小白成长计划第二期

  • A+
所属分类:安全闲碎

去年我们搞了一个小白成长计划的第一期,其学习模式是通过发布学习任务,循序渐进的根据任务目标学习并写自主编写学习报告,这种模式类似于考试写作文,根据命题,自己收集相关资料学习,然后写成文,提交到平台进行打分,到目前为止参与学习的人数超过 600 人,但是经过一年的时间,达到百分成就也只有 19 人,可想而之这种模式是多难,这个难点在于:

1、坚持学习的动力不足,在完成一两个任务之后放弃了学习

2、对于初学者而言,对于目标的理解上会比较难,也许会被任务的难度所击溃

基于以上两点,我们设计了百分成就徽章和证书,在大家完成百分成就挑战的时候给大家一些小奖励,来提升大家的学习动力,但是这个作用是微乎其微的,因为最终是否可以坚持下来全看自己的学习动力,是不是真的想要花时间去踏实的学习总结。

对于初学者而言,直接做任务不一定是一个好的选择,因为确实难,但是读书是学习任何新知识和新体系的最佳途径,所以有了本次的读书打卡计划,通过制定必读书籍和扩展学习两种资料,然后坚持每天读书一小时,养成每日读书学习的习惯,并分享自己的所学所感,互相激励,互相成就。

第一期的学习更像是渗透测试的黑盒测试,对于结果是未知的,每个人写出的报告都是不一样的,而读书学习打卡则类似于白盒测试,知道学习的内容是啥,大家学习的任务一致,对于学习总结,只要有一人分享,那么我们就可以从中吸收知识,可以选择自己做那个学习总结的人,也可以做一个倾听阅读者,为分享者加油打 call。

关于本次学习打卡的必读书籍和扩展学习资料已经上传至群(信安之路小白成长计划二期)共享,想要参与学习的同学可以加入星球之后,从打卡任务中获取群号和加群口令,早点加入早些参与,期待与你一同学习,一同成长。

小白成长计划第二期

打卡计划已于前几天正式开始,下面是其中一天的打卡内容,随着打卡计划的进行,学习内容和分享的质量会越来越好,无论你是想参与打卡还是想做个阅读者,都可以加入信安之路的知识星球,参与进来。

今日学习时间:21:00-22:00,学习内容:web 实战 47-55 页,学习心得如下:

这几页主要讲了 web 安全的现状和挑战,随着 web 应用程序的功能不断丰富,安全问题也跟着增加,浏览器作为客户端也在不断提升安全性,解决一些安全问题。

对于大众而言,比较关注的更多是获取敏感数据和系统权限,而对于公司而言,任何可以导致系统中断的事件都是大事件,对于大企业而言,这种故障是非常严重的,任何影响正常使用的故障都是需要有人来负责的,非常严格。

网站使用 https 可以解决数据传输方面的安全问题(包括机密性和完整性),但是无法解决所有的 web 应用安全方面的问题,比如:跨站、注入、越权、信息泄漏等。

对于 web 应用来说,安全问题来源是用户的自定义输入,所以对于用户的输入都要做严格的检查,默认不信任任意用户的输入包括浏览器端携带的一切信息,这个问题体现在多个方面,比如:

1、用户可以伪造浏览器和服务器间传输的所有数据,包括请求的参数、cookie、http 信息头

2、对于一个操作的多次请求,用户可以任意调整顺序进行请求,并且不止一次提交任意请求

3、用户不止可以使用浏览器进行访问,还可以使用各种工具,比如 burp、finder 这种独立的工具,还有各种浏览器的插件

4、修改表单中的数字,用低价购买商品;替换 cookie 中的令牌达到越权的目的;利用逻辑问题绕过验证;修改参数被带入数据库中查询获取敏感数据等

核心的安全问题就是因为对于恶意的输入没有做有效的验证,毕竟做验证是要增加研发的工作量的,谁也不想做额外的工作承担项目延期的风险,这是根本问题。以下都有可能造成这个安全问题的产生:

1、安全意识不足:随着国内外对于应用安全这块的关注,各种成熟的第三方安全类库,各种安全培训的介入,研发的安全意识在不断加强,现在新的应用系统中很明显的安全问题已经非常少见,但是也不乏很多安全意识不足,开发能力欠缺的人在开发的一线,生产有安全问题的代码,这是很难杜绝的,毕竟每个人的水平都不一样。

2、自主研发:对于开源系统和组件,其安全性经过大量人员的审计和使用还是比较优秀的,对于企业自主研发的 web 应用,其安全问题都是自己特有的,在欠缺有效的安全培训、上线前安全检查的话,存在安全问题的可能性会大大提升。

3、通用安全组件:为了加快研发进度,很多程序员都喜欢用公开的类库,比如 fastjson,这个组件可以说咱们安全从业者的衣食父母,出现过非常多的漏洞,而且应用广泛,对安全在企业的知名度提升起到了非常卓越的贡献。

4、新的威胁:目前对于已知风险能够作出很好防御,但是对于未知威胁,没人知道会出现在什么地方,以什么样的方式出现。

5、资源和时间的限制:对于研发来说,提前会把项目的周期定好,时间和资源是有限的,要在有限的资源情况下,尽快完成项目目标,所以程序员们一定是会选择减少安全上投入的时间来赶工期,对于一些不太严重的安全问题会做暂时忽略处理,以尽快上线为主要目标。

6、技术更新太快:互联网是个高速发展的行业,十年间,有些技术已经落后甚至淘汰,新的技术层出不穷,程序员本身在开发技术上跟上时代的发展已经非常艰难,更别说各种安全漏洞和利用方式的更新换代,这也是安全问题出现的一个重要因素。

7、功能不断更新换代:随着 web 技术的发展,应用的功能在不断的更新,从静态网页的时代,到现在 API 化,为了提升用户的使用体验,不断简化用户的操作,比如记住密码、认证提示,对于用户而言是提升了用户体验,同时也增加了攻击面。

第一章的内容基本结束,主要给大家一个整体的概况,让大家对 web 安全有一个大的认识,结合书中的内容以及我多年的经验,选择重点内容做了重述,希望可以对大家有所帮助。

小白成长计划第二期

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: