声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/452.html

《HTTP协议详解–学习资料》上的9个想法

  1. HTTP 缓存机制一二三
    https://zhuanlan.zhihu.com/p/29750583
    `
    Web缓存大致可以分为:数据库缓存、服务器端缓存(代理服务器缓存、CDN 缓存)、浏览器缓存。
    浏览器缓存也包含很多内容: HTTP 缓存、indexDB、cookie、localstorage 等等。这里我们只讨论 HTTP 缓存相关内容。

    在具体了解 HTTP 缓存之前先来明确几个术语:
     缓存命中率:从缓存中得到数据的请求数与所有请求数的比率。理想状态是越高越好。
     过期内容:超过设置的有效时间,被标记为“陈旧”的内容。通常过期内容不能用于回复客户端的请求,必须重新向源服务器请求新的内容或者验证缓存的内容是否仍然准备。
     验证:验证缓存中的过期内容是否仍然有效,验证通过的话刷新过期时间。
     失效:失效就是把内容从缓存中移除。当内容发生改变时就必须移除失效的内容。
    `
    https://jakearchibald.com/2016/caching-best-practices/
    https://zhuanlan.zhihu.com/p/28113197

    浅谈Web缓存
    http://www.alloyteam.com/2016/03/discussion-on-web-caching/

  2. HTTP协议内攻击检测基本原理 · Manning23
    https://paper.tuisec.win/detail/992170c430cf7a7
    https://manning23.github.io/2018/06/13/HTTP%E5%8D%8F%E8%AE%AE%E5%86%85%E6%94%BB%E5%87%BB%E6%A3%80%E6%B5%8B%E5%9F%BA%E6%9C%AC%E5%8E%9F%E7%90%86/
    `
    网络攻击最重要的载体协议是HTTP协议,能利用HTTP协议进行的网络攻击方式多样,不限于以下内容。

    SQLI,XSS,CSRF,RCE,LFI,RFI,Brute Force,SSRF,SSTI,Deserialization,XXE。
    我们在对HTTP攻击检测时,由于各种原因,我们无法做到一个理想状态,我会以四个从攻击者视角的例子对此加以说明。

    S2-045远程代码执行漏洞(CVE-2017-5638)
    2015年12月的Joomla反序列化漏洞 0-day
    S2-052远程代码执行漏洞(CVE-2017-9805)
    各种SQL注入的bypass

    常规HTTP攻击检测做法流程如下:
    HTTP数据字段拆解
    重要字段特征匹配(多字段关联匹配)

    总结下来,规则检测存在两点不足:
    检测位置不充分,且易产生误报
    检测的能力体现取决于规则编写者

    适应当今攻防对抗,检测应该具备的能力
    ==
    首先在检测能力和质量上:
    · 检测内容不区分协议字段
    · 具备对抗混淆的能力
    · 能定义正常,异常,攻击

    接着在检测效率上:
    · 高于正则匹配的效率

    最后在日常运营上:
    · 具备高效的处理误报与漏报
    · 能高效的进行应急响应
    ==
    `

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注