*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

内容介绍

XSS(跨站脚本攻击)是Web应用程序中最常见的漏洞之一,指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

本期视频为大家介绍什么是XSS漏洞、XSS漏洞有哪些分类、以及如何防范XSS漏洞等问题。最后为了大家能更好的理解XSS漏洞,还为大家提供各种XSS漏洞游戏,一起来挑战吧!

XSS漏洞挑战游戏

观看视频

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

*本文作者:willhuang,字幕翻译:高佳,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,万豪再次报告数据泄露,涉及520万客人隐私;App Store出现色情应用,已下架;公安部刑侦局提醒预防“二次实名认证”诈骗;Zoom客户端爆出安全漏洞,隐私和安全问题堪忧。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

万豪再次报告数据泄露,涉及520万客人隐私

3月31日,全球最大的酒店集团万豪再次发生了信息泄露事件,大约有520万名客人的姓名、通讯地址、会员账号和其他个人信息遭遇泄露。万豪表示,这起泄露事件的调查正在中,已采取措施确保禁用相关登录凭据,并给已经受影响的房客发送通知邮件,为他们免费提供为期一年的个人信息监测。网友调侃称:贫穷使我安全。

15857193305237.jpg

App Store出现色情应用,社交榜排名27

据燃财经报道,苹果App Store一款社交App充斥着大量色情淫秽内容,年龄分级只有4+。该App在App Store免费社交榜排名27位,应用简介里有着“未满18岁禁入”、“岛国大片”等字样。据悉,该App其主要盈利手段为两种,一种是会员充值;另一种是网页游戏导流分成。评论区不少人称“软件里面都是淫秽内容,希望有关部门尽快解决”、“充钱不给VIP,大家别上当”等,截止发稿日期该应用已下架。 

ti3221mg_看图王.jpg

RSAC 公安部刑侦局提醒预防“二次实名认证”诈骗

广州反诈中心实时警情监测发现:近日,“二次实名认证”诈骗卷土重来。这次受骗者收到的是冒充“95188”发送的短信,而这个号码还确实是支付宝官方客服服务电话,但蹊跷的是,短信内容却是要求对支付宝账户重新进行认证,还附了一个网址链接。一旦点击输入个人信息和验证码,钱就会被快速转走。这里提醒一下:收到包含网页链接的短信后应慎重点击,防止遭遇伪基站、网络钓鱼。 

捕获.PNG

Zoom客户端爆出安全漏洞 隐私和安全问题堪忧

新冠疫情让提供远程会议服务的Zoom成为最受瞩目的科技公司之一,但就隐私和安全性而言,它似乎不够理想。 前有iOS 客户端会将分析数据发送到Facebook而未向用户表明;后有向陌生人公开用户的电子邮件地址和照片,并使陌生人能够尝试通过Zoom与他们进行视频通话。而近日Windows 版 Zoom 客户端又爆出了容易受到 NUC 路径注入攻击的安全漏洞。与此同时,Zoom也迎来了纽约总检察长办公室的数据隐私和安全规范的审查。 

f0b9-irpunai2666020.png

* 本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

人物介绍

Thomas DeVoss(@dawgyg),昵称Tommy,现为Synack Red Team安全工程师兼自由Bug Bounty Hunter,Nissan天际线跑车(Skyline)收藏发烧友,也是Yahoo、Mail.Ru、Mapbox、Imgur、GM、Adobe、AOL等多家知名公司的多个重要漏洞发现者。

Tommy一直都是HackerOne、Bugcrowd和Synack众测平台的高产白帽,能在短时间内发现多个严重漏洞,曾入选多家知名厂商漏洞测试名人堂,是2017年HackerOne Top 25黑客之一。Tommy现在HackerOne的有效发现漏洞为387个,排名第24位。本本期视频我们跟随彭博科技频道(Bloomberg Technology)记者来感受一下Thomas DeVoss的珍藏跑车、丰厚赏金和可爱女儿。

青年时期的Tommy作为美国黑客团体World of Hell的组织者,因入侵美国军方和政府电脑两次被捕成为重罪犯,后在2005年被判两年半监禁。出狱之后,如Tommy再用电脑犯法,将会被终身监禁。之后,Tommy从小公司的底层系统管理员做起,不断学习安全技术,并尝试开展漏洞众测项目(Bug Bounty),利用黑客技术以合法方式挖洞赚钱。去年3月,Tommy跻身HackerOne的六位百万美元白帽黑客行列。

采访中,Tommy透露是女儿给了他无穷的动力,因为热爱安全,他还将继续在这条路上走下去。

“我余生中最重要的就是,和女儿在一起了,除此之外没什么是我认为值得的,女儿是我在这个世界上最重要的人,她无比重要。” 

观看视频

采访实录

“有人认为你做这行是在干坏事吗?”

有的,有人就曾这样问我:“我怀疑我男友在欺骗我的感情,请你帮我把他的手机黑了,我想看他在搞什么。“

“你通过漏洞测试获得的最大一笔赏金有多少?”

单个漏洞两万美金吧。

“赚的最多的一天是?”

去年十月的某天赚了16万美金,我记得当时只花了大概3到4小时的实际工作时间。

“所以如果平均算下来你一周正常的这种测试工作时间是多少小时?” 

五到十小时。

“那去年你一共赚的漏洞赏金有多少?”  

算过去的一年,应该是63万6千美元。

“那你认为是什么让你如此擅长做这种安全测试?”   

因为我一直以来都在做这行。我们当时黑进了NASA的电脑,黑进了美国法院和能源部的电脑系统,按理说这些政府部门有充足的财政预算,其信息系统应该非常安全,但并不是这样。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

人物介绍

Cody Brocious 有超过15年的信息安全研究和教育经验,主要研究方向为硬件逆向和软件开发,其于2010年破解了加州神经科技公司Emotiv Systems的头戴式意念控制器 Emotiv EPOC,获取了设备中加密传感数据的AES密钥,后发布了“硬件黑客宣言”,阐述自己做硬件安全的初衷和目的。

另外在2012年黑帽大会中,Cody还披露了流行酒店门锁设备Onity HT的安全漏洞,利用不到50美元的开源硬件即可瞬间开锁,影响全球数百万家酒店。Cody在NCC Group、Mozilla、Accuvant等多家安全公司历练,并于2017年至2019年9月任职HackerOne的知名在线教育平台Hacker101主管,负责Hacker101的CTF和Web安全培训。

观看视频

采访实录

“和我们聊聊Hacker101平台?”

Hacker101是HackerOne的线上教育资源平台,其实它的前身是我开发的,之前叫breaker101,后来被HackerOne收购了,成为了一个免费的在线课程,目的在于让所有人都能学习到安全技术。在上面我们设置有CTF培训视频,和一些线下现场辅导或白帽社区开放日相关的面对面授课。拿我在HackerOne的这两年来说,我接触见识了很多厉害的白帽黑客,这些黑客在不断成长的同时,也带动吸引了更多人参与到hacker101中来。我见证了很多白帽从hacker101学习起步,到真正有所收获,再到最终发现了一些厉害漏洞的过程,更重要的是在他们的带动下,白帽社区有更多的人加入进来,让我们不断促进完善这个平台,实现真正为大家服务的目的,这也是我所希望的。

“你当初是如何接触到安全技术的?”

最早的启蒙是幼儿园或一年级的时候,我记得当时教室里有一台Apple 2E电脑,恰巧我在图书馆发现了一本Basic的编程书,然后就自己尝试着去编代码,之后又玩了一些线上黑客游戏,后来在12岁的时候完全入迷了计算机世界,很少和小伙伴们出去玩耍,除非他们和我有相同的计算机爱好。

“你2010年写”硬件黑客宣言”的动机是什么?”

其实”黑客宣言”最早流行于1986年,是当时一个昵称为The Mentor小子写的,他说他成长于一个小城镇,好像是德克萨斯州,他觉得他热爱电脑,探索IT世界的好奇和兴趣完全被压抑了,于是他就以宣言的方式表达不满,这激励了我。我是上初中时看到了这个”黑客宣言”的,它确实改变了我的认知,让我知道我并不孤单,还有很多像我这样的人。对未知的探索绝对是有意义的,这些感想让当时在宾夕法尼亚小镇的我收获了很多。我的”硬件黑客宣言“是在2010年左右写的,而现在我的研究方向是脑机接口,类似于脑电图设备,比如可以通过头部的穿戴式装置用脑电波意识去操控游戏,这是一种基于原始意念的研究,有各种可能,这里的硬件作用在于可以获取到脑机交流的所有原始数据,但前提是你得出个三五千美金来买到这些设备做研究。例如在我的研究过程中有意思的是,我在某个周末,用了一个三百美金的设备,就能实现对任意数控设备的控制。就比如在轮椅上瘫痪的人,他希望别人对他伸出援手,那么我的这种研究,对他的生活体验来说非常有帮助有意义,他也完全没必要去花费两三万美金再购买其它高额的辅助性商品。我的方式只是对用户原有产品的一种破解和突破,但是卖产品的公司就不乐意了,他们跳出来说我涉及对他们的硬件侵权。我感觉这非常荒谬,因此最终我也停止了对”硬件黑客宣言“的更新,我写那个的目的在于致敬早期的黑客宣言,而且还真实表达出了我破解硬件探索未知的一些权利。

“你选择做硬件黑客的初衷是什么?” 

对我而言,能授权做硬件安全测试,是一件非常美妙的事,因为这样可以不受限制地测试把玩,这对我来说是意义所在,尽管我也爱财,但我不会出于利益目的而随意测试,更多的出发点是基于好奇心。一旦我兴致大发,完全能做到三天不怎么睡觉去研究,去彻底弄清其中原由,这我是最开心的事情了,因为我希望尽可能多地去发现目标授权测试硬件的更多相关功能和信息,当然厂商对我的发现和测试结果,最后也是需要付费的。付出和收获的过程能让我开心,也让我对未来的安全观抱有希望。

“对新手白帽们有什么建议?”  

我最大的建议就是,搞清楚你喜欢的方向,以兴趣为驱动去研究,只有这种基于兴趣的用功,才能发现更多的更好的漏洞,才能赚到更多的赏金,也才能享受其中且乐此不彼。在白帽社区中,对倦怠感的谈论和提及并不多,而其实我们很多人都有这种感受,因此,如果你做的是兴趣所在,且对此不亦乐乎,那么就会远离倦怠。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

内容介绍

本课程是HackerOne出品的Web安全免费在线课程(Hacker101),以“LEARN HOW TO HACK”为主旨,包含了相关的视频、资源和动手实验,目的在于教授Hacking思维和知识,入门Bug Bounty Hunter(漏洞赏金猎人)。课程内容涵盖了XSS、SQL、会话劫持、文件包含等当前流行漏洞的分析,另外还涉及漏洞报告、加密解密、BurpSuite使用和移动端APP测试分析等版块。总体来说,Hacker101是安全初学者入门提高的理想选择,无论你是对漏洞众测(Bug Bounty)感兴趣的程序员,还是经验丰富的安全专家,都会在Hacker101课程中有所收获。

本节课程,我们继续来学习Hacker101的视频课程。今天介绍文件上传、终止符bug和未经检查重定向三个漏洞,主要围绕该三个漏洞的成因、漏洞利用和缓解防护等方面来讲解。

观看视频

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

*本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,微盟员工删库跑路,公司市值暴跌10亿;迪卡侬数据库泄露了1.23亿员工的数据;RSAC 2020于旧金山举行,大会主题:Human Elements;FreeBuf发布《2020国内WAF产品研究报告》。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

微盟员工删库跑路,公司市值暴跌10亿

2月23日晚,微盟公司的SaaS业务突然崩溃,基于微盟的商家小程序都处于宕机状态。随后微盟官方发布公告称:本次故障是由微盟核心运维人员的恶意破坏导致。受删库事件影响,微盟股价24日出现下跌,仅在这一天时间内,蒸发的市值超过10亿港元。2月27日,微盟创始人孙涛勇回应员工删库表:企业都有至暗时刻,不落井下石是道德。

v2-de4af43bc30c08123a71d03c4feeaed2_r_看图王.jpg

迪卡侬数据库泄露了1.23亿员工的数据

近期,体育连锁巨头迪卡侬发生大范围数据泄露,起因是1.23亿条记录被保存在一个并不安全的数据库中。泄露的数据涉及员工系统用户名、未加密的密码、API日志、API用户名、个人身份信息等。该数据库漏洞于2月12日被发现,迪卡侬于2月16日得到通知,随后数据库于2月17日下线。 

QQ图片20200227171445.jpg

RSAC 2020于旧金山举行,大会主题:Human Elements

美国时间2月24日-28日,RSA 2020在在旧金山拉开帷幕。今年大会以“Human Elements”为主题,聚焦与“人”相关的元素对网络安全产生的影响。作为网络安全行业风向标,从1991年至今,RSA大会已经走过29个年头。大会主题一年一变,从去年的“Better”变为“Human Element”,意味着人在未来安全行业发展中将发挥不可或缺的作用。想要了解更多大会详情,请关注FreeBuf RSAC 2020专题报道,图文直播带你亲临现场。。 

捕获34_看图王.png

FreeBuf发布《2020国内WAF产品研究报告》

近年来,针对Web应用的攻击已成为企业面临的主要安全问题之一,75%网络攻击都是发生在Web应用层。而WAF承担了抵御常见Web攻击的作用,是大多数互联网公司Web防御体系中最重要的一环。近期,FreeBuf发布了《2020国内WAF产品研究报告》,针对企业面临的Web安全问题、部署WAF的业务场景和使用现状加以分析,推出国内主流WAF产品名录,为企业选择WAF产品提供参考,扫描下方二维码即可下载完整版报告。 

QQ图片20200229024606_看图王.png

* 本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

人物介绍

Zhi Wei Eugene(@spaceraccoon),24岁新加坡人,2018年毕业于耶鲁大学计算机系和历史系,现服役于新加坡武装部队通信指挥连,拥有OSWE(Offensive Security Web Expert)和高级React认证,并持续在Udacity和Hacker101完成了全栈Web开发课程和Web CTF学习,Zhi Wei Eugene具备流利的中文、英文和马来语听说能力,在HackerOne平台上报的有效漏洞为174个。

2019年8月,Zhi Wei Eugene发现了星巴克网站的一个SQL注入漏洞,通过该漏洞可以获取星巴克内部包括税收、收据和工资信息在内的所有财务数据,收获了$4,000奖励;2019年10月,在新加坡政府和HackerOne合作的漏洞众测比赛中,发现了9个新加坡政府网站漏洞,囊获了US$8,500美金的奖励;2019年11月,Hackerone与美国空军、英国国防部和Verizon Media于洛杉矶举办了H1-213比赛,发现某高危漏洞获得了最具价值黑客荣誉(MVH)。非常热爱学习,并热衷于应用安全和用户数据安全方面的研究。

观看视频

采访实录

“最早你是如何接触到黑客技术的?”

这缘于新加坡新加坡政府科技局(GovTech),因为我是新加坡人,新加坡政府科技局和网络安全局有合作,他们当时举办了一个漏洞众测项目,我也就参赛了,上报了一个漏洞被评定为重复报,有点失望,但我下定决心之后要好好表现。所以自此我加入了hacker101,在线随老师Cody Brocious做完了所有的CTF题目,钻研了所有我想学习的技术,三个月后我收获了人生中的第一笔漏洞赏金,第二个月又什么都没发现,但之后每个月都有所收获,慢慢开始有起色,所以我希望自己能,继续坚持保持动力。

“发现漏洞时是什么感受?”

太美妙了,呵呵,因为我还是一名应征服役的士兵,平时没太多时间做漏洞测试,只会在每周末回家的日子,有三个晚上自由时间才能摆弄电脑,那个时候我就会想,多去以不同角度测试一些不同漏洞,若一有发现,那种感觉非常开心。因为每晚我只有不到三小时的时间,如果能发现漏洞,确实对自己的白帽之路是种鼓励。

“用漏洞赏金购买过什么好物?”

我觉得我用赏金买过的好物应该是……,它给了我一些自由支配空间,我是一个有同情心的人,我把它捐献给了我国的一个爱心组织,以此去鼓励更多的人学习科技知识,比如一些未得到充分代表的人群和少数民族。这只是我尽我的绵薄之力而已,但我知道好多白帽非常慷慨,他们更愿意出钱出力去帮助那些有才的后起之秀,让他们能投身于网络安全行业。

“你如何保持动力?” 

做为一名士兵,服从纪律就是天职,但是平时我又时间有限,只有在周末或是节假日回家才能做漏洞测试,所以我必须充分运用空闲时间,如果选定了一个测试目标,就会坚持一步步开展,我觉得这种良好的自律习惯也是我在部队学习养成的。

“你为什么选择HackerOne平台做众测?”  

一开始是因为hacker101的缘故,我是由它而认识了HackerOne平台的,虽然我注册了其它众测平台,但hacker101能让我直接关联到HackerOne平台,而且在我完成了所有的在线CTF题目后,它还会推送一些HackerOne的邀请测试给我,所以从那个时候起我就认定HackerOne平台了。

“做漏洞测试遇到过什么好运?”  

因为我的第一个有效漏洞是IDOR类型,我一直感觉我与IDOR漏洞比较有缘,这种感觉就像大多数白帽黑客各自擅长于发现某些漏洞类型一样,由于IDOR漏洞是我的第一个有效漏洞,至少我认为它是开启我漏洞测试的一个转折点吧。

“对新手白帽有什么好的建议?”  

我只想说的是,漏洞众测社区的力量非常强大,做为个人来说不要闭门造车,在自我学习钻研的同时,你还可以借助社区力量,比如多学习学习hecker101资源,去Twitter浏览安全信息,遇到问题多与其他同行交流学习,我认为大多数人都会乐于伸出援手帮助别人的。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,雅诗兰黛泄露4.4亿数据记录,官方紧急关闭数据库;热门影片免费下载?小心都是恶意软件陷阱;工信部网络安全管理局发布关于涉新冠肺炎疫情的网络安全风险提示;FreeBuf 上线企业安全线上沙龙——抗疫系列专场免费公开课。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

雅诗兰黛泄露4.4亿数据记录,官方声明未涵盖客户信息

1月30日,有安全研究员在网上发现了一个数据库,该数据库没有密码保护,总共包含4.4亿条记录,并与化妆品公司雅诗兰黛连接。随后,雅诗兰黛快速关闭对数据库的访问并发表声明称:公开的数据库记录不包含付款数据或敏感的员工信息。但是任何数据泄露都有潜在风险,在此提醒广大雅诗兰黛的客户保持警惕,以防犯罪分子进行电子邮件网络钓鱼。 

QQ图片20200215001012.jpg

别掉入奥斯卡提名影片免费下载的陷阱 它们都是恶意软件

日前,有网络安全公司卡巴斯基的专家们发现,有数百个网站承诺免费提供今年最受好评的电影的下载服务,但实际上所有的下载都是恶意软件。另外还有20多个钓鱼网站欺骗用户输入他们的信用卡号码和其他敏感信息。《小丑》是眼下最常被用来引诱受害者的电影,紧随其后的是《1917》、《爱尔兰人》和《好莱坞往事》,而奥斯卡最佳影片《寄生虫》则没有与之相关的恶意文件。 

u=405208821,3674180607&fm=26&gp=0.jpg

工信部网络安全管理局:关于涉新冠肺炎疫情的网络安全风险提示

近期,工信部网络安全威胁信息共享平台收到网络安全企业及机构报告,发现多起利用新冠肺炎疫情实施网络攻击的行为。经研判分析,攻击者利用疫情对公众的心理影响,将计算机病毒、木马、移动恶意程序等伪装成包含“肺炎病例”“防护通知”等热门字样的信息,通过钓鱼邮件、恶意链接等方式传播,一旦点击下载,可能导致计算机、手机等终端设备被窃取信息或远程控制。提醒公众提高网络安全风险意识,避免财产损失。 

gx2.PNG

免费报名|逆行护航·远程协同办公的企业安全公开课

2月12日开始,FreeBuf 联手阿里云、腾讯云、深信服、安恒信息、亚信安全、F5等多家企业,以「逆行护航·远程协同办公的企业安全」为主题,共同推出FreeBuf 企业安全线上沙龙——抗疫系列专场免费线上公开课。以当前疫情形势下,企业远程协作办公为切入点,围绕企业由于不受信网络设备、不安全网络环境、安全边界延伸与变化所带来的各类安全挑战等内容,为企业远程协作办公期间的网络安全问题提供有价值的方案经验分享,扫描下方二维码即可报名。 

15813036288077.jpg

* 本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

万万没想到,我们新年的第一期大事件是新型冠状病毒专题,这场突如其来的疫情几乎打破了所有人对2020年的美好期待,当疫情阻击战打响的同时,网络空间其实也在进行着另一场没有硝烟的战争。前方的战士正在阻击疫情,后方的公众个人信息安全防线却在动摇。

观看视频

内容梗概

交通运输部紧急通知:落实疫情追溯要求,严格做好乘客个人信息保密工作

前段时间,#武汉返乡人员信息遭泄露# 在一众疫情消息中成为众人热议对象。1月30日,交通运输部发布紧急通知,要求依法严格保护个人隐私和个人信息安全,除因疫情防控需要,向卫生健康等部门提供乘客信息外,不得向其他机构、组织或者个人泄漏有关信息、不得擅自在互联网散播。 

9.PNG

国家卫健委:加强网络信息安全工作,为疫情防控工作提供可靠支撑

2月3日国家卫生健康委办公厅发布关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知,要求加强网络安全工作,充分发挥信息化在辅助疫情研判、创新诊疗模式、提升服务效率等方面的支撑作用,切实做好疫情发现、防控和应急处置工作。。 

11.PNG

工信部:面向软件和信息技术服务企业征集抗疫建议

2月5日工信部发布通知,为有效应对疫情带来的影响,围绕做好稳就业、稳金融、稳外贸、稳外资、稳投资、稳预期工作以及做好应对各种复杂困难局面的准备工作,进一步优化行业服务,协调解决企业实际面临的困难,面向软件和信息技术服务企业征集抗疫建议。 

15.PNG

印度APT组织趁火打劫对我国医疗机构发起定向攻击

在全国人民万众一心抗击疫情之时,也有一些不法分子趁火打劫,近日,360安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动APT攻击。在进一步追踪溯源中,我们发现这起APT组织隶属于印度黑客组织。

在国内外友人守望相助时,印度APT组织却趁火打劫对我国医疗机构发动定向攻击,让本就不易的疫情攻坚战更加艰难,但我们更相信我们一定能打赢这场疫情之战,也一定能守护好网络空间这片净土。 

* 本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

内容介绍

本课程是HackerOne出品的Web安全免费在线课程(Hacker101),以“LEARN HOW TO HACK”为主旨,包含了相关的视频、资源和动手实验,目的在于教授Hacking思维和知识,入门Bug Bounty Hunter(漏洞赏金猎人)。课程内容涵盖了XSS、SQL、会话劫持、文件包含等当前流行漏洞的分析,另外还涉及漏洞报告、加密解密、BurpSuite使用和移动端APP测试分析等版块。总体来说,Hacker101是安全初学者入门提高的理想选择,无论你是对漏洞众测(Bug Bounty)感兴趣的程序员,还是经验丰富的安全专家,都会在Hacker101课程中有所收获。

本节课程,我们一起来简单讨论会话固定(Session Fixation)、点击劫持(ClickJacking)和文件包含(File Inclusion)三种攻击形式的成因、检测和缓解措施。

Session Fixation:会话固定攻击,是利用服务端的session会话信息固定机制,借他人之手获得认证和授权,然后冒充他人。 会话固定攻击的简要流程如下:

1、Bob先打开一个网站http://abc.com/,然后服务器会回复他一个session id,比如SID=ssswioq,Bob把这个id记下;

2、Bob给Alice发送一个电子邮件,迷惑Alice点击链接:http://abc.com/?SID=ssswioq,SID后面是Bob自己的session id;

3、Alice上当点击了http://abc.com/?SID=ssswioq,如平时一样输入了自己的帐号和口令从而登录到网站abc.com;

4、由于服务端的session id固定,现在Bob点击http://abc.com/?SID=ssswioq后,他就进入了Alice的账户,拥有了Alice的身份,就可以为所欲为了。

ClickJacking:点击劫持,是一种视觉欺骗攻击手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情(被欺骗)的情况下,点击攻击者想要欺骗用户点击的位置,它通常使用一个ifream覆盖掉当前页面,欺骗用户点击iframe中的恶意内容。点击劫持可实现以下攻击:

通过Flash开启受害者的摄像头或麦克风;

诱使受害者在不知情情况下成为某人粉丝(国外Facebook的刷粉等);

控制受害者去传播分享广告链接间接实现宣传目的;

诱使用户点击恶意链接。

File Inclusion:文件包含,是指当服务端开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致在服务端实现任意文件读取或者任意命令执行。文件包含攻击/漏洞分为本地文件包含(LFI)和远程文件包含(RFI),远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项,选项开启之后,服务端允许在其中包含一个远程文件,间接让服务端来请求该文件。

观看视频

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)! 

*本文视频编辑willhuang,由clouds 编译FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM