【自动化测试】《白帽子讲安全》阅读笔记 下

6.文件上传漏洞
文件的名字如果不做处理，存到库里后，如果被触发后容易引发漏洞
防御：
1.文件上传的路径设置为不可执行，文件作为静态文件处理，只要web容器无法直接解析这个文件即可
2.判断文件类型，基于白名单方式，图片的处理 推荐压缩函数或者resize函数
3.使用随机数改写文件名和文件路径
4.单独设置文件服务器的域名

7.认证与会话管理
认证的目的是为了认出用户是谁，授权的目的是为了确认用户能做什么
认证实际上就是一个验证凭证的过程
防御:
密码强度设置
密码必须是以不可逆的加密算法，或者是单向的散列函数算法，加密后存储在数据库中，MD5 sha-1
所谓彩虹表 就是一系列明文 对应的 加密后的 串 的表
所以，加密需要加salt,salt 需要保存在服务器的配置文件中。
session fixation攻击：没有换锁导致的攻击，登录完成后，需要重写sessionID
一定时间内 强制更新session值，还需要考虑同一个用户能有几个session值。
单点登录SSO

8.访问控制
原则：最小权限原则

9.加密算法与随机数
密钥管理中最常见的错误，就是讲密码硬编码在代码里面
同样的，将加密密钥，salt 直接编码在代码里面也是不好的习惯
对于web应用来说，常见的做法是讲密钥类 保存在数据库或者配置文件中
微信交互协议和加密模式研究：https://github.com/hengyunabc/hengyunabc.github.io/files/1280081/wechat.pdf

10.互联网业务安全
如果产品能潜移默化的改变用户对于安全的态度，将用户往更安全的方向上去引导，这样的安全才是理想的安全

知行办公，专业移动办公平台 https://zx.naton.cn/

原创团队
【总监】十二春秋之，3483099@qq.com；
【Master】zelo，616701261@qq.com；【运营】运维艄公，897221533@qq.com；
【产品设计】流浪猫，364994559@qq.com；【体验设计】兜兜，2435632247@qq.com；
【iOS】淘码小工，492395860@qq.com；iMcG33K，imcg33k@gmail.com；
【Android】人猿居士，1059604515@qq.com；思路的顿悟，1217022114@qq.com；
【java】首席工程师MR_W，feixue300@qq.com；【测试】土镜问道，847071279@qq.com；
【数据】fox009521，42151960@qq.com；【安全】保密，你懂的。