简单web安全入门

基本原则

Secure by default

Secure by default, in software, means that the default configuration settings are the most secure settings possible……

《白帽子讲Web安全》将其总结了下面两条：

1. 黑名单与白名单

尽量使用白名单。

1. 最小权限原则

The principle of least privillege requires that in a particular abstraction layer of a computing environment, every module(such as a process, a user, or a program, depending on the subject) must be able to access only the information and resources that are necessary for its legitimate purpose.

简单地说，就是系统只授予主体必要的权限，不要过度授权。如：1）数据库授权，一般应用程序只需要针对数据进行增删改查，而不需要对表结构进行操作。2）在Linux操作系统中，正常情况只需要使用普通账户登录。

纵深防御原则

安全是一个整体。纵深防御，其实就是：这个“整体”的不同层次需要实施不同的安全方案，需要在正确的地方做正确的事。

数据与代码分离原则

“注入”攻击（如XSS、CRLF注入、SQL注入、缓冲区溢出）产生的原因，就是代码和数据没有分离开，而把“数据”当成“代码”执行了。

不可预测性原则

不可预测性，能有效地对抗基于篡改、伪造的攻击。如：1)操作系统为了提高缓冲区溢出攻击的门槛，使用ASLR让进程的栈基址随机变化。2)使用token防止CSRF攻击。

同源策略

In computing, the same-origin policy is an important concept in the web application security model.

同源策略是整个Web安全的基础。

所谓同源，就是协议相同、域名相同、端口相同。 主要表现为：

1. 无法读取/写入不同源的页面的cookie、localstorage和indexDB。

2. 无法操作不同源的页面的DOM。

3. 默认情况下，不能发送不同源的ajax请求（当然有特殊办法）。

XSS攻击

• XSS攻击简介

Cross-site scripting(XSS) is a type of computer security vulnerability typically found in web applications. XSS enables attacker to inject client-side scripts into web pages viewed by other users.

XSS攻击，通常指通过”HTML注入”篡改网页，插入恶意脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。

虽然叫“跨站脚本攻击”，但这是历史原因，现在这种攻击不一定和“跨站”有关。

XSS防御

• 输入输出

  • 对用户输入的标签进行过滤/encode。但是这样做容易误伤，因为有些场景就是需要用户输入标签。

  • 一般建议在将数据添加到DOM的时候对数据进行HtmlEncode或JavaScriptEncode，以预防XSS攻击。

• HttpOnly

  • 页面被XSS攻击之后，最常见的攻击方式就是“cookie劫持”——用js读取用户的cookie，并将其发送到攻击者的后台，实现盗取用户的登录态的目的。

  • 这里可以将比较敏感、重要的cookie设置为HttpOnly，js就无法获取被设置为HttpOnly的cookie。

CSRF

Cross-site request forgery, also known as one-click attack or session riding...is a type of malicious exploit of a website where unauthorized commands are transmitted from a user that the website trusts.

跨站请求伪造，可以这么理解：攻击者在用户不知情的情况下，利用cookie发送的特点，以用户的名义发送恶意请求。

CSRF的本质原因是：请求是可伪造/可预测的。

假如请求是无法伪造/无法预测的，那么攻击者自然就无法替用户伪造并发起请求：用户第一次访问页面的时候，后台生成一个token，存到session和cookie里面。后续用户发起请求的时候，都在表单中带上这个token，后台对token进行校验。

这里token是不可预测和不可伪造的。

SQL注入

SQL injection is a code injection technique, used to attack data-driven applications, in which nefarious SQL statements are inserted into an entry field for execution.

发生SQL注入的本质原因和XSS攻击一样，没有处理好代码与数据分离,把用户输入的数据当成代码运行了。

防止SQL注入：

1. 使用参数化查询：将SQL语句和参数分开提交给DB，而不是自己拼完整的字符串，这个需要库的支持。

2. 小心地对输入字符串进行escape，如使用mysql_real_escape_string。

CRLF注入

CRLF也是一种注入攻击，一般是指在http header注入CRLF这两个字符，导致改变了HTTP包的语义。

在将数据设置为http header的时候，要注意这个问题。防止攻击的办法也很简单，过滤CRLF这两个字符即可。

   网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图： 学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的，自然成了的重点关照对象，有事没事就来入侵一波，你说不管能行吗！ 想学好Web安全，咱首先得先弄清web是怎么搭建的，知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点，然后再学点python，起码得看懂部分代码吧。

最后网站开发知识多少也要了解点，不过别紧张，只是学习基础知识。

等你用几周的时间学完这些，基本上算是具备了入门合格渗透工程师的资格，记得上述的重点要重点关注哦！ 再就是，要正式进入web安全领域，得学会web渗透，OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握，像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥，一边打怪刷级一边成长岂不美哉，每个攻击手段都能让你玩得不亦乐乎，而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完，还得掌握相关系统层面漏洞，像ms17-010永恒之蓝等各种微软ms漏洞，所以要学习后渗透。可能到这里大家已经不知所云了，不过不要紧，等你学会了web渗透再来看会发现很简单。

其实学会了这几步，你就正式从新手小白晋升为入门学员了，真的不算难，你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师，也就只能做个基础的安全服务，而这个领域还有很多业务，像攻防演练、等保测评、风险评估等，我们的能力根本不够看。

所以想要成为一名合格的网络工程师，想要拿到安全公司的offer，还得再掌握更多的网络安全知识，能力再更上一层楼才行。即便以后进入企业，也需要学习很多新知识，不充实自己的技能就会被淘汰。

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包，需要的小伙伴可以点击链接领取哦！ 网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！