《大型网站技术架构》笔记：架构之安全

2017-06-24 本文已影响47人 maxwellyue

网站应用的攻击和防御

Web应用主要面对XSS攻击、SQL注入、CSRF和Session劫持等安全问题。

XSS攻击

XSS攻击即跨站点脚本攻击（Cross Site Script），指黑客通过篡改网页，注入恶意HTML脚本，在用户浏览网页外，控制用户浏览器进行恶意操作的一种攻击方式。
常见的XSS攻击类型主要有两种：反射型和注入型。
应对手段：

消毒
对用户输入信息进行过滤和消毒处理
HttpOnly
浏览器禁止页面JavaScript访问带有HttpOnly属性的Cookie，防止XSS攻击窃取Cookie。

注入攻击

SQL注入

攻击者在HTTP请求中注入恶意SQL命令，服务器用请求参数构造数据库SQL命令时，恶意SQL被一起构造，并在数据库中执行。
防御SQL攻击首先要避免被攻击者猜测到数据库表结构信息，此外还可以：

消毒：对请求参数消毒，通过正则匹配过滤请求参数中可能注入的SQL
参数绑定：使用预编译手段，绑定参数。这样攻击者的恶意SQL就会被当做SQL参数，而不是SQL命令被执行。

OS注入

攻击者根据具体应用，注入OS命令、编程语言代码等，利用程序漏洞，达到攻击目的。

CSRF攻击

CSRF（Cross Site Request Forgery），跨站点请求伪造，攻击者通过跨站请求，以合法用户的身份进行非法操作，如转账交易、发表评论等。其核心是利用了浏览器的Cookie或服务器的Session策略，盗取用户身份。

CSRF的防御手段主要是识别请求者身份，主要有下面几种方法：

表单Token
在页面表单中增加一个随机数作为Token，每次响应页面的Token都不相同，从正常页面提交的请求会包含该Token，而伪造的请求无法获取该值。
验证码
Referer Check
HTTP请求头的Referer域中记录着请求来源，可通过检查请求来源，验证其是否合法。很多网站利用这个功能实现图片的防盗链。

其他攻击和漏洞

错误回显：服务器端未处理的异常堆栈信息会直接输出到客户端浏览器。黑客会故意制造非法输入，是系统运行出错，获取异常信息，并从中获取系统漏洞。应对办法就是，服务器异常跳转500页面到特定的错误页面。
HTML注释：黑客通过这些注释信息寻找漏洞。应对办法就是在程序最终发布前对代码review或自动扫描，去掉注释。
文件上传：黑客通过上传可执行程序，攻击服务器。最有效的防御手段是设置上传的文件白名单，只允许上传可靠的文件类型。此外，还可以修改文件名、使用专门的存储等手段。
路径遍历：攻击者在请求的URL中使用相对路径，遍历系统未开放的目录和文件。防御办法是将JS、CSS等资源文件部署在独立服务器、使用独立域名，其他文件不适用静态URL访问，动态参数不包含路径信息。

Web应用防火墙

利用Web应用防火墙，统一拦截请求，过滤恶意参数、自动消毒、添加Token，并且能够根据最新攻击和漏洞情报，不断升级对策，处理掉大多数网站攻击。如开源的ModSecurity。

网站安全漏洞扫描

网站安全漏洞扫描工具是根据内置规则，构造具有攻击性的URL请求，模拟黑客攻击行为，用以发现网站安全漏洞的工具。

信息加密技术及密钥安全管理

通常，为了保护网站的敏感数据，应用需要对这些敏感信息进行加密处理，信息加密技术可分为三类：

单向散列加密

单向散列加密是指通过对不同输入长度的信息进行散列计算，得到固定长度的输出。这个散列计算过程是单向的，即不可能对固定长度的输出进行计算从而获得输入信息。
单向散列加密通常用来对用户密码加密。虽然散列计算过程不可逆，但由于人们设置密码的模式固定，因此通过密码和对应的密文的关系表（彩虹表）等手段可以进行猜测式破解。
为了加强单向散列算法的安全性，还会给散列算法加点盐（salt），salt相当于加密的密钥，增加破解的难度。
常用的单向散列算法有MD5、SHA等，单向散列算法还有一个特点就是输入的任何微小变化都会导致输出的完全不同，这个特性也会被用来生成信息摘要、计算具有高离散度的随机数等用途。

对称加密

对称加密是指加密和解密使用的密钥是同一个密钥（或者可以互相推算），通常用在信息需要安全交换或者存储的场合，如Cookie加密、通信加密等。
优点是算法简单，解密加密效率高，适合对大量数据加密。缺点是，解加密使用同一个密钥，远程通信下如何安全的交换密钥是个难题。
常用的对称加密算法：DES算法、RC算法等。
对称加密算法是一种传统加密手段，也是最常用的加密手段，适合绝大多数需要加密的场合。

非对称加密

不同于对称加密，非对称加密和解密使用的不是同一个密钥，其中一个对外界公开，被称为公钥，另一个只有所有者知道，被称为私钥。用公钥加密的信息，必须用私钥才能解开，反之，用私钥加密的信息只有用公钥才能解开。
非对称加密技术通常用在信息安全传输、数字签名等场合。
非对称加密的常用算法有RSA算法等。HTTPS传输中浏览器使用的数字证书实质上是经过权威机构认证的非对称加密的公钥。

实际应用中，常常混合使用对称加密和非对称加密。先使用非对称加密技术对对称密钥进行安全传输，然后使用对称加密技术进行信息加解密与交换。而有时，对通同一次数据两次使用非对称加密，可同时实现信息安全传输与数字签名的目的。

密钥安全管理

无论是单向散列加密用到的salt、对称加密的密钥还是非对称加密的私钥，一旦密钥泄漏，所有基于这些密钥加密的信息就是去了秘密性。

信息过滤与反垃圾

主要手段有文本匹配、分类算法、黑名单等。