七牛李道兵-HTTP协议相关的若干安全问题.pdf

开发者的安全修养: HTTP协议相关的 若干安全问题 LI Daobing 七牛云存储 1 技术灾难史 1940年11月7 日 2 /wiki/Tacoma_Narrows_Bridge_(1940) 技术灾难史 1988年4月28 日 /wiki/Aloha_Airlines_Flight_243 3 2002年2月?日 /wiki/SQL_injection 4 问题 •你现在在过桥的时候会担心这个问题么？ • （因为桥的建筑设计师都是有证的？） •你现在在坐飞机的时候会担心这个问题么？ • （因为飞机的设计师都是有证的？） 5 问题 •你上网站的时候担心你的密码/身份安全么？ • 我还担心，原因 • 这个漏洞出现的时间还不够长？ • 你懂的，开发网站的都是无证程序员 • 普遍不在意安全问题 6 HTTP协议相关的若干安全问题 •GET 型 CSRF • POST 型 CSRF •串号问题 •SSL •Same Origin Policy 与 跨域通信 • HTTP Headers 7 不讲什么 • DDoS 和 DoS: 前者耍流氓, 后者耍无赖 •软件漏洞: 紧盯 CVE 和发行版的安全通告 •XSS: 其实这个才是大头 •SQL Inject: 这都2013年了, 你要反省 • HTTP Cache: 细节太多，还算安全 •社会工程学: 确实不懂 8 CSRF 是什么？ •Cross-site request forgery (跨站请求伪造) •用户期望一个行为（比如转账，投票，关闭bug, ... ）是在 对应的网站上发生，但在访问一个不相关的网站时却触发 了该行为 •比如我在逛煎蛋，看看无聊图，结果触发了我在 17startup 上给某个网站投了5星