thc-ssl-dos

• SSL协商加密对性能开销增加，大量握手请求会导致拒绝服务
• 利用SSL secure Renegotiation特性，在单一TCP连接中生成数千个SSL重连接请求，造成服务器资源过载
• 与流量式拒绝服务攻击不同，thc-ssl-dos可以利用dls线路打垮30G带宽的服务器
• 服务器平均可以处理300次/秒SSL握手请求
• 对SMTPS、POP3S等服务同样有效
• thc-ssl-dos 【IP】 2083 --accept

对策

• 禁用SSL-Renegotiation，使用SSL Accelerator
• 通过修改thc-ssl-dos代码，可以绕过以上对策

概念补充

AJAX

• Asynchronous JAVAscript and XML
• 是一个概念，而非一种新的编程语言，是一组现有技术的组合
• 通过客户端脚本动态更新页面部分内容，而非整个页面
• 降低带宽使用，提供速度
• 提升用户体验
• 后台异步访问

AJAX组件

• JavaScript：ajax的核心组件，使用XMLHTTPRequest 对象接口向服务器发起请求，接收并处理服务器响应数据；

Dynamic html(DHTML)

• 早于AJAX出现，通过JavaScript、css等在客户端修改HTML页面element，缺点是完成依赖客户端代码修改页面，与服务器的交互由JavaScript Applets完成，AJAX的XHR弥补了他的缺点（注册用户）

Document Object Model （DOM）

• 处理HTML、XML文档对象的框架，DTHML是一个浏览器，DOM作为其一个实现的接口，定义和管理每个页面元素obj的Properties、method、event

基于AJAX的WEB应用工作流程

• XMLHTTPRequest API创建对象xmlhttp进行访问
• Xml、json、html、文本、图片
• 多个异步请求独立通信，互不依赖
• AJAX框架

• • JQuery
  • Dojo Toolkit
  • google Web Toolkit （GWT）
  • Microsoft AJAX library

• 目前没有通用的AJAX安全最佳实践，其攻击面不为大多数人所知
• AJAX的安全问题

• • 多种技术混合，增加了攻击面，每个参数都可能形成独立的攻击过程
  • AJAX引擎是个权功能的脚本解释器，访问恶意站点可能后果严重，虽然浏览器由沙箱和SOP，但可被绕过；
  • 服务器、客户端代码结合使用产生混乱，服务器访问控制不当，将信息泄露
  • 暴露应用程序逻辑

AJAX对渗透测试的挑战

• 异步请求数量多且隐蔽
• 初发AJAX请求的条件无规律
• 手动和截断代理爬网可能产生大量遗漏

• AJAX爬网工具使用ZAP
• 客户端代码审计

• • 源码
  • Firebug

Web Service

• 面向服务的架构（service oriented architecture）便于不同系统集成共享数据和功能
• 尤其适合不想暴露数据模型和程序逻辑而访问数据的场景
• 无页面

两种类型的WEB Service

• Simple object access protocol （SOAP）

• • 传统的Web service 开发方法，xml是唯一的数据交换格式
  • 要求安全性的应用更多采用

• RESTful（Representational State Transfer architecture——REST）

• • 目前更多被采用的轻量web service ，JSON是首选数据交换格式

WEB Service安全考虑

• 使用API key或session token实现和跟踪身份认证
• 身份认证由服务器完成，而非客户端
• API key，用户名，session token永远不要通过URL发送
• RESTful默认不提供任何安全机制，需要使用SSL/TLS保护传输数据安全
• SOAP提供强于HTTPS的WS-security机制
• 使用OAuth或Hmac继续身份验证，HMAC身份认证使用C/S共享的密钥加密API KEY
• RESTful应只允许身份认证用户使用PUT、DELETE方法
• 使用随机token防止CSRF攻击
• 对用户提交参数过滤，建议部署基于严格白名单的方法
• 报错信息消毒
• 直接对象引用应严格身份验证（电商公司以ID作为主索引）