應(yīng)該是去年的年初,我受到普元公司的邀請(qǐng)去參加了一次SCA、SOA的技術(shù)交流會(huì),當(dāng)時(shí)也是自己第一次去和那么多陌生的朋友交流技術(shù)心得,同時(shí)也被普元公司的這種純技術(shù)性的交流方式所打動(dòng),也在想哪一天阿里巴巴也能夠舉辦一次這樣的小規(guī)模有針對(duì)性地技術(shù)交流會(huì)那會(huì)讓我們這些技術(shù)人員收益菲淺。一年后的今天,當(dāng)老大問我有個(gè)這樣的會(huì)議是否要參加的時(shí)候,自己毫不猶豫地報(bào)了名,雖然看起來和自己專注的工作不是很相關(guān),但是還是那個(gè)想法:首先不了解是無法知道是否和自己相關(guān)與否,其次就算不相關(guān),多學(xué)多聽,觸類旁通的技術(shù)延展只會(huì)給自己帶來更多的想象空間和創(chuàng)新思維。
按照會(huì)議安排,早晨有兩個(gè)講座,下午有四個(gè)講座,每個(gè)講座1個(gè)小時(shí)左右。第一個(gè)出場(chǎng)的是騰訊的安全中心總監(jiān)楊勇,整個(gè)演講很輕松,首先是對(duì)騰訊的整體產(chǎn)品結(jié)構(gòu)和背景作了一下闡述,然后就從安全中心這個(gè)整體來講述安全對(duì)于騰訊的意義,如何實(shí)施以及一些流程的制定。沒有過多的牽涉安全問題的細(xì)節(jié),著重是講述了安全中心面臨的四個(gè)方面的問題,以及通過什么手段去解決。這其實(shí)和他本身所處的工作職責(zé)來說相符合,如果僅僅只是來講某一個(gè)安全技術(shù)應(yīng)用,那么就有些太過狹隘了。不過在提問的時(shí)候一個(gè)問題的回答讓我還是留有一些印象的,主持人收集到一個(gè)問題:“騰迅安全中心的建設(shè)初期遇到的最迫切需要解決的問題是什么?”,他回答道:“其實(shí)騰訊安全中心從建設(shè)初期到現(xiàn)在一直面臨各種迫切的問題,只是隨著時(shí)間的不同而不同的演變,最早的協(xié)議安全到客戶端安全到奧運(yùn)期間的信息安全都是一個(gè)發(fā)展的階段”(因?yàn)闆]有ppt以及記錄,因此描述的可能不太準(zhǔn)確)。但是這個(gè)思想任何技術(shù)行業(yè)都是一樣的,時(shí)代不同關(guān)注不同,需要解決的問題也是在發(fā)展的。
第二個(gè)議題是Discuz的劍心帶來的“web應(yīng)用程序中的字符集攻擊”,這個(gè)演講就相對(duì)來說比較注重專業(yè)細(xì)節(jié)方面的闡述。作為互聯(lián)網(wǎng)應(yīng)用開發(fā)者,使用Java的人第一堂課就是中文亂碼,很多人只看到如何去配置或者寫一點(diǎn)轉(zhuǎn)換語句就可以解決,但是對(duì)于編碼方式就不求甚解,ISO-8859-1,GB2312,UTF-8,UTF-16區(qū)別是什么,為什么會(huì)引起亂碼。其實(shí)了解了編碼的原理就很能夠解釋如何會(huì)產(chǎn)生亂碼,同時(shí)產(chǎn)生亂碼的時(shí)候也可以根據(jù)亂碼的情況了解可能是因?yàn)槭裁淳幋a轉(zhuǎn)化造成的(阿里巴巴的寶寶寫了一篇很詳細(xì)的文章說了這個(gè)問題,進(jìn)入公司以后我也是看了那片文章才系統(tǒng)地對(duì)編碼方式做了完整的了解,以前都是碎片)。不過今天聽了這個(gè)演講,到讓我知道了原來編碼方式也被人用來攻擊。其實(shí)基本的思想主要就是一點(diǎn):由于信息轉(zhuǎn)發(fā)中對(duì)于不同編碼解析的方式不同或者是過濾不同,導(dǎo)致出現(xiàn)一些漏洞。通俗的比喻就是刺殺秦始皇的圖窮匕見,侍衛(wèi)就好比第一層把關(guān)的信息轉(zhuǎn)發(fā)者認(rèn)為著幅圖沒有威脅,但是真的按照刺客的處理方式那么就是一個(gè)最好的攻擊性工具。記得我在和同事探討REST對(duì)于Http協(xié)議的使用時(shí)說最重要的就是REST不再使用Http協(xié)議作為傳輸承載協(xié)議而是作為業(yè)務(wù)協(xié)議,那么解析業(yè)務(wù)的時(shí)候究竟是分析協(xié)議中指定的編碼方式還是內(nèi)容中的編碼方式,結(jié)果會(huì)大不一樣,同時(shí)作為安全人員的角度來看,這也會(huì)存在一種安全隱患。所以其實(shí)任何一種錯(cuò)誤都可以被利用作為攻擊的手段。
下午的議題一共有四個(gè),雖然時(shí)間比較長一直連續(xù)講到6點(diǎn)多,但是就像主持人講的,每一個(gè)人都“堅(jiān)持”下來了,呵呵,當(dāng)然堅(jiān)持并不是因?yàn)椴缓寐牐亲鲈谀莾郝牨葘懘a要累很多,當(dāng)然講課的同學(xué)們也是十分辛苦的。下午第一個(gè)演講的是team509的創(chuàng)始人吳石,講的主題是“部分軟件安全的思考”,內(nèi)容專業(yè)化很強(qiáng),對(duì)很多比較底層的安全問題(操作系統(tǒng)等)作了一些介紹,當(dāng)然對(duì)于我這個(gè)門外漢只能聽懂個(gè)大概意思,不過還是有所了解那些名詞的意思到底是什么。第二個(gè)是微軟的大牛蛙同學(xué),也是安全領(lǐng)域?qū)<抑v述了一下微軟的SDL(Security Development Lifecycle),望名生意,安全實(shí)施的流程化。第三個(gè)演講是兩位同學(xué)做的,也是我下午聽得比較有感觸地,先是網(wǎng)名余弦(鐘晨鳴)北京知道創(chuàng)宇信息技術(shù)公司的安全研究員,講的是CSRF蠕蟲技術(shù),從一個(gè)黑客的角度來闡述CSRF的原理以及危害性。這部分比較技術(shù)化一些,但是由于和我關(guān)注的Web安全也比較相關(guān)一些,所以聽起來也不是比較迷糊。雖然聽著他講CSRF,但是其實(shí)我腦子里面已經(jīng)在考慮關(guān)于Open API的一些安全問題。其實(shí)在阿里軟件承載淘寶的API過程中,對(duì)于客戶端的安全問題就一直都在談,但是對(duì)于SIP來說總是鞭長莫及,因?yàn)榉?wù)集成平臺(tái)只會(huì)保障ISV和ISP之間的信息交互的真實(shí)性,但是用戶是否由于ISV的技術(shù)問題導(dǎo)致信息偽造提交,那么就不得而知,但是最后表現(xiàn)出來的結(jié)果就是ISP的Open API計(jì)劃為ISP帶來了更多的安全隱患,也就是說原來淘寶一家漏洞,以后可能會(huì)是千千萬萬家ISV的漏洞,其實(shí)這也是上面幾個(gè)演講提到的合作風(fēng)險(xiǎn)問題,第三方的技術(shù)能力不得而知,同時(shí)產(chǎn)生的風(fēng)險(xiǎn)也會(huì)很難控制。其實(shí)從這里也多多少少看出來為什么FaceBook,myspace,最早對(duì)于用戶安全隱私數(shù)據(jù)的開放不僅僅是開放了數(shù)據(jù)API,同時(shí)也會(huì)有整一套上層框架支持,其實(shí)也是出于開發(fā)者能力不足引起隱私數(shù)據(jù)被惡意修改而作的防護(hù)措施。那么現(xiàn)在Open 用戶的數(shù)據(jù)特別是以后涉及到金額的api如何保證isv不欺詐,isv不被欺騙,這可能是后續(xù)需要更加重視的問題。同時(shí),在聽了CSRF的攻擊中談到的對(duì)于資源定位猜測(cè)以及操作的時(shí)候,讓我對(duì)REST的風(fēng)格又打了一個(gè)冷顫,REST對(duì)于資源的規(guī)劃和定位十分容易,但是這也為這類攻擊提供了便利,同時(shí)對(duì)于資源操作依賴于Http協(xié)議,也會(huì)讓資源的安全性打了折扣,這需要對(duì)Open API開發(fā)人員做更多的安全工作指導(dǎo),或者提供安全框架來防范Open API可能會(huì)產(chǎn)生的安全漏洞。緊接著后面的演講是北京知道創(chuàng)宇信息技術(shù)公司的創(chuàng)始人趙偉,應(yīng)該是業(yè)界比較資深的專家了,本來的議題是“惡意網(wǎng)站檢測(cè)”,不過他還是講了他這些年來的一些經(jīng)歷以及安全領(lǐng)域的黑色產(chǎn)業(yè)鏈的問題。平時(shí)這方面關(guān)注的不多,不過今天這一番交流,讓我對(duì)安全領(lǐng)域的發(fā)展以及現(xiàn)況有所了解,甚至有時(shí)候就覺得現(xiàn)在上網(wǎng)就算裝了一大堆東西還是感覺在“裸奔”。最后一個(gè)議題是51.com的鄭歆煒講的“運(yùn)維安全經(jīng)驗(yàn)談”,總結(jié)了運(yùn)維所面對(duì)的問題以及解決方案,協(xié)調(diào),溝通,總結(jié),知識(shí)庫,其實(shí)這些對(duì)于開發(fā)人員來說何嘗不是呢。最后小黑作了一個(gè)簡(jiǎn)短的總結(jié),同時(shí)預(yù)報(bào)了明天他會(huì)做一次附加的構(gòu)建安全Web架構(gòu)的講座,期待明天半天的研討會(huì)和附加講座。
好久沒有踏踏實(shí)實(shí)地坐著好好聽課了,這次一天半的學(xué)習(xí)對(duì)于自己來說也算是一次新知識(shí)的掃盲,同時(shí)也為自己后續(xù)的工作可能存在的問題或者可以借鑒的知識(shí)作一個(gè)鋪墊。