安全相关总结

1、跨站脚本攻击（XSS）

恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候，那么嵌入到web页面中script代码会执行，因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类：反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。

防御手段：

消毒，XSS一般通过在请求中恶意嵌入脚本达到攻击的目的，可对某些HTML危险字符转义，达到过滤和消毒的目的



2、sql注入攻击

攻击者发送含有恶意sql命令的http请求

防御手段：

a、消毒，通过正则匹配过滤请求数据中可能注入的sql。

b、sql预编译参数绑定



3、跨站请求伪造（CSRF）攻击

攻击者盗用了你的身份，以你的名义发送恶意请求。

a、登录受信任网站A，并在本地生成Cookie。

　 b、在不登出A的情况下，访问危险网站B。

防御手段：

a、表单token，阻止攻击者获得所有用户请求，在请求表单中增加token，每次请求token不同，通过验证token是否正确来判断请求是否合法

b、验证码 影响用户体验，建议关键步骤使用，如输入支付密码

c、Referer check



4、其他漏洞

Error Code：屏蔽错误回显

HTML注释：程序最终发布前要进行code review或自动扫描，避免HTML注释漏洞

文件上传： 设置上传文件白名单，只允许上传可靠的文件类型

还可以使用修改文件名、使用专门的存储等手段，保护服务器免受上传文件攻击

路径遍历：攻击者在请求的URL中使用相对路径，遍历系统未开放的目录和文件

防御方法主要是将JavaScript、CSS等资源文件独立服务器、独立域名，其他文件不使用静态URL访问，动态参数不包含文件路径信息

5、Web应用防火墙

开源Web应用防火墙ModSecurity ：检测请求中是否有攻击脚本

6、网站安全漏洞扫描

网站也需要安全漏洞扫描

网站安全漏洞扫描工具是根据内置规则，模拟黑客攻击行为，用以发现网站安全漏洞的工具

许多大型网站的安全团队都有自己开发的漏洞扫描工具，不定期的对网站的服务器进行扫描，查漏补缺

目前市场上也有很多商用的网站安全漏洞扫描平台

7、信息加密技术及密钥安全管理

a、信息加密技术

单项散列加密

用户密码加密（不需要知道用户密码内容）、校验信息

不可逆

md5

不可把用户密码以明文存储到数据库中

b、对称加密

同一密钥完成加解密过程

c、非对称加密

加密密钥与解密密钥不同 ：加密密钥-公钥 、 解密密钥-私钥

https：客户端公钥加密，服务端私钥解密

电子签名：私钥加密，公钥解密、区块链

d、密钥安全管理与加解密服务系统架构

密钥安全

密钥分三段存储，三个人员角色分别负责其中一段

没有人知道完整密钥

密钥只在应用内存中存在，没有接口可以打印输出

自证清白

把内部人员防住才是真的安全

8、 反垃圾邮件

a、对批量邮件进行分类

b、根据分类好的数据集进行分类算法训练 :贝叶斯分类算法

c、训练出分类模型

d、对待处理邮件进行分类算法识别，识别出正常邮件和垃圾邮件

9、布隆过滤器黑名单

10、电子商务风险控制

规则引擎

机器学习