寒假期间参加了字节安全训练营,算是有很多收获吧。学到了一些安全知识,认识了一些小伙伴,都是名牌大学的本科、硕士生。给人的印象是字节的安全工程师比较务实,很有水平。上一节课比在学校上一学期更有用。更加坚定了我去企业的想法。也感觉学术界的安全研究和企业脱节比较严重,在这个工业界引领发展,反哺学术界的时代,或许在企业能学到更多东西吧。

先放上证书纪念一下

image-20210310185934547

课程内容

  • web安全概述
  • 渗透测试进阶
  • WAF建设
  • 安全系统架构设计

小组任务

官方提供一台云主机,以Dockers镜像的方式预置一个Web漏洞靶场。

  • 对靶场进行渗透测试,发现存在的安全问题。
  • 研发/搭建Web应用防火墙(WAF),对已存在的安全问题进行有效防护。
  • 搭建WAF管理后台,实现对WAF规则配置和日志查询。

WAF研发

  • 解码能力(常用编码、混合编码、多重编码)
  • 字符串匹配(单模式、多模式)
  • 正则表达式引擎(hyperscan)
  • 规则提取和优化(根据漏洞、payload、平衡漏报与误报)
  • 开源规则集(OWASP® ModSecurity Core Rule Set (CRS))
  • 接口频率限制(限频算法、资源限频、用户限制频)
  • 业务基线自学习
  • BOT检测(人机识别、行为检测)

寻找漏洞

  • 用户登陆接口有SQL注入
  • 本地文件包含(路径爆破)
  • 水平垂直越权(修改cookie中student_id,可以获取其他人信息)
  • 服务端请求伪造(SSRF)(头像链接)
  • 敏感信息泄露(爆破目录,有身份证号)
  • 暴力破解
  • 其他
    • Cookie存活时间太长
    • httpOnly属性没有开启
    • Secure没有开启
    • 不安全的存储方案(md5存密码,容易被破解)
    • HTTP头部属性缺失(CSP)