Web應(yīng)用安全威脅與防治

前言

　　序1　　隨著社交網(wǎng)絡(luò)、微博等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生，尤其是Web 2.0技術(shù)的推廣，基于Web環(huán)境的面向普通終端用戶的互聯(lián)網(wǎng)應(yīng)用越來越廣泛。在企業(yè)界，隨著企業(yè)信息化的不斷深入，各種服務(wù)于企業(yè)的應(yīng)用都架設(shè)在Web平臺(tái)上。Web業(yè)務(wù)的迅速發(fā)展把越來越多的個(gè)人和企業(yè)的敏感數(shù)據(jù)通過Web展現(xiàn)給用戶。這引起黑客們的強(qiáng)烈關(guān)注，他們躍躍欲試，利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入等漏洞得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)。更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。這些也使得越來越多的用戶關(guān)注應(yīng)用層的安全問題，業(yè)界對(duì)Web應(yīng)用安全的關(guān)注度也逐漸升溫。　　目前很多業(yè)務(wù)都依賴于互聯(lián)網(wǎng)，如網(wǎng)上銀行、網(wǎng)絡(luò)購(gòu)物、網(wǎng)游等，很多惡意攻擊者會(huì)對(duì)Web服務(wù)器進(jìn)行攻擊，想方設(shè)法通過各種手段獲取他人的個(gè)人賬戶信息以謀取利益。正是因?yàn)檫@樣，Web業(yè)務(wù)平臺(tái)非常容易遭受攻擊。為了防止黑客的攻擊，除了對(duì)Web服務(wù)器做相應(yīng)的配置外，Web應(yīng)用程序的設(shè)計(jì)和開發(fā)也需要杜絕黑客攻擊的隱患。本書有針對(duì)性地面向廣大Web應(yīng)用程序員提供了系統(tǒng)的安全設(shè)計(jì)原則和編程技巧?！　∽鳛閼?yīng)用程序員，你可能非常熟悉你所負(fù)責(zé)的業(yè)務(wù)邏輯，你也一定精通幾種編程語言和數(shù)據(jù)庫。但是，就我所接觸的程序員來說，很少有懂得怎樣在編程中避免留下安全漏洞的。對(duì)于產(chǎn)品架構(gòu)師，很多產(chǎn)品在其設(shè)計(jì)之時(shí)沒有考慮系統(tǒng)的安全問題，沒有相應(yīng)的安全標(biāo)準(zhǔn)。請(qǐng)仔細(xì)閱讀本書，本書為你的Web產(chǎn)品提供了一個(gè)可行的安全標(biāo)準(zhǔn)，同時(shí)也為你提供了系統(tǒng)的針對(duì)各種安全漏洞的行之有效的編程技巧?！　∽髡咧坏耐跷木俏翌I(lǐng)導(dǎo)的惠普軟件PPM產(chǎn)品研發(fā)團(tuán)隊(duì)的安全架構(gòu)師。他將OWASP Top 10應(yīng)用于PPM，使之成為該企業(yè)級(jí)產(chǎn)品的安全標(biāo)準(zhǔn)。事實(shí)證明，OWASP Top 10及相應(yīng)的ESAPI有效地滿足了用戶對(duì)該產(chǎn)品安全方面的苛刻要求。不久前，我們的產(chǎn)品通過了我們的客戶之一某國(guó)國(guó)防部的安全攻擊測(cè)試。所以，我極力將本書推薦給你。你將會(huì)有針對(duì)性地在你的程序里滿足安全性要求，對(duì)于潛在的安全隱患，你將有足夠的智慧和手段去解決它?！　±罹S綱　　惠普軟件部研發(fā)團(tuán)隊(duì)經(jīng)理

內(nèi)容概要

　　《Web應(yīng)用安全威脅與防治：基于OWASP Top 10與ESAPI》是一本講解Web應(yīng)用中最常見的安全風(fēng)險(xiǎn)以及解決方案的實(shí)用教材。它以當(dāng)今公認(rèn)的安全權(quán)威機(jī)構(gòu)OWASP（Open Web Application Security Project）制定的OWASP  Top 10為藍(lán)本，介紹了十項(xiàng)最嚴(yán)重的Web應(yīng)用程序安全風(fēng)險(xiǎn)，并利用ESAPI（Enterprise Security API）提出了解決方案。本書共有五篇，第1篇通過幾個(gè)故事引領(lǐng)讀者進(jìn)入安全的世界；第2篇是基礎(chǔ)知識(shí)篇，讀者可以了解基本的Web應(yīng)用安全的技術(shù)和知識(shí)；第3篇介紹了常用的安全測(cè)試和掃描工具；第4篇介紹了各種威脅以及測(cè)試和解決方案；第5篇在前幾篇的基礎(chǔ)上，總結(jié)在設(shè)計(jì)和編碼過程中的安全原則?！　”緯髡乱砸粋€(gè)生動(dòng)的小故事或者實(shí)例開頭，讓讀者快速了解其中的安全問題，然后分析其產(chǎn)生的原因和測(cè)試方法并提出有效的解決方案，最后列出處理相關(guān)問題的檢查列表，幫助讀者在以后的工作和學(xué)習(xí)中更好地理解和處理類似的問題。讀完本書之后，相信讀者可以將學(xué)過的內(nèi)容應(yīng)用到Web應(yīng)用安全設(shè)計(jì)、開發(fā)、測(cè)試中，提高Web應(yīng)用程序的安全，也可以很有信心地向客戶熟練地講解Web應(yīng)用安全威脅和攻防，并在自己的事業(yè)發(fā)展中有更多的收獲。　　本書適用于Web開發(fā)人員、設(shè)計(jì)人員、測(cè)試人員、架構(gòu)師、項(xiàng)目經(jīng)理、安全咨詢顧問等。本書也可以作為對(duì)Web應(yīng)用安全有興趣的高校學(xué)生的教材，是一本實(shí)用的講解Web應(yīng)用安全的教材和使用手冊(cè)。

作者簡(jiǎn)介

王文君，2007年加入惠普軟件從事軟件開發(fā)、軟件安全分析以及手機(jī)開發(fā)等工作?，F(xiàn)為OWASP中國(guó)上海地區(qū)負(fù)責(zé)人之一，并于2011年被OWASP邀請(qǐng)參加OWASP亞洲峰會(huì)，作為演講嘉賓和培訓(xùn)講師，擁有CISSP、PMP、ITIL認(rèn)證，2012年被評(píng)為HP Global Software Star。王文君于2002年畢業(yè)于上海交通大學(xué)，擁有電力工程碩士學(xué)位以及電力工程和涉外會(huì)計(jì)雙學(xué)士學(xué)位。 李建蒙，2004年從日本回國(guó)之后。加入華為技術(shù)有限公司。開發(fā)移動(dòng)通信平臺(tái)。2006年加入思科，從事在線應(yīng)用產(chǎn)品的后臺(tái)開發(fā)和應(yīng)用安全領(lǐng)域的工作，有豐富的多平臺(tái)多語言開發(fā)、滲透測(cè)試和安全開發(fā)經(jīng)驗(yàn)。曾于2011年被OWASP邀請(qǐng)作為OWASP亞洲峰會(huì)的演講嘉賓和培訓(xùn)講師。

書籍目錄

第1篇 引子 故事一：家有一IT，如有一寶  故事二：微博上的蠕蟲  故事三：明文密碼  故事四：IT青年VS禪師  第2篇 基礎(chǔ)篇 第1章 Web應(yīng)用技術(shù)  1.1 HTTP簡(jiǎn)介  1.2 HTTPS簡(jiǎn)介  1.3 URI  1.3.1 URL  1.3.2 URI／URL／URN  1.3.3 URI比較  1.4 HTTP消息  1.4.1 HTTP方法  1.4.2 HTTP狀態(tài)碼  1.5 HTTP Cookie  1.5.1 HTTP Cookie的作用  1.5.2 HTTP Cookie的缺點(diǎn)  1.6 HTTP session  1.7 HTTP的安全  第2章 OWASP  2.1 OWASP簡(jiǎn)介  2.2 OWASP風(fēng)險(xiǎn)評(píng)估方法  2.3 OWASP Top 10  2.4 ESAPI（Enterprise Security API）  第3篇 工具篇 第3章 Web服務(wù)器工具簡(jiǎn)介  3.1 Apache  3.2 其他Web服務(wù)器  第4章 Web瀏覽器以及調(diào)試工具  4.1 瀏覽器簡(jiǎn)介  4.1.1 基本功能  4.1.2 主流瀏覽器  4.1.3 瀏覽器內(nèi)核  4.2 開發(fā)調(diào)試工具  第5章 滲透測(cè)試工具  5.1 Fiddler  5.1.1 工作原理  5.1.2 如何捕捉HTTPS會(huì)話  5.1.3 Fiddler功能介紹  5.1.4 Fiddler擴(kuò)展功能  5.1.5 Fiddler第三方擴(kuò)展功能  5.2 ZAP  5.2.1 斷點(diǎn)調(diào)試  5.2.2 編碼／解碼  5.2.3 主動(dòng)掃描  5.2.4 Spider  5.2.5 暴力破解  5.2.6 端口掃描  5.2.7 Fuzzer  5.2.8 API  5.3 WebScrab  5.3.1 HTTP代理  5.3.2 Manual Request  5.3.3 Spider  5.3.4 Session ID分析  5.3.5 Bean Shell的支持  5.3.6 Web編碼和解碼  第6章 掃描工具簡(jiǎn)介  6.1 萬能的掃描工具——WebInspect  6.1.1 引言  6.1.2 WebInspect特性  6.1.3 環(huán)境準(zhǔn)備  6.1.4 HP WebInspect總覽  6.1.5 Web網(wǎng)站測(cè)試  6.1.6 企業(yè)測(cè)試  6.2 開源掃描工具——w3af  6.2.1 w3af概述  6.2.2 w3af環(huán)境配置  6.2.3 w3af使用示例  6.3 被動(dòng)掃描的利器——Ratproxy  6.3.1 Ratproxy概述  6.3.2 Ratproxy環(huán)境配置  6.3.3 Ratproxy運(yùn)行  第7章 漏洞學(xué)習(xí)網(wǎng)站  7.1 WebGoat  7.2 DVWA  7.3 其他的漏洞學(xué)習(xí)網(wǎng)站  第4篇 攻防篇 第8章 代碼注入  8.1 注入的分類  8.1.1 OS命令注入  8.1.2 XPath注入  8.1.3 LDAP注入  8.1.4 SQL注入  8.1.5 JSON注入  8.1.6 URL參數(shù)注入  8.2 OWASP ESAPI與注入問題的預(yù)防  8.2.1 命令注入的ESAPI預(yù)防  8.2.2 XPath注入的ESAPI預(yù)防  8.2.3 LDAP注入的ESAPI預(yù)防  8.2.4 SQL注入的ESAPI預(yù)防  8.2.5 其他注入的ESAPI預(yù)防  8.3 注入預(yù)防檢查列表  8.4 小結(jié)  第9章 跨站腳本（XSS）  9.1 XSS簡(jiǎn)介  9.2 XSS分類  9.2.1 反射式XSS  9.2.2 存儲(chǔ)式XSS  9.2.3 基于DOM的XSS  9.2.4 XSS另一種分類法  9.3 XSS危害  9.4 XSS檢測(cè)  9.4.1 手動(dòng)檢測(cè)  9.4.2 半自動(dòng)檢測(cè)  9.4.3 全自動(dòng)檢測(cè)  9.5 XSS的預(yù)防  9.5.1 一刀切  9.5.2 在服務(wù)器端預(yù)防  9.5.3 在客戶端預(yù)防  9.5.4 富文本框的XSS預(yù)防措施  9.5.5 CSS  9.5.6 FreeMarker  9.5.7 OWASP ESAPI與XSS的預(yù)防  9.6 XSS檢查列表  9.7 小結(jié)  第10章 失效的身份認(rèn)證和會(huì)話管理  10.1 身份認(rèn)證和會(huì)話管理簡(jiǎn)介  10.2 誰動(dòng)了我的琴弦——會(huì)話劫持  10.3 請(qǐng)君入甕——會(huì)話固定  10.4 我很含蓄——非直接會(huì)話攻擊  10.5 如何測(cè)試  10.5.1 會(huì)話固定測(cè)試  10.5.2 用Web Scrab分析會(huì)話ID  10.6 如何預(yù)防會(huì)話攻擊  10.6.1 如何防治固定會(huì)話  10.6.2 保護(hù)你的會(huì)話令牌  10.7 身份驗(yàn)證  10.7.1 雙因子認(rèn)證流程圖  10.7.2 雙因子認(rèn)證原理說明  10.7.3 隱藏在QR Code里的秘密  10.7.4 如何在服務(wù)器端實(shí)現(xiàn)雙因子認(rèn)證  10.7.5 我沒有智能手機(jī)怎么辦  10.8 身份認(rèn)證設(shè)計(jì)的基本準(zhǔn)則  10.8.1 密碼長(zhǎng)度和復(fù)雜性策略  10.8.2 實(shí)現(xiàn)一個(gè)安全的密碼恢復(fù)策略  10.8.3 重要的操作應(yīng)通過HTTPS傳輸  10.8.4 認(rèn)證錯(cuò)誤信息以及賬戶鎖定  10.9 檢查列表  10.9.1 身份驗(yàn)證和密碼管理檢查列表  10.9.2 會(huì)話管理檢查列表  10.10 小結(jié)  第11章 不安全的直接對(duì)象引用  11.1 坐一望二——直接對(duì)象引用  11.2 不安全直接對(duì)象引用的危害  11.3 其他可能的不安全直接對(duì)象引用  11.4 不安全直接對(duì)象引用的預(yù)防  11.5 如何使用OWASP ESAPI預(yù)防  11.7 小結(jié)  第12章 跨站請(qǐng)求偽造（CSRF）  12.1 CSRF簡(jiǎn)介  12.2 誰動(dòng)了我的奶酪  12.3 跨站請(qǐng)求偽造的攻擊原理  12.4 剝繭抽絲見真相  12.5 其他可能的攻擊場(chǎng)景  12.5.1 家用路由器被CSRF攻擊  12.5.2 別以為用POST你就躲過了CSRF  12.5.3 寫一個(gè)自己的CSRF Redirector  12.5.4 利用重定向欺騙老實(shí)人  12.6 跨站請(qǐng)求偽造的檢測(cè)  12.6.1 手工檢測(cè)  12.6.2 半自動(dòng)CSRFTester  12.7 跨站請(qǐng)求偽造的預(yù)防  12.7.1 用戶需要知道的一些小技巧  12.7.2 增加一些確認(rèn)操作  12.7.3 重新認(rèn)證  12.7.4 加入驗(yàn)證碼（CAPTCHA）  12.7.5 ESAPI解決CSRF  12.7.6 CSRFGuard  12.8 CSRF檢查列表  12.9 小結(jié)  第13章 安全配置錯(cuò)誤  13.1 不能說的秘密——Google hacking  13.2 Tomcat那些事  13.3 安全配置錯(cuò)誤的檢測(cè)與預(yù)防  13.3.1 系統(tǒng)配置 264 13.3.2 Web應(yīng)用服務(wù)器的配置  13.3.3 數(shù)據(jù)庫  13.3.4 日志配置  13.3.5 協(xié)議  13.3.6 開發(fā)相關(guān)的安全配置  13.3.7 編譯器的安全配置  13.4 安全配置檢查列表  13.5 小結(jié)  第14章 不安全的加密存儲(chǔ)  14.1 關(guān)于加密  14.1.1 加密算法簡(jiǎn)介  14.1.2 加密算法作用  14.1.3 加密分類  14.2 加密數(shù)據(jù)分類  14.3 加密數(shù)據(jù)保護(hù)  14.3.1 密碼的存儲(chǔ)與保護(hù)  14.3.2 重要信息的保護(hù)  14.3.3 密鑰的管理  14.3.4 數(shù)據(jù)的完整性  14.3.5 云系統(tǒng)存儲(chǔ)安全  14.3.6 數(shù)據(jù)保護(hù)的常犯錯(cuò)誤  14.4 如何檢測(cè)加密存儲(chǔ)數(shù)據(jù)的安全性  14.4.1 審查加密內(nèi)容  14.4.2 已知答案測(cè)試（Known Answer Test）  14.4.3 自發(fā)明加密算法的檢測(cè)  14.4.4 AES加密算法的測(cè)試  14.4.5 代碼審查  14.5 如何預(yù)防不安全的加密存儲(chǔ)的數(shù)據(jù)  14.6 OWASP ESAPI與加密存儲(chǔ)  14.6.1 OWASP ESAPI與隨機(jī)數(shù)  14.6.2 OWASP ESAPI 與FIPS 140－2  14.7 加密存儲(chǔ)檢查列表  14.8 小結(jié)  第15章 沒有限制的URL訪問  15.1 掩耳盜鈴——隱藏（Disable）頁面按鈕  15.2 權(quán)限認(rèn)證模型  15.2.1 自主型訪問控制  15.2.2 強(qiáng)制型訪問控制  15.2.3 基于角色的訪問控制  15.3 繞過認(rèn)證  15.3.1 網(wǎng)絡(luò)嗅探  15.3.2 默認(rèn)或者可猜測(cè)用戶賬號(hào)  15.3.3 直接訪問內(nèi)部URL  15.3.4 修改參數(shù)繞過認(rèn)證  15.3.5 可預(yù)測(cè)的SessionID  15.3.6 注入問題  15.3.7 CSRF  15.3.8 繞過認(rèn)證小結(jié)  15.4 繞過授權(quán)驗(yàn)證  15.4.1 水平越權(quán)  15.4.2 垂直越權(quán)  15.5 文件上傳與下載  15.5.1 文件上傳  15.5.2 文件下載和路徑遍歷  15.6 靜態(tài)資源  15.7 后臺(tái)組件之間的認(rèn)證  15.8 SSO  15.9 OWASP ESAPI與授權(quán)  15.9.1 AccessController的實(shí)現(xiàn)  15.9.2 一個(gè)AccessController的代碼示例  15.9.3 我們還需要做些什么  15.10 訪問控制檢查列表  15.11 小結(jié)  第16章 傳輸層保護(hù)不足  16.1 臥底的故事——對(duì)稱加密和非對(duì)稱加密  16.2 明文傳輸問題  16.3 有什么危害  16.3.1 會(huì)話劫持  16.3.2 中間人攻擊  16.4 預(yù)防措施 399 16.4.1 密鑰交換算法  16.4.2 對(duì)稱加密和非對(duì)稱加密結(jié)合  16.4.3 SSL／TLS  16.5 檢查列表  16.6 小結(jié)  第17章 未驗(yàn)證的重定向和轉(zhuǎn)發(fā)  17.1 三角借貸的故事——轉(zhuǎn)發(fā)和重定向  17.1.1 URL轉(zhuǎn)發(fā)  17.1.2 URL重定向  17.1.3 轉(zhuǎn)發(fā)與重定向的區(qū)別  17.1.4 URL 重定向的實(shí)現(xiàn)方式  17.2 危害  17.3 如何檢測(cè)  17.4 如何預(yù)防  17.4.1 OWASP ESAPI與預(yù)防  17.5 重定向和轉(zhuǎn)發(fā)檢查列表  17.6 小結(jié)  第5篇 安全設(shè)計(jì)、編碼十大原則 第18章 安全設(shè)計(jì)十大原則  設(shè)計(jì)原則1——簡(jiǎn)單易懂  設(shè)計(jì)原則2——最小特權(quán)  設(shè)計(jì)原則3——故障安全化  設(shè)計(jì)原則4——保護(hù)最薄弱環(huán)節(jié)  設(shè)計(jì)原則5——提供深度防御  設(shè)計(jì)原則6——分隔  設(shè)計(jì)原則7——總體調(diào)節(jié)  設(shè)計(jì)原則8——默認(rèn)不信任  設(shè)計(jì)原則9——保護(hù)隱私  設(shè)計(jì)原則10——公開設(shè)計(jì)，不要假設(shè)隱藏秘密就是安全  第19章 安全編碼十大原則  編碼原則1——保持簡(jiǎn)單  編碼原則2——驗(yàn)證輸入  編碼原則3——注意編譯器告警  編碼原則4——框架和設(shè)計(jì)要符合安全策略  編碼原則5——默認(rèn)拒絕  編碼原則6——堅(jiān)持最小權(quán)限原則  編碼原則7——凈化發(fā)送到其他系統(tǒng)的數(shù)據(jù)  編碼原則8——深度預(yù)防  編碼原則9——使用有效的質(zhì)量保證技術(shù)  編碼原則10——采用一個(gè)安全編碼規(guī)范 

章節(jié)摘錄

版權(quán)頁：   插圖：   第一種，明文存儲(chǔ)。 這種方法是最不安全的一種，系統(tǒng)的管理員可以直接看到所有用戶的密碼明文，而且，一旦有SQL注入攻擊，攻擊者也可以直接拿到明文。前面說的CSDN遭受攻擊之后，密碼泄露，主要是有些用戶的密碼是明文存儲(chǔ)的。 第二種，密碼經(jīng)過對(duì)稱轉(zhuǎn)換后存儲(chǔ)。 這種方法是編寫一個(gè)對(duì)稱的轉(zhuǎn)換算法，密碼經(jīng)過轉(zhuǎn)換后，看起來和原來的密碼完全不一樣，但是，這種存儲(chǔ)方法和第一種直接存儲(chǔ)明文在本質(zhì)上是相似的，只要知道轉(zhuǎn)換方法，也就能知道如何將密文轉(zhuǎn)換為明文。即使不知道轉(zhuǎn)換方法，通過嘗試和猜測(cè)，也可以逐步找到轉(zhuǎn)換的規(guī)律，進(jìn)而可以根據(jù)密文推導(dǎo)出明文，達(dá)到破解的目的。 第三種，對(duì)稱加密之后存儲(chǔ)。 對(duì)于對(duì)稱加密存儲(chǔ)，用戶加密和解密來說，則需要加密的密鑰，那么，對(duì)于密鑰的保護(hù)，就和對(duì)密碼的保護(hù)一樣重要，一旦密鑰泄露，則所有的密碼也就都處于危險(xiǎn)的境地。而且，密鑰可能事先配置好或者直接寫在代碼里了，這樣一旦負(fù)責(zé)維護(hù)的員工因?yàn)閷?duì)公司不滿而離開，很有可能導(dǎo)致密鑰泄露，導(dǎo)致破解的可能性很大，Skype就曾經(jīng)被揭露密鑰寫在代碼里，導(dǎo)致產(chǎn)品的安全性大大降低。而且，系統(tǒng)管理員或者系統(tǒng)的維護(hù)人員很有可能獲得這些密鑰，也就能很容易地把密碼的原文算出來。所以，對(duì)稱加密之后存儲(chǔ)密碼，需要加強(qiáng)對(duì)密鑰的管理，而且一旦密鑰泄露，切換密鑰也可能導(dǎo)致兼容問題。 第四種，非對(duì)稱加密后存儲(chǔ)。 雖然使用對(duì)稱加密算法，但是由于密碼經(jīng)過公鑰加密，需要私鑰才能解密，那么，私鑰的安全性就變得和密碼的安全性一樣重要，只有保證私鑰的安全，才能夠保證密碼的安全。但是，使用非對(duì)稱加密算法仍然需要管理密鑰，而且非對(duì)稱加密算法的效率也很低。 以上四種方法，都有一個(gè)共同的特點(diǎn)，就是密碼都可以從加密的存儲(chǔ)形式還原到明文。像前面所說的，如果需要通過注冊(cè)的郵箱找回原來的密碼，那么肯定要用到以上四種方法中的一種。但是需要銘記的是：既然通過注冊(cè)的郵箱可以找回密碼，那么，網(wǎng)站的工作人員或者管理員也就有辦法通過查看配置的密鑰，然后解密得到明文。這對(duì)于一些對(duì)安全性要求很高的政府或者企業(yè)是不允許的。 以上介紹的幾種密碼的存儲(chǔ)方法的共同弱點(diǎn)就是密碼是可逆的，系統(tǒng)有可能還原得到明文，所以，最好的保存密碼的方法是以連系統(tǒng)都不可能還原明文的方式保存，也就是用哈希算法的單向性保證服務(wù)器端保存的是哈希之后的哈希值，從而系統(tǒng)就不可能知道密碼的明文。 使用哈希算法也有幾種方式，如下所示。 第一種，使用MD5和SHA－1哈希之后存儲(chǔ)。 MD5和SHA－1已經(jīng)被破解，這意味著雖然不能通過逆運(yùn)算還原密碼原文，但很容易找到一個(gè)能生成相同哈希值的密碼原文的碰撞，例如，密碼是12345678，通過計(jì)算，可以得到abcdefgh的哈希值和12345678的哈希值一樣，那么，輸入密碼時(shí)，輸入12345678和abcdefgh都可以登錄。還有一點(diǎn)，這兩個(gè)算法相對(duì)速度比較快，這就意味著對(duì)暴力破解來說消耗的資源少，所消耗的時(shí)間也短。所以強(qiáng)烈建議不要使用這兩個(gè)算法。 第二種，使用更安全的SHA256算法。 這在一定程度上降低或者杜絕了碰撞率，也增加了暴力破解的成本。但是，一般的密碼輸入的長(zhǎng)度都是8個(gè)字符左右，有的用戶為了容易記憶使用更短的密碼，這樣通過常用密碼字典，就可以很快得到密碼原文。所以，單純地只是用SHA256這樣的比較安全的哈希算法還是有一定風(fēng)險(xiǎn)的。 第三種，使用加入鹽（Salt）的SHA256算法。 將密碼原文和隨機(jī)生成的鹽字符串混淆，進(jìn)行哈希，存儲(chǔ)哈希之后的值以及鹽。在密碼驗(yàn)證的時(shí)候，只需要用同樣的算法，把密碼原文和鹽再做一次同樣的哈希，與存儲(chǔ)的哈希值比較就可以驗(yàn)證密碼了。建議使用的鹽最少是8個(gè)字節(jié)，而且是隨機(jī)的字符串，這樣密碼和鹽的組合值就成為了一個(gè)不同尋常的字符串，密碼字典很難構(gòu)造這么巨大的字典，就可以增加密碼字典破解的成本，甚至使之不可能。鹽的長(zhǎng)度越長(zhǎng)，暴力破解的難度就越大，也限制了彩虹表的效力。隨著機(jī)器硬件的更新以及性能的不斷提高，暴力破解的速度也得到提高，為了應(yīng)對(duì)日益提高的硬件速度，可以通過將具體的哈希進(jìn)行若干次迭代，如SHA256（…SHA256（salt，SHA256（salt，password），這樣，就可以增加暴力破解的難度。即使被暴力破解了，得到的也只是隨機(jī)的鹽和密碼混淆之后的值，如果需要恢復(fù)密碼原文，仍然需要進(jìn)一步努力得到哪些是鹽，然后才能得到密碼，雖然這對(duì)一些資深的攻擊者并不難，但這總是要花他們一些時(shí)間的。

媒體關(guān)注與評(píng)論

　　這是一本帶點(diǎn)酷酷的工程師范兒和人文氣質(zhì)的“硬貨”。作為一名資深I(lǐng)T文藝?yán)先?，特別喜歡這種帶著思想氣息卻又有著豐富案例娓娓道來的實(shí)用信息安全書，過去卻往往只在國(guó)外作者中讀到。正如書中開頭的引子說的那樣：“家有IT，如有一寶”。那么在Web安全日益火爆的今天，你會(huì)不會(huì)在讀完這本書后的未來也成為傳說中讓我們頂禮膜拜的大牛呢^-^　　——IDF威懾防御實(shí)驗(yàn)室益云（公益互聯(lián)網(wǎng)）社會(huì)創(chuàng)新中心聯(lián)合創(chuàng)始人萬濤@黑客老鷹　　伴隨互聯(lián)網(wǎng)的高速發(fā)展，基于B/S架構(gòu)的業(yè)務(wù)系統(tǒng)對(duì)安全要求越來越高，安全從業(yè)人員面臨空前的壓力。如何讓安全從業(yè)人員快速掌握Web應(yīng)用安全？本書以詼諧、幽默的語言，精彩、豐富的實(shí)例，幫助安全從業(yè)人員從端到端理解Web應(yīng)用安全。不失為近幾年Web應(yīng)用安全書籍的上佳之作?！　　狾WASP中國(guó)區(qū)主席SecZone高級(jí)安全顧問 RIP　　很樂意看到有人將自身的資深安全積累和OWASP的最佳實(shí)踐出版成書，內(nèi)容嚴(yán)謹(jǐn)細(xì)致卻不乏生動(dòng)。這本信息安全領(lǐng)域的實(shí)用手冊(cè)將成為銀基安全致力于互聯(lián)網(wǎng)安全的參考指導(dǎo)書目之一，我們廣泛的電信、銀行、保險(xiǎn)、證券和政府部門等客戶都會(huì)從中受益?！　　虾ｃy基信息安全技術(shù)有限公司首席技術(shù)官胡紹勇（Kurau）　　隨著安全訪問控制策略ACL的普及應(yīng)用，互聯(lián)網(wǎng)企業(yè)目前面臨的安全風(fēng)險(xiǎn)面主要集中在Web服務(wù)層。其中Web應(yīng)用系統(tǒng)在架構(gòu)設(shè)計(jì)、開發(fā)編碼過程中是安全漏洞和風(fēng)險(xiǎn)引入的主要階段，而普遍地我們的架構(gòu)、開發(fā)、測(cè)試崗位在安全技能與意識(shí)上恰恰是相對(duì)比較欠缺的。本書詳細(xì)介紹了Web安全基礎(chǔ)知識(shí)、測(cè)試平臺(tái)與方法，常見漏洞形式與原理，并結(jié)合OWASP最佳實(shí)踐經(jīng)驗(yàn)給出預(yù)防建議、設(shè)計(jì)和編碼原則等。書中舉例生動(dòng)形象，圖文代碼并茂，步驟歸納清晰。特別推薦給廣大Web開發(fā)、測(cè)試、安全崗位的朋友們?！　　袊?guó)金山軟件集團(tuán)信息安全負(fù)責(zé)人程沖　　在網(wǎng)絡(luò)攻擊愈加復(fù)雜，手段日益翻新的今天，Web攻擊依然是大多數(shù)攻擊者首選的入侵手段。反思CSDN泄密及新浪微博蠕蟲事件，Web應(yīng)用的安全突顯其重要性。OWASP作為全球領(lǐng)先的Web應(yīng)用安全研究團(tuán)隊(duì)，透過本書將Web應(yīng)用安全的威脅、防御以及相關(guān)的工具進(jìn)行了詳細(xì)的探討和研究。詳盡的操作步驟說明是本書的亮點(diǎn)之一，這些詳實(shí)且圖文并茂的內(nèi)容為逐步深入學(xué)習(xí)Web應(yīng)用安全提供了很好的幫助。我衷心希望這本書能夠成為信息安全專業(yè)的在校生以及應(yīng)用安全相關(guān)從業(yè)人員的學(xué)習(xí)指導(dǎo)書。　　—— 上海交通大學(xué)信息安全工程學(xué)院施勇（CISSP  CISA）

編輯推薦

《安全技術(shù)大系?Web應(yīng)用安全威脅與防治:基于OWASP Top 10與ESAPI》適用于Web開發(fā)人員、設(shè)計(jì)人員、測(cè)試人員、架構(gòu)師、項(xiàng)目經(jīng)理、安全咨詢顧問等?！栋踩夹g(shù)大系?Web應(yīng)用安全威脅與防治:基于OWASP Top 10與ESAPI》也可以作為對(duì)Web應(yīng)用安全有興趣的高校學(xué)生的教材，是一本實(shí)用的講解Web應(yīng)用安全的教材和使用手冊(cè)。

名人推薦

這是一本帶點(diǎn)酷酷的工程師范兒和人文氣質(zhì)的“硬貨”。作為一名資深I(lǐng)T文藝?yán)先?，特別喜歡這種帶著思想氣息卻又有著豐富案例娓娓道來的實(shí)用信息安全書，過去卻往往只在國(guó)外作者中讀到。正如書中開頭的引子說的那樣：“家有IT，如有一寶”。那么在Web安全日益火爆的今天，你會(huì)不會(huì)在讀完這本書后的未來也成為傳說中讓我們頂禮膜拜的大牛呢。 ——IDF威懾防御實(shí)驗(yàn)室益云（公益互聯(lián)網(wǎng)）社會(huì)創(chuàng)新中心聯(lián)合創(chuàng)始人 萬濤@黑客老鷹 伴隨互聯(lián)網(wǎng)的高速發(fā)展，基于B／S架構(gòu)的業(yè)務(wù)系統(tǒng)對(duì)安全要求越來越高，安全從業(yè)人員面臨空前的壓力。如何讓安全從業(yè)人員快速掌握Web應(yīng)用安全？本書以詼諧、幽默的語言，精彩、豐富的實(shí)例，幫助安全從業(yè)人員從端到端理解Web應(yīng)用安全。不失為近幾年Web應(yīng)用安全書籍的上佳之作。 ——OWASP中國(guó)區(qū)主席SecZone高級(jí)安全顧問 RIP 很樂意看到有人將自身的資深安全積累和OWASP的最佳實(shí)踐出版成書，內(nèi)容嚴(yán)謹(jǐn)細(xì)致卻不乏生動(dòng)。這本信息安全領(lǐng)域的實(shí)用手冊(cè)將成為銀基安全致力于互聯(lián)網(wǎng)安全的參考指導(dǎo)書目之一，我們廣泛的電信、銀行、保險(xiǎn)、證券和政府部門等客戶都會(huì)從中受益。 ——上海銀基信息安全技術(shù)有限公司首席技術(shù)官 胡紹勇（Kurau） 隨著安全訪問控制策略ACL的普及應(yīng)用，互聯(lián)網(wǎng)企業(yè)目前面臨的安全風(fēng)險(xiǎn)面主要集中在Web服務(wù)層。其中Web應(yīng)用系統(tǒng)在架構(gòu)設(shè)計(jì)、開發(fā)編碼過程中是安全漏洞和風(fēng)險(xiǎn)引入的主要階段，而普遍地我們的架構(gòu)、開發(fā)、測(cè)試崗位在安全技能與意識(shí)上恰恰是相對(duì)比較欠缺的。本書詳細(xì)介紹了Web安全基礎(chǔ)知識(shí)、測(cè)試平臺(tái)與方法，常見漏洞形式與原理，并結(jié)合OWASP最佳實(shí)踐經(jīng)驗(yàn)給出預(yù)防建議、設(shè)計(jì)和編碼原則等。書中舉例生動(dòng)形象，圖文代碼并茂，步驟歸納清晰。特別推薦給廣大Web開發(fā)、測(cè)試、安全崗位的朋友們。 ——中國(guó)金山軟件集團(tuán)信息安全負(fù)責(zé)人 程沖 在網(wǎng)絡(luò)攻擊愈加復(fù)雜，手段日益翻新的今天，Web攻擊依然是大多數(shù)攻擊者首選的入侵手段。反思CSDN泄密及新浪微博蠕蟲事件，Web應(yīng)用的安全突顯其重要性。OWASP作為全球領(lǐng)先的Web應(yīng)用安全研究團(tuán)隊(duì)，透過本書將Web應(yīng)用安全的威脅、防御以及相關(guān)的工具進(jìn)行了詳細(xì)的探討和研究。詳盡的操作步驟說明是本書的亮點(diǎn)之一，這些詳實(shí)且圖文并茂的內(nèi)容為逐步深入學(xué)習(xí)Web應(yīng)用安全提供了很好的幫助。我衷心希望這本書能夠成為信息安全專業(yè)的在校生以及應(yīng)用安全相關(guān)從業(yè)人員的學(xué)習(xí)指導(dǎo)書。 ——上海交通大學(xué)信息安全工程學(xué)院 施勇（CISSP CISA）

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    Web應(yīng)用安全威脅與防治 PDF格式下載

---