漏洞与数据的奇点临近.PDFVIP

漏洞与数据的奇点临近  @sm0nk  猎户攻防实验室  特长：WEB攻防、攻击建模、关联分析  人类发展及人工智能将有一拐点——奇点  漏洞和数据的奇点定义了攻击者和防御者之间的结 合点 ◦ 漏洞的规律特征提供了防御结合点的理论支撑 ◦ 数据元的关联分析提供攻击与防御的方法模型  本议题从漏洞规律入手，寻找防御的关键点，然后 依据关联分析去定位分析，例如攻击的自动化、防 御的追踪溯源，均落地于漏洞与数据的奇点。 1 漏洞规律特征分析与防御 2 关联分析与模型 3 规律演变攻击与防御 4 防御趋势分析-Waf点 5 漏洞名称 原理概述 加固方法 注入漏洞 携参拼接、构造语句、执行 预编译、过滤 跨站脚本 注入恶意指令代码到网页 过滤（黑白名单）、 httponly 文件上传 配置、编辑器、过滤绕过、特性 综合+过滤（白名单、服务 端） 文件包含 LFI RFI ,传入文件名校验不足或被绕过 输入强校验、位置指定 （截断） 代码执行 危险函数的执行 脚本应用、参数过滤 请求伪造 错把“经过认证的浏览器发起的请求”当 Referer token 验证码 成“经过认证的用户发起的请求” 越权访问 未严格权限判断 会话权限校验 一切输入都是有害的 防御：过滤频率最高 WAF 漏洞名称 分类概述 加固方法 身份认证 Pwd、Session 、Token 、Cookie 强校验 业务一致性 身份对应 权限绑定 业务数据 金额、数量校验 校验、加密、逻辑判断 输入交互 WEB 、二次引用、Fuzz 定向、逻辑判断 密码找回 弱凭证、逻辑步骤及判断 Token( 匹配) 验证码 猜解、绕过、回显 强化凭证、逻辑判断 业务授权 未授权、越权 权限绑定 业务接口 接口调用（网关、内容） 逻辑限制 原理高频Tips: 认证、会话、控制 加固高频Tips: