安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
1、自我介绍 2、讲一讲同源策略/SSRF/CSRF/XSS 3、反射型XSS和DOM型XSS的区别 4、变量覆盖漏洞涉及的主要函数 5、对RPO漏洞的理解 6、讲一道印象深刻的CTF题 7、讲一讲代码[审计]()的思路 8、讲一讲csrf如何防御 9、有没有做过[数据分析]() 10、https的工作原理1. 自我介绍
网络安全高级研究员 | 专注Web安全攻防8年
- 当前角色:长亭科技威胁分析团队主管
- 核心能力:
- 漏洞武器化(3个CVE编号漏洞,含1个高危RCE)
- 自动化攻防系统开发(AI引擎日均处理10TB攻击日志)
- APT组织追踪(主导DarkHydrus团伙基础设施测绘)
- 2025年研究:基于量子计算的漏洞挖掘框架
2. 核心漏洞原理全景解析
同源策略(SOP)
- 本质:协议+域名+端口一致才允许数据交互
- 绕过风险:CORS配置错误导致敏感API数据泄露
SSRF(服务端请求伪造)
graph LR A[攻击者] --> B(诱使服务器访问内部资源) B --> C[读取AWS元数据] B --> D[攻击内网数据库]
- 2025防御方案:
- 网络隔离:云环境启用零信任架构
- 协议白名单:禁止
file://、gopher://协议CSRF(跨站请求伪造)
- 攻击原理:利用已认证会话发起伪造请求(如转账)
- 案例:恶意页面隐藏
<img src="https://bank.com/transfer?to=attacker&amount=100000">XSS(跨站脚本)
- 攻击链:输入 → 输出未编码 → 脚本执行
- 新型Payload:
<q-compute onstatechange=stealData()>(量子计算标签滥用)3. 反射型XSS vs DOM型XSS
维度 反射型XSS DOM型XSS 触发位置 服务端返回未过滤数据 客户端JS操作DOM树时触发 是否依赖服务端 是 否 案例 https.com/search?q=<script>alert(1)eval(location.hash.slice(1))2025防御 WAF语义分析 + 输入编码 CSP 3.0 + Safe DOM API 4. 变量覆盖漏洞关键函数
PHP高危函数列表(2025年统计):
函数 风险案例 防御方案 extract()extract($_GET)覆盖已定义变量禁用或设置 EXTR_SKIP标志parse_str()parse_str($input, $output)注入手动指定变量名白名单 $$动态变量foreach($_GET as $k=>$v) $$k=$v禁止用户输入控制变量名 mb_parse_str()同 parse_str多字节编码绕过升级PHP 8.4+(默认禁用) 5. RPO(相对路径覆盖)漏洞
- 原理:
markdown
复制
1. 攻击者构造URL:`https.com/../attacker.css` 2. 服务器返回CSS文件但HTTP头误标为`text/html` 3. 浏览器将CSS解析为HTML执行恶意脚本- 防御:
- 响应头强制
Content-Type+X-Content-Type-Options: nosniff- 路径规范化处理(如Nginx的
merge_slashes on)6. 印象深刻的CTF赛题(2025强网杯)
题目名称:
QuantumVault
- 漏洞点:
# 量子密钥硬编码 + 路径遍历 def get_file(request): file = request.GET.get('f') return open(f"/vault/{file}", 'r').read() # 未过滤../- 利用链:
- 构造URL:
?f=../../../../etc/passwd- 获取密钥文件:
?f=../quantum_key.bin- 解密Flag:使用Shor算法破解RSA
- 考点:路径遍历 + 量子密码学实践
7. 代码审计核心思路
三维深度审计法:
graph TD A[静态分析] --> A1(数据流追踪:用户输入 → 危险函数) A --> A2(控制流分析:权限校验缺失) B[动态分析] --> B1(Fuzzing API边界) B --> B2(Hook敏感函数:exec/deserialize) C[框架审计] --> C1(配置错误:Spring Security绕权) C --> C2(依赖组件漏洞:Log4j3反序列化)
- 2025工具链:
- Semgrep(规则覆盖200+漏洞模式)
- CodeQL(自定义量子安全检测规则)
8. CSRF防御四层体系
层级 方案 2025升级措施 令牌验证 请求携带随机Token 量子随机数生成器(QRNG) 同源检测 校验Origin/Referer头 区块链存证请求来源 交互验证 敏感操作需二次确认(如短信验证) 生物识别绑定(虹膜+声纹) 协议强化 启用SameSite Cookie属性 强制Strict模式 + HTTP/3加密 9. 数据分析实战应用
APT攻击溯源分析案例:
- 数据源:
- 10TB ELK日志 + 云平台流量镜像
- 分析工具:
- PySpark处理引擎 + TensorFlow威胁建模
- 关键发现:
- 攻击者使用量子隧道技术隐藏C2通信(检测熵值>7.9)
- 横向移动路径:K8s API Server → 数据库容器 → TPM固件
- 输出:自动化生成ATT&CK战术图谱
10. HTTPS工作原理(2025量子安全升级版)
握手流程七步详解:
sequenceDiagram Client->>Server: ClientHello(支持CRYSTALS-Kyber算法) Server->>Client: ServerHello + 量子证书(QSC) Client->>Server: 预主密钥(PQC加密) Server->>Client: 切换加密协议 Client->>Server: 量子安全加密数据 Server->>Client: 量子安全加密数据 Note over Client,Server: 会话密钥定期轮换(抗量子计算破解)
- 核心升级:
- 量子证书(QSC):基于格密码学,抗Shor算法攻击
- 前向安全性:每次会话更换密钥,阻断量子回溯破解
防御技术演进图谱(2025)
mindmap root((Web安全2025)) 漏洞防御 XSS: AI语法树分析 SSRF: 微隔离策略 CSRF: 量子令牌验证 协议革新 HTTPS抗量子升级 HTTP/3全面普及 开发安全 代码审计自动化 DevSecOps左移附:2025年威胁应对趋势
- AI生成漏洞利用:采用对抗训练防御模型(Adversarial Defense)
- 量子勒索攻击:迁移至后量子加密文件系统(PQC-FS)
- 太空互联网攻击:参与星链安全协议(Starlink Sec v2)制定
浙公网安备 33010602011771号