覆蓋：

+業務重放，測試過程使用burpsuite、fiddler

+HTTP（S）業務流量錄製與重放掃描、手工修改業務數據流、對手機APP也適用

+檢測邏輯漏洞：水平權限繞過、訂單修改、隱藏域修改。

+侷限：時間滯後/token，流量重發時，不能保證重現業務流程及bug；難以覆蓋全部業務連接；漏洞檢測技術滯後於攻擊技術，沒法解決0Day漏洞。

3）被動式漏洞分析：應對0Day和孤島頁面。國外產品：Nessus PVS被動式掃描

+旁路被動式掃描，全流量數據分析

+檢測方式：被動式掃描不須要聯網，不會主動發出url請求，也不發出任何數據包。

PVS和IDS的區別：

a. 更關注漏洞感知，而不是入侵；如頁面出現sql報錯信息，可觸發pvs報警，但不會出發ids報警。

b. 報警結果不同，pvs按照漏洞的風險等級，ids按照黑客的攻擊手段報警。

c. 雙向分析數據報文；

d. 更關注於web應用，OWASP TOP10的攻擊手段。

e. 按攻擊影響報警（分析雙向報文），而不是按攻擊手段去報警（分析單向報文）

注意：Nessus的PVS只是一個思路，它專一與網絡及主機漏洞，對Web應用的監測能力有限。咱們須要從新設計一個針對web的PVS出來：WebPVS。

八、Web日誌分析

1）日誌分析的價值

網站優化：時間(time)，路徑（url），人物（sourceip），地點（path），訪客分佈（user-aent），帶寬資源（bytes），爬蟲信息（bot）

發現攻擊：時間（time），地點（path），人物（sourceip），原由（vulnerability/webshell）、通過（attack），結果（status 200/404/403/500）

發現漏洞：原由（vulnerability），通過（scan url），結果（status 200/404/403/500，命中詞）

2）一些注意點

容許小範圍誤報，拒絕漏報；

精確報警不是日誌分析的職責；

攻擊隱藏在異常中，找異常最重要。

3）關鍵詞是日誌分析的建模基礎

傳統關鍵詞：system、exec、phpinfo、phpspy、powered by、union select...

不常見的關鍵詞：CSS，bgcolor，js

關鍵詞的類型：行爲關鍵詞、指紋關鍵詞。

關鍵詞的邏輯：當出現關鍵詞A時，必然出現關鍵詞B或者C，出現B給80，出現C給20分。

還有就是，程序自動提取關鍵詞（好比一段字符或者二進制序列），這裏說的第二種關鍵詞就是人看不懂的關鍵詞。好比經過文件偏移讓程序自動提取後門關鍵詞。經過文件行數或者字節數偏移來隨機取單端不連續的指紋關鍵詞。經過遍歷連接獲取行爲關鍵詞。

九、基於Web的DDoS

1）出現頻率最高的DDoS後門文件名

abc.php,

xl.php,

Xml.php,

dedetag.class.php,

counti.php,

plase.php,

cba.php,

os.php,

practical.php,

abbb.php 。

2）出現頻率最高目錄

/plus/,

/templets/,

/include/,

/data/,

/api/,

/cache/,

/admin/,

/UploadFiles/,

/ 。

3）最常被攻擊的端口

80,53,21,22 

4）

+開放雲平臺是日漸興起的後門藏匿地

+PHPwebshell自帶DDoS功能的愈來愈多

+有些建站公司建站同時植入後門

+大部分出現後門的網站都是中小型的電商或者企業

+大部分的攻擊客戶端來自小說閱讀器、傳奇私服登錄器等

[最後]

經過360和知道創宇提供的一些數據，簡單說下Web安全的一些現狀(數據來源通常是公司相關安全產品的服務數據)。

1）全國每一年有24萬網站被黑，其中政府網站2萬（總數10萬）

2）全國超過17%的站點存在明顯的高危漏洞；

3）中國目前大約240萬個網站使用了.cn的域名，是主要的攻擊目標。

4）接近10%的網站引用了第三方組件；

5）超過3.3%的網站所安裝的組件是在無補丁狀態下使用；

6）天天全網針對Web站點的攻擊超過3億次。

7）2014上半年，被植入後門的網站中84.8%是被境外控制

8）0day 從曝光到爆發：大約1周時間（從開始研究demo到大範圍爆發）

9）漏洞修復率低，半衰期的威脅

「心臟滴血漏洞」，在中國網站中，72小時的時候，只有18%的修復率。

4月爆發的「心臟滴血漏洞」，到9月，還有16%的全局用戶沒修復，11%的重要用戶未修復。

最後的最後，就不放美女圖了，安全就應該純粹一點，別搞得安全圈跟娛樂圈同樣。