淡化攻击实现过程,系统化解决应用安全问题才是王道

标签: 其他 企业安全处置分析 安全观 安全解决方案 | 发表时间:2013-05-08 09:30 | 作者:jiayzhan
出处:http://www.freebuf.com
安全事件发生的最初阶段,是“黑客”促使我们思考安全漏洞的危害–往往考虑的是直接危害,同样我们最初的解决办法当然是“头痛医头脚痛医脚”。同时,许多人对于黑客的行为感到相当好奇,偷窥欲望油然而生,许多人钻研黑客技术往往就是因为好奇,现实当中有攻击能力往往成为衡量一个人技术水平的“不成文共识”。本人对这些现象不否认但不支持也不赞成,这种观念上的分歧的根源往往在于每个人站的角度不同使然。 如果你的职责是守护一个产品,确保它可以提供安全的服务给我们的客户,我需要思考什么?先看一下,你同意以下观点吗? 1. 你学着黑客一样在测试环境去攻击我的产品,发现问题立即封住,这是我的主要职责 2. 你监听用户行为,发现恶意行为,立即堵住,同时找到恶意用户的攻击点,找找问题,如果有问题,封住,这是我工作的重要组成部分 3. 你的老板可能会认为我发现的问题越多,说明技术越好越用功,对产品的安全性越有信心 4. 你担心当某一天,我再也无法发现产品的安全问题了,是不是我也就没事儿了,轮到我下岗了 如果你同意或基本同意以上观点,我觉得你所维护的产品发安全性相当危险,至少你没有足够的理由对你的产品的安全性足够的放心。 再看一下以下观点,你同意吗? 1. 你研究黑客行为,目的是掌握潜在的安全漏洞的存在形式,以检查本公司产品是否有类似问题 2. 你研究各种常见漏洞,目的是掌握漏洞的产生的根源,以便我系统的总结它的原因,系统化的统一在产品当中解决它 3. 你努力着试图把各种漏洞的产生的根本原因总结到一起,抽象出共性,以使其变为规范,在产品开发过程当中以便程序设计与实现人员只要遵守规范,便可避免诸多潜在安全问题的出现 4. 你研究渗透测试目的不是用测试来发现所有的安全问题,而是用来检查我以上三条是否需要完善 如果你同意或者基本同意以上观点,至少你所维护的产品的安全性是可控的,可度量的,内心是有底的,如果你敢大胆的说你的产品足够安全,那可性度是相当高的。 最后,用一个例子来表明为什么要淡化攻击过程实现: 如何发现XSS漏洞?我一句话就能说清楚:用一串带有Javascript敏感的字符串来篡改替换HTTP请求头当中的参数值,观察HTTP响应里是否被返回,如果返回是否被正确编码(叫转义也行)的过程。 如此说来,发现一个有XSS漏洞的API的XSS问题对于一个普通的软件测试人员也并非难事儿。一个简单的反射式XSS问题,可能5分钟就可以确定,但是,我要强调一下这个“但是”,这个XSS漏洞如何反变成可利用的可以实现攻击的漏洞,这个过程将可能是1小时也可能是一个月,还有可能是1-2年! 对于我,一个企业的产品安全维护者,解决这样的一个XSS问题可能也只需要5-10分钟,如果让我花1小时到2年时间来证明它的利用价值有多高,请问同行们,你觉得有意义吗? 有一个群体的人会回答:有意义! 他们往往是非产品安全维护人员,可能是黑客产业链中的人,也可能是强烈的黑客技术的好奇者……,如果不幸的有我们同行在里面,我会觉得很不是滋味, 我理想中的同行们应该是这样的: 我有能力成为黑客,但是我不会把时间浪费在“当黑客”这一行当上。

相关 [攻击 系统 应用] 推荐:

淡化攻击实现过程,系统化解决应用安全问题才是王道

- - FreebuF.COM
安全事件发生的最初阶段,是“黑客”促使我们思考安全漏洞的危害–往往考虑的是直接危害,同样我们最初的解决办法当然是“头痛医头脚痛医脚”. 同时,许多人对于黑客的行为感到相当好奇,偷窥欲望油然而生,许多人钻研黑客技术往往就是因为好奇,现实当中有攻击能力往往成为衡量一个人技术水平的“不成文共识”. 本人对这些现象不否认但不支持也不赞成,这种观念上的分歧的根源往往在于每个人站的角度不同使然.

官方报道透露了军方开发的攻击系统

- 微笑!?~ - Solidot
7月16日CCTV《军事科技》栏目播出了“网络风暴来了”,主讲网络攻击. 在节目进行到11分钟左右,节目演示了网络攻击方法,演示工具是“攻击系统-中国人民解放军电子工程学院-1.0版”,攻击方法是对某一IP地址发动拒绝服务攻击(DDoS). 整个系统UI非常简陋,看起来就像是很多年前用VB搭建起来.

一次Linux系统被攻击的分析过程

- - BlogJava-qileilove
 IT行业发展到现在,安全问题已经变得至关重要,从最近的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞.   下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit.

保护移动应用免遭攻击的5个步骤

- - IT江湖
苹果CEO库克在公司的全球开发者大会上指出,注册的移动应用开发者已经超过了九百万,较去年增长了47%. 有更多的个人把他们的技能和创新带到了这个行业,虽然这是值得激动的,但是开发者和新应用的猛增也带来了日益增长的恶意工具的威胁. 对于开发者而言,有必要熟悉最新的安全实践. 这有助于你维护自己的声誉,让你把精力放在开发有创新的app上,而不是因疏忽所导致的、用户数据被连累的潜在事故上.

五个步骤,保护移动应用免受恶意攻击

- - 博客园_新闻
英文原文: 5 Steps to Protect Mobile Apps from Attacks. Apple CEO Tim Cook 在今年六月的全球开发者大会上提到过,Apple 公司已有 900 万注册开发者,相比去年增长了 47%. 这一数据告诉我们,越来越多的人将自己的技能和创造力投入到了这个行业之中,不过伴随着爆发式开发者和应用数量增长而来的是对这些应用进行恶意攻击.

jms双系统应用

- - 行业应用 - ITeye博客
==============发送方配置(与接受方配置差别在于不要配置服务器)=======.        .