手机安全防护软件 人工智能与黑客帝国，Web安全从入门到放弃｜佛系 FIT 2(4)

Web 安全从入门到放弃

FIT 2018 第二天的议程从青藤云安全分析师 CplusHua 以《Web安全从入门到放弃》为主题的演讲开始。

他曾经向蚂蚁金服提交漏洞，并且获得了 36 万元的大奖，在本次演讲中他详细阐述了新版 OWASP TOP 10 中增加的三种攻击方式，并从新增的漏洞中可以看出一些新的趋势和思路。

对于白帽子而言，在分析公司业务资产时，信息收集是基本步骤，然后要进行整理和检测。除了技术本身的漏洞，很多企业在业务上也存在很多漏洞。宫华表示，在这些过程中，不仅要分析业务场景，还可以分析程序员最初写代码的思考，从这个角度或许可以发现程序员思维上的缺陷或漏洞，进而获取其他人无法挖掘到的漏洞。

他以黑盒业务功能攻击为例，为我们详细展开了从易被忽略的角度找到漏洞的过程。例如，在用户注册过程中，利用服务器返回 cookie 的特点获取用户名密码等。黑盒网络攻击的跨云攻击也是如此：在交换器的环境下，访问策略的缺陷可能是很多厂商容易发生的问题。还有很多漏洞是云服务自身特点导致的，也是现阶段难以避免的。

那为什么 web 安全要从入门到放弃呢？

宫华认为：如果白帽子为了赚点小钱而狂刷一些意义不大的洞，其实可以放弃了，因为这种方式浪费时间而且并不赚钱，观察 BTC 涨势图可以知道，挖洞远不如 BTC 赚钱；但如果白帽子是真正的在挖洞，那么一定要坚持下去，去做更深入的研究、分析与挖掘。

高并发开源软件 WAF 在企业安全实战中的探索

根据 Gartner 发布的 2017 年度 Web 应用防火墙（WAF）魔力象限报告，WAF 的全球市场规模不断增长，越来越多的企业需要用 WAF 产品和技术保护自己的安全。而在这个开放共享的时代里，开源产品也越来越受到欢迎。

盛洋的演讲议题是《高并发开源软件WAF在企业安全实战中的探索》。现阶段，随着 Web 应用越来越多，相关问题日益突出，贴近 Web 端的防火墙（WAF）比普通的 WAF 更具优势。但高性能是 WAF 的一项重要指标，脱离了这一点，WAF 就难以落地。此外，成本问题、使用体验，都是需要考虑的因素。在此背景下，开源 WAF 以其成本较低（免费）、部署灵活（源码开放）、兼容性高等特点占据了优势。手机安全防护软件当然，开源 WAF 软件也存在更新不及时等缺点。

今天更多别人们提到的开源WAF系统，更多已经变成了基于Nginx LUA的WEB防火墙系统，这种防火墙系统的特点是基于最常见的nginx服务，使用Lua语言及API来实现WAF功能，使用LUA不像使用C写模块的维护成本那么高，LUA小巧性能优越，降低了开发难度和维护成本。

Nginx被广泛的应用HTTP7层相关的应用开发，很都不陌生。Nginx＋lua的开源WAF兴起之后，开源WAF的发展随着Openresty的发展进入了新轨道，国内的开发人员开始基于Openresty写了很多的中间件服务，社区越来越活跃。

目前比较活跃的几款开源 WAF 软件有：loveshell、VeryNginx、Resty-waf、Orange、Vanilla、OpenWAF、XWAF 等。企业可以通过串行连接、并行连接、串并同行、靶机设定等多种方式来完成开源 WAF 软件的落地测试。

云时代 DDoS 溯源实践与解析

除了 WAF 产品之外，这两年抗 DDoS 攻击的产品又重新受到青睐。金山云高级安全产品经理梁洋洋分享了《云时代DDoS溯源实践与解析》。

作为一个 1995 年就已经出现的攻击，DDoS 在这两年又开始受到高度关注，因为近两年类游戏蓬勃发展，导致 DDoS 防御需求越来越多。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-53926-4.html