SSL/TLS 拒绝服务攻击 资源消耗型打击

 thc-ssl-dos

  SSL协商加密对性能开销增加，大量握手请求会导致拒绝服务

 利用SSL secure Renegotiation特性，在单一TCP链接中生成数千个SSL重连接请求，造成服务器资源过载

 与流量式拒绝服务攻击不同，thc-ssl-dos可以利用dsl线路打垮30G带宽的服务器

 服务器平均可以处理300次/秒SSL握手请求

 对SMTP、POP3等服务等同样有效

thc-ssl-dos 199.223.209.205 2083 -accept

对策

 禁用SSL-Renegotiation、使用SSL Accelerator

 通过修改thc-ssl-dos代码，可以绕过对策（据说是）

AJAX

AJAX的安全问题

 多种技术混合，增加了攻击面，每个参数都可能形成独立的攻击过程

 AJAX引擎是个全功能的脚本解释器，访问恶意站点可能后果严重，虽然浏览器有沙箱和SOP，但可以被绕过

 服务器、客户端代码结合使用产生混乱，服务器访问控制不当，将信息泄漏

 暴露应用程序逻辑

对渗透测试的挑战

 异步请求数量多且隐蔽

 触发AJAX请求条件无规律

 手动和截断代理爬网可能产生大量遗漏

AJAX爬网工具

 ZAP

源代码审计

firebug

WEB Service

 面向服务的架构（service oriented architecture）便于不同系统集成共享数据和功能

 尤其适合不想暴漏数据模型和程序逻辑而访问数据场景

两种类型的WEB service

 Simple object access protocol（SOAP）

  传统的Web service开发方法，xml是唯一的数据交换格式

  要求安全的应用更多采用

 RESTful（Representational State Transfer architecture——REST）

 目前被采用比较多，轻量级的Web Service，支持多数数据交换格式，JSON是首选格式

WEB Service安全考虑

 使用API key或session token实现和跟踪身份认证

 身份认证由服务器完成，而非客户端

 API key、用户名、session token永远不要通过URL发送

 RESTful默认不提供任何安全机制，需要使用SSL/TLS保护数据安全

 SOAP提供强于HTTPS的WS-security机制

 使用OAuth或HMAC进行身份验证，HMAC身份认证使用C/S共享密钥加密API key

 使用随机token防止CSRF攻击

 对用户提交参数过滤，建议部署基于严格白名单的方法

 报错信息消毒

 直接对象引用应严格身份认证（电商公司以ID作为主索引）