写点什么

第十一周

用户头像
Geek_2b3614
关注
发布于: 2020 年 08 月 26 日

作业一、

使用SpringSecurity的BCryptPasswordEncoder工具快速实现

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
public class Runner {
public static BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
public static void main(String[] args) {
String pwdStr = "e5319343eb";
String userId = "7d046885c43244269d0dc2caf65aae51";
String pwdCry = Runner.bCryptPasswordEncoder.encode(pwdStr + userId);
System.out.println("pwdCry is " + pwdCry);
System.out.println(Runner.checkPW(userId, pwdStr, pwdCry));
System.out.println(Runner.checkPW2(userId, pwdStr, pwdCry));
}
/**
* Compare the original password with the irreversible cipher text
*
* @param userId slot
* @param pwdStr original
* @param pwdCry cipher
* @return Encryption in the same way is equal : true
*/
public static Boolean checkPW(String userId, String pwdStr, String pwdCry) {
return Runner.bCryptPasswordEncoder.matches(pwdStr + userId, pwdCry);
}
public static Boolean checkPW2(String userId, String pwdStr, String pwdCry) {
return Runner.bCryptPasswordEncoder.matches(userId + pwdStr , pwdCry);
}
}



结果

pwdCry is $2a$10$8paY.HPzWnKnJ3SN.DqHs.fmtAOV2d8kalvemg6ztM1ovSN6hd4m.
true
false
Process finished with exit code 0



作业二、

常见的WEB攻击方式:

XSS

XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。XSS是一种常见的web安全漏洞,它允许攻击者将恶意代码植入到提供给其它用户使用的页面中。不同于大多数攻击(一般只涉及攻击者和受害者),XSS涉及到三方,即攻击者、客户端与Web应用。XSS的攻击目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息。一旦获取到合法用户的信息后,攻击者甚至可以假冒合法用户与网站进行交互。

XSS通常可以分为两大类:

  1. 存储型XSS,主要出现在让用户输入数据,供其他浏览此页的用户进行查看的地方,包括留言、评论、博客日志和各类表单等。应用程序从数据库中查询数据,在页面中显示出来,攻击者在相关页面输入恶意的脚本数据后,用户浏览此类页面时就可能受到攻击。这个流程简单可以描述为:恶意用户的Html输入Web程序->进入数据库->Web程序->用户浏览器

  2. 反射型XSS,主要做法是将脚本代码加入URL地址的请求参数里,请求参数进入程序后在页面直接输出,用户点击类似的恶意链接就可能受到攻击。

比如说我写了一个网站,然后攻击者在上面发布了一个文章,内容是这样的 <script>alert(document.cookie)</script>,如果我没有对他的内容进行处理,直接存储到数据库,那么下一次当其他用户访问他的这篇文章的时候,服务器从数据库读取后然后响应给客户端,浏览器执行了这段脚本,就会将cookie展现出来,这就是典型的存储型XSS。



预防XSS:

消毒,坚决不要相信用户的任何输入,并过滤掉输入中的所有特殊字符。这样就能消灭绝大部分的XSS攻击。

目前防御XSS主要有如下几种方式:

过滤特殊字符

避免XSS的方法之一主要是将用户所提供的内容进行过滤(如上面的script标签)。

使用HTTP头指定类型

w.Header().Set("Content-Type","text/javascript")

这样就可以让浏览器解析javascript代码,而不会是html输出。



SQL注入

攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。

举例:' OR '1'='1

这是最常见的 SQL注入攻击,当我们输如用户名 admin ,然后密码输如' OR '1'=1='1的时候,我们在查询用户名和密码是否正确的时候,本来要执行的是SELECT * FROM user WHERE username='' and password='',经过参数拼接后,会执行 SQL语句 SELECT * FROM user WHERE username='' and password='' OR '1'='1',这个时候1=1是成立,自然就跳过验证了。



预防SQL注入:



在Java中,我们可以使用预编译语句(PreparedStatement),这样的话即使我们使用 SQL语句伪造成参数,到了服务端的时候,这个伪造 SQL语句的参数也只是简单的字符,并不能起到攻击的作用。

对进入数据库的特殊字符('"\尖括号&*;等)进行转义处理,或编码转换。

在应用发布之前建议使用专业的SQL注入检测工具进行检测,以及时修补被发现的SQL注入漏洞。网上有很多这方面的开源工具,例如sqlmap、SQLninja等。

避免网站打印出SQL错误信息,比如类型错误、字段不匹配等,把代码里的SQL语句暴露出来,以防止攻击者利用这些错误信息进行SQL注入。



CSRF

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。



预防CSRF:

简单来说,CSRF 就是网站 A 对用户建立信任关系后,在网站 B 上利用这种信任关系,跨站点向网站 A 发起一些伪造的用户操作请求,以达到攻击的目的。

而之所以可以完成攻击是因为B向A发起攻击的时候会把A网站的cookie带给A网站,也就是说cookie已经不安全了。



DDOS

DDOS:分布式拒绝服务攻击(Distributed Denial of Service),简单说就是发送大量请求是使服务器瘫痪。DDos攻击是在DOS攻击基础上的,可以通俗理解,dos是单挑,而ddos是群殴,因为现代技术的发展,dos攻击的杀伤力降低,所以出现了DDOS,攻击者借助公共网络,将大数量的计算机设备联合起来,向一个或多个目标进行攻击。



预防DDOS:

阿里巴巴的安全团队在实战中发现,DDoS 防御产品的核心是检测技术和清洗技术。检测技术就是检测网站是否正在遭受 DDoS 攻击,而清洗技术就是清洗掉异常流量。而检测技术的核心在于对业务深刻的理解,才能快速精确判断出是否真的发生了 DDoS 攻击。清洗技术对检测来讲,不同的业务场景下要求的粒度不一样。



发布于: 2020 年 08 月 26 日阅读数: 47
用户头像

Geek_2b3614

关注

还未添加个人签名 2019.05.09 加入

还未添加个人简介

评论

发布
暂无评论
第十一周