为了账号安全,请及时绑定邮箱和手机立即绑定

【花式填坑第8期】黑客搞事情?您的好友Web安全还有3秒到达现场

/ 猿问

【花式填坑第8期】黑客搞事情?您的好友Web安全还有3秒到达现场

慕女神 2017-06-12 17:53:00


http://img.mukewang.com/593e64a00001f02d05000423.jpg

花式填坑第8期最新话题:web安全


从这次蠕虫勒索病毒事件来看,网络安全已然成为备受关注的新领域。说起网络安全,绝大多数人都是既熟悉又陌生。熟悉的是玩电脑的时候都知道要安装杀毒软件,陌生的是大家并不了解遇到安全问题该如何解决,又该如何杜绝隐患。


http://img.mukewang.com/593e64ac000169b701730048.jpg


当Web安全遭受威胁时会有哪些后果呢?轻则造成信息漏洞,重则可导致用户遭遇不可弥补的损失。


欢迎参与本期话题,与老师共同探讨如何使用Web安全干掉黑客。


话题交流时间:6月16日--6月18日

话题交流方式:可以先在下方提问,老师会在活动期间一一给大家回复的



http://img.mukewang.com/593e64b60001c8c301730048.jpg

                 TooBug老师个人主页,可点击查看


http://img.mukewang.com/593e64c80001d73105000334.jpg

http://img.mukewang.com/593e653d00017de801730048.jpg


  •   什么是坑?

相信每一位热爱学习の小伙伴都曾经遇到过各种各样的问题有待解决,我们称这种悬而未决的问题为坑。在各种各样奇奇怪怪的坑中,不乏深坑、巨坑,甚至是自己亲手挖的坑,但是光挖不填何年何月才能走上人生巅峰?

  •   怎么填?

每期1位大牛老师,围绕本期话题进行答疑与互动讨论

  •   怎么参加?

可根据话题主题在活动页下方进行留言,活动期间老师会为你解答

  • 活动时间结束了还能参与话题讨论吗?

可以。进行话题分享,获取更多答案。


查看完整描述

28 回答

?
大咪

老师,您好,作为一名后端开发工程师javaweb而言,我觉得有许多web安全都是从用户输入进行攻击的,永远不要相信用户这句话很著名。。所以大部分从前端页面来做验证,判断,那么就java方向的后端工程师来说,有什么可以进行辅佐类的代码思想吗?在java方向的web开发好像比脚本语言要安全的多。。望老师解答,谢谢…

查看完整回答
28 反对 回复 2017-06-12
  • TooooBug
    TooooBug
    首先,你说得很对,永远不要相信用户输入。既然如此,怎么可以信任前端验证呢?你暴露给前端的接口,前端只要给这个接口传数据就行了,你是无法保证这个数据是验证/过滤过的。所以验证/过滤这件事情一定是在后台做的。在这个前提下,常见的安全问题都需要java后台开发来关注。 另外说java比脚本安全得多,这个好像并没有什么论据可以支持。java后端出的安全问题也并不比脚本语言少。
  • 大咪
    大咪 回复 TooooBug
    好的,谢谢老师……
?
蒲公英wsg

老师,讲讲怎么攻击吧?(哈哈,我是认真的)

查看完整回答
23 反对 回复 2017-06-14
  • TooooBug
    TooooBug
    攻击的原理的话,其实在我的课程《Web前后端漏洞分析与防御》(http://coding.imooc.com/class/104.html)中都有分析。但是如果是以攻击为目的的话,确实在方案上会有一些不一样。专门做攻击的话会有很多知识库和工具,比如SQL注入,会有各种变种的语句形式知识库,会有自动化注入工具。这一类的东西呢,如果有兴趣的话自己摸索就好啦。另外特别提醒:学会防御是要懂攻击原理的,但是千万不要干非法入侵的事情,否则可能有很严重的后果哦。
  • 蒲公英wsg
    蒲公英wsg 回复 TooooBug
    恩恩,好的。谢谢老师
?
仙士可

请讲讲sql注入,脚本注入,shell提权等等的防范吧,还有什么端口该禁用

查看完整回答
22 反对 回复 2017-06-12
  • 刘安迪2016
    刘安迪2016
    先讲讲你这个逗比的经历吧,从工厂到PHP再到单片机的经历。
  • 仙士可
    仙士可
    卧槽,你咋知道我搞单片机的
  • TooooBug
    TooooBug
    sql注入的防范主要有几种:一是转义,即将用户自己输入的字符中可能造成注入的字符进行转义,然后再拼接,但是这种方案变种极多,无法全部防御。二是使用ORM,一般成熟的ORM都内置有防止SQL注入的特性。三是使用参数化查询,这是由DB提供的特性,可以将语句分两次查询,第一次表示查询意图,第二次传输数据,这样就不存在注入的问题了。 脚本注入不知道是指的什么呢?XSS吗?XSS的防御也主要有几种:一是转义,将HTML标签和属性进入转义。二是对富文本进行白名单过滤。三是使用CSP,禁止不相关的脚本运行。 shell提权的防御的话,最主要就是做好用户权限的限制,使用低权限用户运行web程序。当然,防止获取到webshell也是非常重要的。 端口的策略方面的话,应该不是问哪些该禁用,而是默认就禁用所有端口,使用到某个具体的端口的时候再放开比较好。
点击展开后面5
?
superac

老师先讲讲主要的攻击吧,比如最新的黑客攻击手段和工具,知已知彼才能防范漏洞哈

查看完整回答
11 反对 回复 2017-06-15
  • TooooBug
    TooooBug
    参照上方的一个回答: 攻击的原理的话,其实在我的课程《Web前后端漏洞分析与防御》(http://coding.imooc.com/class/104.html)中都有分析。但是如果是以攻击为目的的话,确实在方案上会有一些不一样。专门做攻击的话会有很多知识库和工具,比如SQL注入,会有各种变种的语句形式知识库,会有自动化注入工具。这一类的东西呢,如果有兴趣的话自己摸索就好啦。另外特别提醒:学会防御是要懂攻击原理的,但是千万不要干非法入侵的事情,否则可能有很严重的后果哦。
?
yanrun

请问老师,在前后端交互的时候该怎么保护数据的安全,在对性能要求比较高的系统中改怎么做,加解密会消耗一定的时间,如何能既保证效率又保证安全

查看完整回答
5 反对 回复 2017-06-13
  • TooooBug
    TooooBug
    前后端交互是指数据传输吧?这个过程中的安全主要靠HTTPS来保证。关于HTTPS的性能,是有很多具体的优化办法的,做得好的可以将HTTPS加解密带来的性能损失降到非常低。
?
7zzz

老师,面试时会有哪些安全相关的问题吗

查看完整回答
4 反对 回复 2017-06-16
  • TooooBug
    TooooBug
    这个看公司风格。大部分对技术面得比较详细的公司都会问安全的问题的。 一般会关注常见的比如 XSS CSRF SQL注入 上传等问题的原理和修复方案。
  • TooooBug
    TooooBug
    还有密码安全也基本上是面试必考点。
?
呆萌的代Ma

可以结合一些竞赛总的亮点或是常用方法来讲么?比如ctf夺旗赛中常用的一些攻防策略


查看完整回答
2 反对 回复 2017-06-17
  • TooooBug
    TooooBug
    这方面经验倒是不多,可能无法帮到你。我这边的经验更多地还是从web项目实战出发。项目实战和竞赛类的在场景和方案上应该有挺多区别的。
?
锋君

感觉yii2可以过滤一部分人le

查看完整回答
2 反对 回复 2017-06-15
?
习惯受伤

手机端的教师主页没有适配,看着急~。

查看完整回答
2 反对 回复 2017-06-13
?
没有故事的羊小咩

请问老师对于web项目怎么进行安全检查 有哪些步骤? 最佳实践是什么?

查看完整回答
1 反对 回复 2017-06-18
  • TooooBug
    TooooBug
    安全检查的话,应该有几个方面: 1. code review,通过review来发现一些明显的安全问题 2. 配置通用的安全机制,比如防火墙策略,公共安全检查机制(很多云服务都有入侵检测) 3. 通过定期扫描,一些大公司会有这样的机制,由机器人24小时随机扫描网站和接口,发现很多典型的安全问题 4. 找安全公司进行审计,这个成本会比较高,一般适用于项目需要跨团队交付的情况 最佳实践的话我也不好说,这个得看具体的团队配置情况决定。团队成员方向和团队规模不一样的话,在安全方面的做法是会完全不一样的。
  • 没有故事的羊小咩
    没有故事的羊小咩
    好的 谢谢老师 如果作为一个前端(包揽node api 和模版渲染)应该怎能检查和预防安全?也有套路走吗?
  • TooooBug
    TooooBug
    基本也是同样的做法,这里没有什么通用的方案,不可能说有个东西,我一跑,它说安全就真的安全了。
点击展开后面1
?
冯小贤

可以来点烟花吗,爆炸的艺术

查看完整回答
1 反对 回复 2017-06-18
?
qq_ionicRoyKent_04116743

网络攻击到底是怎么搞的?有没有硝烟,有没有炮火!,精不精彩!,刺不刺激!,能不能讲讲!

查看完整回答
1 反对 回复 2017-06-17
  • TooooBug
    TooooBug
    参考上方的一个回答: 攻击的原理的话,其实在我的课程《Web前后端漏洞分析与防御》(http://coding.imooc.com/class/104.html)中都有分析。但是如果是以攻击为目的的话,确实在方案上会有一些不一样。专门做攻击的话会有很多知识库和工具,比如SQL注入,会有各种变种的语句形式知识库,会有自动化注入工具。这一类的东西呢,如果有兴趣的话自己摸索就好啦。另外特别提醒:学会防御是要懂攻击原理的,但是千万不要干非法入侵的事情,否则可能有很严重的后果哦。
?
996木马

看了评论 啊哈哈哈哈   都是想搞事情啊 你们这样很危险啊

//img.imooc.com/5943ae890001a0a102200220.jpg

查看完整回答
1 反对 回复 2017-06-16
?
996木马

老师   来点网络攻击的实战    我这才最重要的吧 懂得攻了就知道如何防

查看完整回答
1 反对 回复 2017-06-16
  • TooooBug
    TooooBug
    有攻才有防,一点没错。我的课程里面也会先讲原理,也就是怎么去攻击,然后才讲防御。 不过,我不会在这里说有哪些地方是可以攻击的,这个你可以自己看完课程后去找找哪些网站有类似问题。事实上有漏洞的网站一点都不难找。
?
宝慕林8489079

hah

查看完整回答
反对 回复 2018-11-07
?
江户川我有一块钱

如何获得积分?

查看完整回答
反对 回复 2017-06-20
?
江户川我有一块钱

...

查看完整回答
反对 回复 2017-06-20
?
爱逗的小孩

老师 我觉得可以来场以毒攻毒的方案来预防

查看完整回答
反对 回复 2017-06-19
?
Etoo9

网络安全工程师前景如何?

查看完整回答
反对 回复 2017-06-18
  • TooooBug
    TooooBug
    这个也无法明确回复你,因为我自己并不是安全工程师,只是懂一点web安全的开发工程师。从我了解的情况来看,好的安全工程师还是非常吃香的。随着移动应用的兴起和云计算的兴起,安全的重要性只会越来越高,这个行业的攻防深度也会越来越深。目前来看,从事app攻防(加固、保护)、服务器安全(云计算)等方面的人才前景还是比较好的。 但还是那句话,因为我不是安全工程师,所以无法客观地告诉你各个水平能达到什么样的职业成就。
?
qq_帅锅_03794460

我用Python的话,sql注入可以防,但是xss之类的一般都是前端处理,那后端有没有什么措施可以防?

查看完整回答
反对 回复 2017-06-18
  • TooooBug
    TooooBug
    XSS之类的一般是前端处理,这句话并不准确呀。比如富文本的过滤,前端要如何搞定呢?事实上XSS是一个前后端都需要了解的攻击方式,有一些攻击场景下前后端处理都可以,但像富文本这种,一般还是放在后端进行处理会安全一些。有兴趣的话可以参考下我的课程《Web前后端漏洞分析与防御》(http://coding.imooc.com/class/104.html)
首页上一页12下一页尾页

添加回答

回复

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信