安全相关总结
1、跨站脚本攻击(XSS)
恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。
防御手段:
消毒,XSS一般通过在请求中恶意嵌入脚本达到攻击的目的,可对某些HTML危险字符转义,达到过滤和消毒的目的
2、sql注入攻击
攻击者发送含有恶意sql命令的http请求
防御手段:
a、消毒,通过正则匹配过滤请求数据中可能注入的sql。
b、sql预编译参数绑定
3、跨站请求伪造(CSRF)攻击
攻击者盗用了你的身份,以你的名义发送恶意请求。
a、登录受信任网站A,并在本地生成Cookie。
b、在不登出A的情况下,访问危险网站B。
防御手段:
a、表单token,阻止攻击者获得所有用户请求,在请求表单中增加token,每次请求token不同,通过验证token是否正确来判断请求是否合法
b、验证码 影响用户体验,建议关键步骤使用,如输入支付密码
c、Referer check
4、其他漏洞
Error Code:屏蔽错误回显
HTML注释:程序最终发布前要进行code review或自动扫描,避免HTML注释漏洞
文件上传: 设置上传文件白名单,只允许上传可靠的文件类型
还可以使用修改文件名、使用专门的存储等手段,保护服务器免受上传文件攻击
路径遍历:攻击者在请求的URL中使用相对路径,遍历系统未开放的目录和文件
防御方法主要是将JavaScript、CSS等资源文件独立服务器、独立域名,其他文件不使用静态URL访问,动态参数不包含文件路径信息
5、Web应用防火墙
开源Web应用防火墙ModSecurity :检测请求中是否有攻击脚本
6、网站安全漏洞扫描
网站也需要安全漏洞扫描
网站安全漏洞扫描工具是根据内置规则,模拟黑客攻击行为,用以发现网站安全漏洞的工具
许多大型网站的安全团队都有自己开发的漏洞扫描工具,不定期的对网站的服务器进行扫描,查漏补缺
目前市场上也有很多商用的网站安全漏洞扫描平台
7、信息加密技术及密钥安全管理
a、信息加密技术
单项散列加密
用户密码加密(不需要知道用户密码内容)、校验信息
不可逆
md5
不可把用户密码以明文存储到数据库中
b、对称加密
同一密钥完成加解密过程
c、非对称加密
加密密钥与解密密钥不同 :加密密钥-公钥 、 解密密钥-私钥
https:客户端公钥加密,服务端私钥解密
电子签名:私钥加密,公钥解密、区块链
d、密钥安全管理与加解密服务系统架构
密钥安全
密钥分三段存储,三个人员角色分别负责其中一段
没有人知道完整密钥
密钥只在应用内存中存在,没有接口可以打印输出
自证清白
把内部人员防住才是真的安全
8、 反垃圾邮件
a、对批量邮件进行分类
b、根据分类好的数据集进行分类算法训练 :贝叶斯分类算法
c、训练出分类模型
d、对待处理邮件进行分类算法识别,识别出正常邮件和垃圾邮件
9、布隆过滤器黑名单
10、电子商务风险控制
规则引擎
机器学习
评论