資源描述:
《大型網站技術架構筆記(3)》由會員上傳分享����,免費在線閱讀,更多相關內容在教育資源-天天文庫��。
1����、七、網站的安全架構-固若金湯1.XSS攻擊??XSS攻擊即跨站點腳本攻擊(CrossSiteScript)��,指黑客通過篡改網頁,注入惡意HTML腳本���,在用戶訪問網頁時���,控制用戶瀏覽器進行惡意操作的一種攻擊方式。??常見的XSS攻擊類型有兩種���,一種是反射型,攻擊者誘使用戶點擊一個嵌入惡意腳本的鏈接��,達到攻擊的目的(盜取用戶Cookie���、密碼來偽造交易���、盜竊用戶財產等)。另一種XSS攻擊是持久型XSS攻擊�,黑客提交含有惡意腳本的請求,保存在被攻擊的Web站點的數據庫中�����,用戶瀏覽網頁時�,惡意腳本被包含在正常頁面中�,達到攻擊的目的�。(1)消毒??對某
2、些html字符轉義�����,如“>”轉義為“>”等����。(2)HttpOnly??即瀏覽器禁止頁面JavaScript訪問帶有HttpOnly屬性的Cookie?�?赏ㄟ^對Cookie添加HttpOnly屬性����,避免被攻擊者利用Cookie獲取用戶信息。2.注入攻擊??注入攻擊主要有兩種形式�,SQL注入攻擊和OS注入攻擊。SQL注入攻擊的原理如下圖所示��。攻擊者在HTTP請求中注入惡意的SQL命令���,服務器用請求構造數據庫SQL命令時�����,惡意SQL被一起構造���,并在數據庫中運行�。??攻擊者獲取數據庫表結構信息的手段有如下幾種:(1)開源��,如果網站采用開源軟件搭建
3��、���,那么網站數據庫就是公開的�;(2)錯誤回顯���,如果網站開啟了錯誤回顯,即服務器內部500錯誤會顯示到瀏覽器上��,攻擊者可以通過故意構造非法數據�,使服務器異常信息輸出到瀏覽器端,為攻擊猜測數據庫表結構提供了便利��;(3)盲注����,攻擊者根據頁面變化情況判斷SQL語句的執(zhí)行情況來猜測數據庫表結構����;??除了SQL注入���,攻擊者還根據具體應用�,注入OS命令���、編程語言代碼等達到攻擊目的����。??防御措施:(1)消毒??和防XSS攻擊一樣���,過濾請求數據中可能注入的SQL�,如"droptable"等��。另外還可以利用參數綁定來防止SQL注入��。(2)參數綁定??使用參數綁定是
4���、最好的防SQL注入方法�����。目前請多數據層訪問框架�����,如MyBatis�����、Hibernate都實現了SQL預編譯和參數綁定��,攻擊者的惡意SQL會被當做SQL的參數而不是SQL命令插入��。3.CSRF攻擊??CSRF即CrossSiteRequestForgery(跨站點請求偽造)�,攻擊者通過跨站點請求,以合法用戶的身份進行非法操作���。CSRF的主要手段是利用跨站請求,在用戶不知情的情況下���,以用戶的身份偽造請求����。其核心是利用了瀏覽器Cookie或服務器Session策略,盜取用戶身份����。??CSRF的防御手段主要是識別請求者身份:(1)表單Toke??CSR
5、F是一個偽造用戶請求的操作����,所以需要構造用戶請求的所有參數才可以,表單Token通過在請求參數中增加隨機數的辦法來組織攻擊者獲取所有請求參數���。(2)驗證碼??更加簡單高效���,即請求提交時,需要用戶輸入驗證碼��,以避免在用戶不知情的情況下被攻擊者偽造請求�。(3)RefererCheck??????HTTP請求頭的Referer域中記錄著請求來源,可通過檢查請求來源�,驗證其是否合法,還可以利用這個功能來實現突破防盜鏈���。4.其他攻擊和漏洞(1)ErrorCode(錯誤回顯):獲取異常信息進行攻擊��。??通過配置Web服務器參數跳轉500頁面到專門的錯誤頁
6��、面���。(2)HTML注釋�,HTML注釋會顯示在客戶端瀏覽器中���。(3)文件上傳����,上傳病毒文件����。??設置上傳白名單,只允許上傳可靠的文件類型�。還可以修改文件名、使用專門的存儲等��。(4)路徑遍歷���,在URL中使用相對路徑����,遍歷系統未開放的目錄和文件�。??防御方法是將JS、CSS等資源部署在獨立服務器�、使用獨立域名,其他文件不使用靜態(tài)URL訪問��。5.WEB應用防火墻??ModSecurity是一個開源的Web應用防火墻(攔截請求�����、過濾惡意參數�����,自動消毒�、添加Token),探測攻擊并保護Web應用程序���,既可以嵌入到Web應用服務器中���,也可以作為一個獨立的應
7、用程序啟動�����。ModSecurity最早只是Apache的一個模塊����,現在已經有Java�����、NET多個版本��,并支持Nginx��。??ModSecurity采用處理邏輯與攻擊規(guī)則集合分離的架構模式��。處理邏輯(執(zhí)行引擎)負載請求和相應的攔截過濾�,規(guī)則加載執(zhí)行等功能��。而攻擊規(guī)則集合則負責描述對具體攻擊的規(guī)則定義�����、模式識別�����、防御策略等功能��。處理邏輯比較穩(wěn)定����,規(guī)則集合需要不斷針對漏洞進行升級,這是一種可擴展的架構設計���。6.信息加密技術??為了保護網站的敏感數據��,應用需要對某些數據進行加密處理�����。(1)單向散列加密(MD5�����、SHA)????給散列算法加點鹽(sal
8�、t)增加破解難度���。(2)對稱加密(DES)(3)非對稱加密(RSA)??非對稱加密使用的加密和解密不是同一密鑰���,其中一個對外界公開,被成為公鑰�,另一個只有所有者知道
