走过2013 吴建强 漏洞报告：bugreport@vip.sohu.com 今天要讲  DDOS  Security as Service  Active & Passive Web 2.0 App Scanner  Struts2  Iass、Paas对安全的提升  Mobile & GSM Security 2 DDOS  Spamhaus "300" G  利用dns反射  攻击二级提供商及网络交换中心  The DDoS That Almost Broke the Internet 3 DDOS 4 DDOS  如何解决  收益分析  自建清洗中心  anycast  云清洗  运营商URPF 5 DDOS  打造你的“黑洞”  主动牵引   zebra(bgp)、netfilter、nginx 被动牵引  在被攻击服务器实施网络层牵引 iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --todestination X.X.X.X:80 6 • 在防护设备实施清洗后代理到被攻击服务器 Security As Service  输出你的价值 En(de)crypt、Captcha Phish、Malware、Scanner Blacklist  降低使用难度 ACCESS_KEY = "DG74KC39ZC6BJC5312A74D7BWURW42" SECRET_KEY = "1LCJ4f#CV6JY6pYdcXJG" ENCRYPT_SERVICE_ENDPOINT = "https://sasp/CipherServices/encrypt" DECRYPT_SERVICE_ENDPOINT = "https://sasp/CipherServices/decrypt" encrypt: {"sign":"3fb9c19841315fe70ca54788af5b87698f91f210","status":0,"cipher":"AAAAANVsKvYbwsiK32MVSnqIYI28vYYUSXj_x5fSQmzced-R"} |key_version|iv|ciperdata| decrypt: {"sign":"ab5fde10e6607e2fbda4ed0095974894fb90d3e3","status":0,"plain":"abcdef"} 7 Active & Passive Web 2.0 App Scanner   Active WEB2.0 App Scanner  复杂的登陆及会话管理  遍历、点击、遍历、填表、点击、onsubmit...  QtWebKit Passive Web 2.0 App Scanner  基于Proxy的被动扫描  ... 8 Struts2  S2-005、S2-009、S2-016  S2-012、S2-013   受限访问... 一个神奇的框架、一个筛子 9 Struts2  如果我有个灵活定义的WAF就好了  商业WAF VS 开源WAF  如何整合到现有的CDN、GateWay系统  如：安恒明御web应用防火墙等 10 Struts2  如果我用了Security Manager 11 Struts2  如果我有自定义过补丁  布置"锚"点 http://t.cn/zlnNPn6 public Object callMethod(Map context, Object object, String string, Object[] objects) throws MethodFailedException http://www.inbreak.net/?p=507 { if (object.getClass().getName().startsWith("java.")) { return null; } public Object callStaticMethod(Map context, Class aClass, String string, Object[] objects) throws MethodFailedException { return null; } 12 Struts2  如果我准备了一个web filter private final String[] STRUTSAttackPattern = { "StaticMethodAccess", "denyMethodExecution", "java.lang", "redirect:", "action:", "java.io", "Runtime", "context[", "#_", "org.apache.struts2" }; 13 Struts2  选择并管理基础技术框架  实现有充分了解？  以往的漏洞类型、数量、级别？ 14 Iass、Paas对安全的提升   IAAS  可定义的安全镜像  灵活的升级机制  强制访问控制措施 PAAS(java)  统一的Security Policy  Javaagent、instrument  代码热替换 15 Mobile & GSM Security  Andiod Security  Webview  Uncovering Android Master Key 16 Mobile & GSM Security  伪基站  短信监听  基于手机号的用户名认证方式 17 感谢  协助搜狐改进产品安全的研究者及厂商  业界同仁的分享  同事的努力 漏洞报告：bugreport@vip.sohu.com 18