• neohope
    2022-05-05
    除了课程中提到的几种,Web方面的还有水平越权攻击,垂直越权攻击,渗透攻击,漏洞攻击,源码分析攻击,DDOS攻击,缓存攻击,随机数预测攻击,字典攻击,刷单攻击,钓鱼网站,钓鱼邮件,木马攻击,社会工程学攻击等等很多种。 大型商业机构,一般都会信息数据安全方面投入高额成本,包括但不限于防火墙、网闸、安全扫码、杀毒软件、入侵检测、操作系统、中间件、编码流水线、安全策略、安全咨询等等。 但这方面的攻防其实是很不对等的,黑客只需攻破一点,其余投入便都成了马奇诺防线。近年来,社会工程系攻击频频爆雷。从这个角度看,提升员工的安全意识,与上面的各类投入相比,反而更加重要一些。

    作者回复: 赞

    
    9
  • 👽
    2022-03-28
    请教一下,这种多层的安全校验会不会有性能问题?要过滤这么多层,每一层都有若干个正则。需要匹配的字符串比较长的话,感觉性能可能会受影响。

    作者回复: 对于服务器的CPU负载压力会比较大一点,但是这个耗时对于请求响应的处理周期而言是微不足道的。而且需要进行安全校验的请求包含的字符串一般不会太长

    共 2 条评论
    2
  • 雪碧心拔凉
    2022-05-26
    这种防火墙应用是要以一个应用的角色(类似网关?)挂在普通应用的前面,还是以sdk包的方式嵌入到应用中去? 如果是以网关的形式存在,那要解析body对性能是不是会有有很大的影响呢?一般我们网关都是响应式网关,不会去解析body流吧,解析body相当于要将数据从内核态拷贝到用户态,转发时在从用户态拷贝到内核态,性能是有影响吧?

    作者回复: sdk 对性能有影响,但是web应用的响应时间一般是数百毫秒,而body解析的时间通常是微妙级,性能影响可以忽略。

    
    1
  • peter
    2022-03-28
    请教老师两个问题: Q1:CSRF第一步怎么过渡到第二步? CSRF的第一步是访问正常服务器,怎么第二步就访问攻击者服务器了?怎么过渡的? Q2:假如应用服务器是Tomcat,Zhurong怎么才能先于tomcat处理请求?是将Zhurong注册到tomcat来作为一个前置filter吗?

    作者回复: 1 就是常见的钓鱼,第一步是前提,需要登录被攻击的服务器,第二步不是必须的,钓鱼链接直接构造的复杂请求参数也可以,钓鱼链接直接指向被攻击服务器。更常见的是钓鱼链接指向攻击者自己的服务器,在返回响应中包含可执行脚本,脚本中构造复杂请求参数,访问被攻击的服务器。 2 是的

    共 2 条评论
    
  • ABC
    2022-04-22
    早年在一个通用评论类插件(类似Disqus)里面,发现了JS脚本注入。有人在评论里面写了一个alert,导致每次进入页面的时候浏览器会弹出一个弹窗。
    
    