安全相关总结

用户头像
关注
发布于: 2020 年 09 月 13 日
安全相关总结

1、跨站脚本攻击(XSS)

恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。

防御手段:

消毒,XSS一般通过在请求中恶意嵌入脚本达到攻击的目的,可对某些HTML危险字符转义,达到过滤和消毒的目的



2、sql注入攻击

攻击者发送含有恶意sql命令的http请求

防御手段:

a、消毒,通过正则匹配过滤请求数据中可能注入的sql。

b、sql预编译参数绑定



3、跨站请求伪造(CSRF)攻击

攻击者盗用了你的身份,以你的名义发送恶意请求。

a、登录受信任网站A,并在本地生成Cookie。

  b、在不登出A的情况下,访问危险网站B。

防御手段:

a、表单token,阻止攻击者获得所有用户请求,在请求表单中增加token,每次请求token不同,通过验证token是否正确来判断请求是否合法

b、验证码 影响用户体验,建议关键步骤使用,如输入支付密码

c、Referer check



4、其他漏洞

Error Code:屏蔽错误回显

HTML注释:程序最终发布前要进行code review或自动扫描,避免HTML注释漏洞

文件上传: 设置上传文件白名单,只允许上传可靠的文件类型

还可以使用修改文件名、使用专门的存储等手段,保护服务器免受上传文件攻击

路径遍历:攻击者在请求的URL中使用相对路径,遍历系统未开放的目录和文件

防御方法主要是将JavaScript、CSS等资源文件独立服务器、独立域名,其他文件不使用静态URL访问,动态参数不包含文件路径信息

5、Web应用防火墙

开源Web应用防火墙ModSecurity :检测请求中是否有攻击脚本

6、网站安全漏洞扫描

网站也需要安全漏洞扫描

网站安全漏洞扫描工具是根据内置规则,模拟黑客攻击行为,用以发现网站安全漏洞的工具

许多大型网站的安全团队都有自己开发的漏洞扫描工具,不定期的对网站的服务器进行扫描,查漏补缺

目前市场上也有很多商用的网站安全漏洞扫描平台

7、信息加密技术及密钥安全管理

a、信息加密技术

单项散列加密

用户密码加密(不需要知道用户密码内容)、校验信息

不可逆

md5

不可把用户密码以明文存储到数据库中

b、对称加密

同一密钥完成加解密过程

c、非对称加密

加密密钥与解密密钥不同 :加密密钥-公钥 、 解密密钥-私钥

https:客户端公钥加密,服务端私钥解密

电子签名:私钥加密,公钥解密、区块链

d、密钥安全管理与加解密服务系统架构

密钥安全

密钥分三段存储,三个人员角色分别负责其中一段

没有人知道完整密钥

密钥只在应用内存中存在,没有接口可以打印输出

自证清白

把内部人员防住才是真的安全

8、 反垃圾邮件

a、对批量邮件进行分类

b、根据分类好的数据集进行分类算法训练 :贝叶斯分类算法

c、训练出分类模型

d、对待处理邮件进行分类算法识别,识别出正常邮件和垃圾邮件

9、布隆过滤器黑名单

10、电子商务风险控制

规则引擎

机器学习



用户头像

关注

everything will be alright 2020.04.06 加入

还未添加个人简介

评论

发布
暂无评论
安全相关总结