4月23日下午，由深圳市網(wǎng)絡(luò)與信息安全行業(yè)協(xié)會主辦的主題沙龍迎來了第二期，本期沙龍的主題是Web安全，來自極限網(wǎng)絡(luò)的賴鵬、綠盟科技的賴東方和深信服的黃平，分別從滲透測試、Web安全風(fēng)險及防御技術(shù)和WAF的攻防三個角度向我們描述了Web安全，本文將向各位展示本期沙龍的詳細過程。

主題一：滲透測試技術(shù)探討

  極限網(wǎng)絡(luò)的賴鵬第一個向大家分享，主要介紹了什么是滲透測試，滲透測試的意義及常用的滲透測試方法：

期間，賴鵬詳細闡述了SQL注入、跨站請求偽造等滲透方法。

接著，賴鵬向我們介紹了滲透測試的業(yè)務(wù)流程，滲透測試的過程解析，涵蓋信息收集、腳本層分析、應(yīng)用層分析和系統(tǒng)層分析等環(huán)節(jié)，每個環(huán)節(jié)均有更細粒度的工作，如代碼審計、跨站攻擊漏洞分析、中間件分析、反編譯分析等等。

在演示環(huán)節(jié)，賴鵬不僅向我們介紹了SQL盲注和任意文件上傳漏洞兩個樣例，還借助協(xié)會的網(wǎng)站，向我們實戰(zhàn)演示了漏洞的發(fā)現(xiàn)過程，并做了簡要分析。

主題二：Web安全風(fēng)險及防御技術(shù)

由綠盟科技的賴東方分享，東方在信息安全行業(yè)從業(yè)多年，分享中不僅有網(wǎng)絡(luò)安全態(tài)勢的分析，Web業(yè)務(wù)面臨的主要風(fēng)險，還為我們著重介紹了Web安全防護的三道防線，安全開發(fā)規(guī)范的重要性，從數(shù)據(jù)流和業(yè)務(wù)流等多個角度考慮安全問題。

首先，東方從2015年互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢談起，個人信息屢遭泄露，詐騙勒索事件頻發(fā)，網(wǎng)站內(nèi)容篡改屢禁不止等，以金融行業(yè)web漏洞Top 10舉例，引導(dǎo)出WEB業(yè)務(wù)面臨的主要風(fēng)險：web漏洞攻擊、基礎(chǔ)環(huán)境缺陷、拒絕服務(wù)攻擊、業(yè)務(wù)缺陷、社會工程學(xué)、敲詐勒索等等，面對如此繁雜的風(fēng)險，我們該怎么辦？

東方建議我們應(yīng)該至少做到三道防線：

事前，做web脆弱性分析，防患于未然；

事中，快速發(fā)現(xiàn)攻擊行為，快速響應(yīng)，及時阻斷入侵，直接參與到攻防對抗中來；

事后，要對攻擊進行溯源，要分析事件，進行必要的整改，即評估與改善。

環(huán)境安全是基礎(chǔ)中的基礎(chǔ)，所以我們要分析開發(fā)框架的風(fēng)險，通用平臺的風(fēng)險。同時，在開發(fā)環(huán)節(jié)，我們要建立安全開發(fā)規(guī)范，并嚴格執(zhí)行，這樣才能有效降低開發(fā)不規(guī)范導(dǎo)致各類漏洞的出現(xiàn)。東方例舉了微軟在實施SDL后，漏洞的改善情況。

接下來，東方為我們闡述了數(shù)據(jù)效驗的重要性，一個簡單的登陸界面，就有十幾個地方會有潛在的風(fēng)險可供黑客利用，所以一定要對數(shù)據(jù)進行安全效驗。東方還從攻擊的角度引領(lǐng)大家看待安全防護，黑客不僅僅有各種滲透的技術(shù)，目前黑客也已經(jīng)進入大數(shù)據(jù)時代，利用各種泄露的數(shù)據(jù)做關(guān)聯(lián)分析，撞庫，另人防不勝防。

最后，東方表示，安全建設(shè)過程中既要注意木桶原理，做到不留短板，又要避免在安全建設(shè)中出現(xiàn)左傾錯誤，過度注意安全而影響了業(yè)務(wù)的便捷性，我們要對Web系統(tǒng)做全生命周期的安全管控。

主題三：WAF的攻與防

最后一個分享是由深信服的黃平帶來，主要涵蓋了WAF繞過的幾種方法，及WAF如何應(yīng)對，以避免這類繞過行為。

WAF，即Web應(yīng)用防火墻，在Web安全防護中起到的作用越來越重要，黃平此次給我們帶來了幾類WAF繞過的方法，首先是三四層協(xié)議棧異常導(dǎo)致的繞過：

1. 分片、亂序問題

2. 協(xié)議異常問題，如TCP標志位不合法、TCO效驗和不合法、較小的TTL值導(dǎo)致逃逸就檢測、TCP偽造重傳調(diào)度等

面對這類繞過，WAF應(yīng)完善TCP、IP協(xié)議棧的處理過程，并添加異常TCP數(shù)據(jù)包的檢測功能，以阻止此類繞過行為。

接下來是HTTP異常協(xié)議可導(dǎo)致的繞過行為：

1. 基于HTTP POST溢出繞過

2. 基于HTTP協(xié)議頭異常的繞過

3. HTTP其他字段異常引發(fā)的繞過，如文件上傳時，利用Content-Type等字段異常而進行繞過

黃平建議，通過對URL及POST實體做溢出檢測，對HTTP異常方進行過濾及對HTTP協(xié)議異常進行檢測可以避免這類繞過的發(fā)生。

針對應(yīng)用的特性，也存在各種繞過的方法，黃平舉例，利用IIS和WAF對特殊字符識別的不同，可以繞過WAF的檢測，來執(zhí)行一些入侵的命令。針對數(shù)據(jù)庫的特性，也有繞過方法：某些數(shù)據(jù)庫可以將特殊字符和注釋轉(zhuǎn)化成空格，而WAF無法檢測出，從而導(dǎo)致bypass行為。利用數(shù)據(jù)庫特殊的語法也可以進行繞過，這就要求WAF應(yīng)該增加更多語法的支持，以識別出此類繞過行為。

最后，黃平表示，WAF是個功能強大的防入侵工具，但若配置不當(dāng)，也會出現(xiàn)被繞過的情況，建議WAF部署上后，要及時的做維護及策略更新，以應(yīng)對各類繞過行為。

沙龍的最后是我們的圓桌討論環(huán)節(jié)，此環(huán)節(jié)中，大家不僅對企業(yè)WEB安全防護做了詳細的討論，還就近期曝出的WAF bypass事件做了分析，是由web應(yīng)用開發(fā)不當(dāng)導(dǎo)致的，當(dāng)然廠家也對此類繞過行為更新了補丁。還有一個引起大家廣泛討論的話題是白帽子的合法性，及如何應(yīng)對各類滲透測試等交換了意見。

本期沙龍的內(nèi)容就這些，后續(xù)將更加精彩，敬請期待！