前言
前一段時間接觸了一下web安全的實訓。。。(笑)。痛定思過,這裏總結一下自己對於WEB安全的認識
目錄
目前常見的安全性問題
1、SQL注入
1、原理
<p>SQL注入基本原理是通過構建特殊的輸入作爲參數傳入Web應用程序, web應用程序對用戶輸入數據的合法性沒有判斷或過濾不嚴 ,導致查詢數據的sql語句錯誤,在管理員不知情的情況下實現非法操作,以此來實現欺騙數據庫服務器執行非授權的任意查詢,從而進一步得到相應的數據信息。 </p>
2、具體實現過程
拿沙盒系統舉例,我們的登陸界面,如果已知某個用戶名,那麼通過sql注入代碼成功進入到我們的後臺。。。。。
但是是因爲測試沙盒未開啓magic_quote_gpc的擴展
注入代碼
'or 1=1#; admin'#
如果
實際拼接的sql語句:
就變成了
Select * from user where username = '' or 1=1;# and password = '';
當然這種是極端情況
那麼如果有開啓相應的擴展,這邊也有思路,就是通過數字的轉化來實現注入侵入。
2、xss攻擊
1、原理
因爲瀏覽器在執行網頁代碼的時候,並不能理解或者說規避訪問一些不正規的腳本,即惡意腳本,從而使得攻擊者可以獲取用戶的Token或者用戶個人信息等值,依此獲取攻擊的目的。常與csrf令牌攻擊一起使用
2、具體類型
一般是按照腳本注入的形式劃分,可以分爲存儲型、反射性以及DOM型。其中前兩個是由後端進行規避的,通常使用特殊字符過濾等手段,而DOM型攻擊則是由於前端頁面的Javascript對於部分API接口調用引起的。
3、具體實現
存儲型,一般是數據在從前臺頁面提交,存放到數據庫的過程中,沒有對其內容進行審覈,部分敏感字符沒有過濾,如:<、>等。
反射性:一般是服務端在URL中直接提取後顯示在前端頁面上,同樣的,一些特殊字符沒有過濾。如<> %3c,%3e等字段
DOM型:這一個有些爭議,有些是直接把它歸到了反射型裏面,但是我覺得因爲這一部分主要是瀏覽器爲主體調動,反射型是服務端主體調動。主要是在一些API的地址裏面直接進行插入,比如Image、onload、javascript:window.href='' 等等
4、如何防護
存儲型的xss,在日益進步的現今,基本都已經絕跡了。。。反射型的,則是需要謹慎地注意一下過濾。DOM型的,則需要在前端頁面使用部分直接使用URL或者直接顯示的代碼中,謹慎篩選,包括<>以及大小寫不規律,空格避開過濾規則,直接使用ASCII字符規避過濾等。。當然這個整體都需要謹慎。
3、csrf令牌攻擊
1、原理
<p>全名是跨站點請求僞造,僞造表單提交地址。</p>
2、具體攻擊手段
<form action="https://example.com/tweet" method="POST"> <input type="hidden" name="tweet" value="Pay for $10000 at http://b.com/#iambad"> <input type="submit" value="Click to win!"> </form>
3、防範
利用令牌進行驗證以及篩選。。
對提交方式進行篩選。。
但是某些xss攻擊可以獲取用戶的token,所以防護應該全面。
4、DDos攻擊
1、原理
分佈式拒絕服務
操作多臺肉雞對你的系統進行圍毆。。。(基本型)
利用 tcp/udp 協議規律,通過佔用協議棧資源或者發起大流量擁塞,達到消耗目標機器性能或者網絡的目的。
2、具體工作方法
羣毆。。
最近兩年新出的一種變形是DRDOS ,
作用原理是基於廣播地址與迴應請求的, 一臺計算機向另一臺計算機發送一些特殊的數據包如ping請求時,會接到它的迴應;如果向本網絡的廣播地址發送請求包,實際上會到達網絡上所有的計算機,這時就會得到所有計算機的迴應。這些迴應是需要被接收的計算機處理的,每處理一個就要佔用一份系統資源,如果同時接到網絡上所有計算機的迴應,接收方的系統是有可能喫不消的。
3、防範
1。確保服務器的系統文件是最新的版本,並及時更新系統補丁。 2。關閉不必要的服務。 3。限制同時打開的SYN半連接數目。 4。縮短SYN半連接的time out 時間。 5。正確設置防火牆 禁止對主機的非開放服務的訪問 限制特定IP地址的訪問 啓用防火牆的防DDoS的屬性 嚴格限制對外開放的服務器的向外訪問 運行端口映射程序禍端口掃描程序,要認真檢查特權端口和非特權端口。 6。認真檢查網絡設備和主機/服務器系統的日誌。只要日誌出現漏洞或是時間變更,那這臺機器就可 能遭到了攻擊。 7。限制在防火牆外與網絡文件共享。這樣會給黑客截取系統文件的機會,主機的信息暴露給黑客, 無疑是給了對方入侵的機會。 8。路由器 以Cisco路由器爲例 Cisco Express Forwarding(CEF) 使用 unicast reverse-path 訪問控制列表(ACL)過濾 設置SYN數據包流量速率 升級版本過低的ISO 爲路由器建立log server
4、種類
ACK Flood攻擊
ICMP Flood攻擊
Connection Flood攻擊
HTTP Get攻擊
UDP DNS Query Flood攻擊
5、CC攻擊
1、原理
WEB應用層拒絕服務攻擊
與DDOS 類似,不過是攻擊一些動態頁面,比如一些與數據庫交互頻繁的動態查詢頁面。。
2、具體實現方式
防禦簡單的多了,減少動態頁面以及多次提交,實行驗證碼驗證(僅針對直接攻擊)
還有兩種攻擊方式:
代理攻擊以及殭屍網絡攻擊
代理攻擊是操作一批代理服務器,形象地說就是找了一羣人來砸場子,插普通用戶的隊。會導致頁面打卡極其緩慢或者白屏
殭屍網絡攻擊類似DDOS
3、防範
1、更改Web端口
即改變WEB默認端口,一般攻擊者會默認從80端口進行攻擊,那麼,我們把80的端口進行封閉,並另外開放一個新的端口號。
2、屏蔽不良IP
3、程序執行之後及時釋放資源
4、對負載比較高的程序增加前置條件判斷(如一個session多少秒才能請求一次)
5、開啓線上日誌系統
6、釣魚軟件以及弱口令管理員密碼(。。。)
看自覺了,修改郵件頭以及郵件內容形式,僞造相似域名,誘使客戶進入獲取密碼。。。
管理員則是密碼過於簡單。。
7、外鏈盜用
看日誌篩選吧。。。
8、刪庫跑路(極端情況、容災能力)
多備份。。。三地五中心(螞蟻金融的容災介紹)後期再整,,如果上雲的話,會輕便很多