安全牛学习笔记SSLTLS拒绝服务攻击和补充概念

Posted 2020-10-15

SSL/TLS拒绝服务攻击                                                         

thc-ssl-doc                                                                 

    SSL协商加密对性能开销增加，大量握手请求会导致拒绝服务                   

    利用SSL secure Reegotiation特性，在单一TCP连接中生成数千个SSL重连接请   

    求，造成服务器资源过载                                                  

    与流量式拒绝服务攻击不同，thc-ssl-dos可以利用dsl线路打垮30G宽带的服务器 

    服务器平均处理300次/秒SSL握手请求                                       

    对SMTPS、POP3S等服务同样有效                                            

    thc-ssl-dos 192.223.209.205 2083 --accept                               

对策                                                                        

    禁用SSL-Renegotiation、使用SSL Accelerator                              

    通过修改thc-ssl-dos代码，可以绕过以上对策

[email protected]:~# thc-ssl-dos 199.223.209.205 2083

[email protected]:~# thc-ssl-dos 199.223.209.205 2083 --accpet

[email protected]:~# dig www.baidu.com

[email protected]:~# thc-ssl-dos 119.75.218.70 443 --accept

补充概念                                                   AJAX                                                           Asynchronous javascript and XML                            是一种概念，而非一种新的编程语言，是一组现有技术的组合     通过客户端脚本动态更新页面部分内容，而非整个页面           降低款单使用，提高速度                                     提升用户体验                                               后台异步访问

补充概念                                                                   AJAX组件                                                                       JavaScript: ajax的核心组件，使用XMLHTTPRequest对象接口向服务器发起         请求，接收并处理服务器响应数据                                         Dynamic html (DHTML)                                                           早于AJAX出现，通过javascript、CSS等在客户单修改HTML页面element，缺         点事完全依赖客户端代码修改页面，与服务器的交互由JavaScript applets完成     AJAX的XHR弥补了他的缺点（注册用户）                                    Document Object Model（DOM）                                                   处理html、xml文档对象的框架，DHTML是一个浏览器，DOM作为其一个实现          的接口，定义和管理每个页面元素obj的Properties、method、event

补充概念                                       基于AJAX的WEB应用工作流程                          XMLHTTPRequest API创建对象xmlhttp进行访问      Xml、json、html文本、图片                      多个异步请求独立通信，互不依赖                 AJAX框架                                           JQuery                                         Dojo Tookit                                    Google web toolkit(GWT)                        Microsoft AJAX library

补充概念                                                                 目前没有通用的AJAX安全最佳实战，其攻击面不为大多数人所知                 AJAX的安全问题                                                               多种技术混合，增加了攻击面，每个参数都可能形成独立的攻击过程             AJAX引擎是个全功能的脚本解释器，访问而已站点可能后果严重，虽然浏览器     有沙箱和SOP，但可被绕过                                                  服务器、客户端代码结合适用产生混乱，服务器访问控制不当，将信息泄露       暴漏应用程序逻辑

补充概念                               AJAX对渗透测试的挑战                       异步请求数量多且隐蔽                  触发AJAX请求的条件无规律               手动和截断代理爬网可能产生大量遗漏 AJAX爬网工具                               ZAP                                客户端代码审计                             源码                                   Firebug

OWASP ZAP

补充概念                                                                     WEB Service                                                                      面向服务的架构（service oriented architecture）便于不同系统集成共享数据      和功能                                                                       尤其适合不想暴漏数据模型和程序逻辑而访问数据的场景                           无页面                                                                   两种类型的WEB Service                                                            Simple object access protocol (SOAP)                                             传统的web service开发方法，xml是唯一的数据交换格式                           要求安全性的应用更多采用                                                 RESTful（Representational State Transfer architecture-----REST）                 目前更多被采用的轻量web service，JSON是首选数据交换格式

补充概念                                                             WEB Service安全考虑                                                      使用API key或session token实现和跟踪身份认证                         身份认证由服务器完成，而非客户端                                     API key、用户名、Session token永远不要通过URL发送                    RESTful默认不提供任何安全机制，需要使用SSL/TLS保护传输数据安全       SOAP提供强于HTTPS的WS-security机制                                   使用OAuth 或 HMAC进行身份验证，HMAC身份认证使用C/S共享的密钥加密     API KEY                                                              RESTful应只允许身份认证用户使用PUT、DEKETE方法                       使用随机tooken防止CSRT攻击

补充概念                                                 WEB Service安全考虑                                         对用户提交参数过滤，建议布署基于严格白名单的方法         报错信息消毒                                             直接对象引用应严格身份验证（电商公司以ID作为主索引）

该笔记为安全牛课堂学员笔记，想看此课程或者信息安全类干货可以移步到安全牛课堂

Security+认证为什么是互联网+时代最火爆的认证？

      牛妹先给大家介绍一下Security+

        Security+ 认证是一种中立第三方认证，其发证机构为美国计算机行业协会CompTIA ；是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一，和CISSP偏重信息安全管理相比，Security+ 认证更偏重信息安全技术和操作。

       通过该认证证明了您具备网络安全，合规性和操作安全，威胁和漏洞，应用程序、数据和主机安全，访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易，含金量较高，目前已被全球企业和安全专业人士所普遍采纳。

Security+认证如此火爆的原因？  

       原因一：在所有信息安全认证当中，偏重信息安全技术的认证是空白的， Security+认证正好可以弥补信息安全技术领域的空白 。

      目前行业内受认可的信息安全认证主要有CISP和CISSP，但是无论CISP还是CISSP都是偏重信息安全管理的，技术知识讲的宽泛且浅显，考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上，CISP也要求大专学历4年以上工作经验，这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中，无论是找工作还是升职加薪，或是投标时候报人员，认证都是必不可少的，这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍，由于Security+偏重信息安全技术，所以对工作经验没有特别的要求。只要你有IT相关背景，追求进步就可以学习和考试。

       原因二： IT运维人员工作与翻身的利器。

       在银行、证券、保险、信息通讯等行业，IT运维人员非常多，IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍，死亦写代码”的悲壮，但也有着“锄禾日当午，不如运维苦“的感慨。天天对着电脑和机器，时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识，掌握网络安全实践。职业发展朝着网络安全的方向发展，解决国内信息安全人才的匮乏问题。另外，即使不转型，要做好运维工作，学习安全知识取得安全认证也是必不可少的。

        原因三：接地气、国际范儿、考试方便、费用适中！

CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。

        在目前的信息安全大潮之下，人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的，相信Security+认证一定会成为最火爆的信息安全认证。