前言
从一开始我们就试图把分析处理对象指定为大规模环境中的Web威胁,不是为了浮夸与博眼球,也不是为了刻意拔高姿态,而是寄希望与能找到一种普世通用的数据方法论能适用于各种不同类别的中小型站点所面临的威胁。这里的「大规模」,指的是有着成百万乃至上千万的站点的环境。这些站点使用着不同的编程语言、不同的框架、不同的Web组件,有着不同的业务、不同的逻辑以及不同的用户,唯一相同的是它们每天都在遭受着各式各样的攻击。
同时,大规模的环境之下充斥着各种转瞬既逝的信息,消逝之快快到我们来不及停下来谛听,新的信息又联翩而至。对于威胁,没有什么是比「大规模」与「转瞬既逝」还更好的庇护。相比茫然,我们更多的是恐惧,恐惧的不是看到了这么多威胁,而是那些还没看到的威胁。我们甚至回答不出还有多少是未知,而未知,永远又是最为可怕的。我们一次次为新的未知感到惊喜,而又一次次的面对着新的未知,怀疑自己怀疑着这个世界。
这个系列至少有三个部分,我们希望能在不断探索的过程中,尝试摸索楚一些科学的数据方法,用有别于经典安全产品的思路来尝试解决一些新问题,以及对老问题的解法「re-design」。由于篇幅有限,第一部分只能先铺垫一些浅层次的知识,感知的也注定只是一些浅层次的线索。同时,第一部分的所有思路都不是任何一个人的功劳,是多少个日夜大家一起碰撞后的成果。他们是:
碳基体、Rainy_zh、zhouxiangrong、mkods、酱油男高渐离、yuklin_、破-见、FlyR4nk、fangzheng_rhw、_X、ThomasBright、Olonglong、楚安、tata1.异常模型
1.1参数异常模型
回顾一下Web威胁中的几大类攻击,SQLi、XSS、RCE……等虽然攻击方式各不相同,但基本都有一个通用的模式,即通过对参数进行注入payload来进行攻击,参数可能是出现在GET、POST、COOKIE、PATH等等位置。所以第一个异常模型,我们希望能覆盖掉参数中出现的异常,这样就能覆盖掉很大一部分的常见的Web攻击。
1.1.1模型原理
假设有这样一条url: