如何保證web安全
發(fā)布時(shí)間:2021-10-17 11:30
來(lái)源:博客園
閱讀:0
作者:V
欄目: 網(wǎng)絡(luò )安全
一�、前言
互聯(lián)網(wǎng)發(fā)展初期��,那還是IE瀏覽器的時(shí)代���,那時(shí)大家上網(wǎng)的目的就是通過(guò)瀏覽器分享信息���、獲取新聞��。隨著(zhù)互聯(lián)網(wǎng)的快速發(fā)展���,網(wǎng)頁(yè)能做的事情越來(lái)越多�����,不僅可以看新聞��、玩游戲�,還能購物���、聊天����,這些功能極大地豐富了我們的生活�。
隨著(zhù)網(wǎng)頁(yè)功能的逐漸增多�����,就開(kāi)始出現了一些黑帽子�����,他們試圖通過(guò)一些技術(shù)手段來(lái)牟取利益�����。比如木馬病毒�����,它可以監控你的鍵盤(pán)��,將你在鍵盤(pán)上敲打的內容發(fā)送到黑客的機器上�����,黑客通過(guò)分析這些內容��,很容易就能得到你的游戲賬號和密碼�����。在這之后�����,就誕生出了一些殺毒軟件����,致力于解決網(wǎng)絡(luò )上的各種病毒�,隨著(zhù)不斷地發(fā)展�,殺毒軟件已經(jīng)成為一臺電腦必不可少的軟件��。
為什么會(huì )出現這樣的安全問(wèn)題�����?
安全歸根到底是信任的問(wèn)題���,如果所有人都按照正常的流程去上網(wǎng)����,不去謀取私利����,也就沒(méi)有安全問(wèn)題可談了����。
安全的根本在于信任���,但要讓所有人互相信任談何容易���。在當前階段�����,我們可以做到:持續做好安全防護���,讓漏洞越來(lái)越少��,非法攻擊越來(lái)越困難�����,這樣就能逐漸減少黑帽子的數量����,讓病毒制造者越來(lái)越少��。
1�����、如何做好安全
要做好安全���,首先得理解安全問(wèn)題的屬性��,前人通過(guò)無(wú)數實(shí)踐�����,最后將安全的屬性總結為安全三要素��,分別為:
1)機密性
保護數據內容不被泄露�����。通常使用加密的方法����。
2)完整性
保護數據內容是完整的���、沒(méi)有被篡改����。通常使用數字簽名的方法����。
3)可用性��。
數據隨時(shí)都能夠使用����。通常是在防御 DOS��。
2���、安全評估
有了安全 3 要素之后�����,我們就可以對安全問(wèn)題進(jìn)行評估了��。
1)資產(chǎn)等級劃分
找出最重要的數據�。找出最重要數據的宿主空間�,如:在數據庫里����,那么數據庫就得重點(diǎn)防御�����。找出數據庫的宿主空間�����,如:在一臺服務(wù)器上��,那么這臺服務(wù)器就得做次等防御�����。找出服務(wù)器的宿主空間��,如:在 OSI 網(wǎng)絡(luò )層級上�,那么在網(wǎng)絡(luò )層面就得做一般防御����。
2)威脅分析
找出威脅(可能造成危害的來(lái)源)���。找出風(fēng)險(可能出現的損失叫做風(fēng)險)���。
3)風(fēng)險分析
采取多標準決策分析��,即:風(fēng)險 = 威脅等級 * 威脅可行性���。計算所有的威脅��,將最終的風(fēng)險進(jìn)行排序��,優(yōu)先解決風(fēng)險大的問(wèn)題�。
4)確認解決方案
找出不安全的實(shí)現方式��,并確定解決方案����。解決方案不要改變商業(yè)需求的初衷����。解決方案需對用戶(hù)透明�����,不要改變用戶(hù)的習慣���。
做好安全評估之后�����,我們就有了一份安全解決方案����,后續的安全工作只需按照這個(gè)方案去做���,就沒(méi)有任何問(wèn)題�。
3��、安全的原則
有了安全解決方案之后���,我們還可以制定一些安全原則�,遵守原則做事�,可以讓我們事半功倍��。
1)黑名單����、白名單原則
白名單方案指的是給安全的資源授權���。黑名單方案指的是禁用不安全的資源�����。我們應該優(yōu)先使用白名單方案���,因為黑名單通常統計不完所有的不安全資源����。如:XSS 攻擊的方式非常多�����,可以通過(guò) script��、css��、image 標簽等��,盡管你將這些標簽都加入黑名單�,也不能保證其他的標簽都沒(méi)有 XSS 的攻擊隱患�����。
2)最小權限原則
只授予必要的權限���,不要過(guò)度授權�,減少出錯機會(huì )�����。如:普通權限的 Linux 用戶(hù)只能操作 ~ 文件夾下的目錄�����,如果有人想刪庫跑路��,在執行 rm -rf / 時(shí)�����,就會(huì )提示無(wú)權限�。
3)縱深防御原則
這條原則類(lèi)似 木桶理論���,安全水平往往取決于最短的那塊板���。即:不要留下短板�,黑帽子們往往可以利用短板為突破口�����,挖掘更大的漏洞����。
4)數據與代碼分離原則
當用戶(hù)數據被當成代碼執行時(shí)��,混淆了數據和代碼的邊界�����,從而導致安全問(wèn)題�。如:XSS 就是利用這一點(diǎn)去攻擊的�。
5)不可預測性原則
這條原則是為了提高攻擊門(mén)檻�,有效防止基于篡改���、偽造的攻擊�����。如:數據庫中使用 uuid 代替 number 型的自增主鍵�����,可以避免 id 被攻擊者猜到����,從而進(jìn)行批量操作���。token 也是利用不可預測性����,攻擊者無(wú)法構造 token 也就無(wú)法進(jìn)行攻擊���。
有了這些安全原則���,接下來(lái)介紹幾個(gè)常見(jiàn)的攻防案例�����。
二�����、安全攻防案例
安全攻防的案例非常多����,這里主要介紹幾個(gè)出鏡率比較高的安全問(wèn)題��。
(一)客戶(hù)端攻擊
主要有:XSS 攻擊�、CSRF 攻擊����、點(diǎn)擊劫持�。
1�����、XSS攻擊
XSS 攻擊的本質(zhì)是將用戶(hù)數據當成了 HTML 代碼一部分來(lái)執行�,從而混淆原本的語(yǔ)義��,產(chǎn)生新的語(yǔ)義����。
如圖所示��,我們注冊了一個(gè) <script>alert(document.cookie)</script> 的用戶(hù)名����,所有能看到此用戶(hù)名字的頁(yè)面����,都會(huì )彈出當前瀏覽器的 Cookie�,如果代碼的邏輯是將 Cookie 發(fā)送到攻擊者的網(wǎng)站�,攻擊者就能冒充當前用戶(hù)進(jìn)行登錄了���。
XSS 攻擊方式有很多��,所有和用戶(hù)交互的地方���,都有可能存在 XSS 攻擊�����。例如:
所有 input 框��。
window.location��。
window.name�����。
document.referrer��。
document.cookie���。
localstorage�����。
...
由于頁(yè)面中與用戶(hù)交互的地方非常多����,肯定還有一些 XSS 的攻擊方式?jīng)]有被發(fā)現�,而一旦被黑帽子發(fā)現���,就可能造成嚴重的影響����,所以我們務(wù)必引起重視���。
1)XSS 攻擊影響
被 XSS 攻擊成功后��,攻擊者就可以獲取大量的用戶(hù)信息��,例如:
識別用戶(hù) UA��。識別用戶(hù)瀏覽器擴展�����。識別用戶(hù)瀏覽過(guò)的網(wǎng)站���。(通過(guò) CSS 的 Visited 屬性�。)獲取用戶(hù)真實(shí)的 IP�����。(通過(guò) WebRTC 等�����。)盜取 Cookie(偽造用戶(hù)登錄�,竊取用戶(hù)資料�����。)XSS 釣魚(yú)�����。(向頁(yè)面注入一個(gè)登錄彈窗���,讓用戶(hù)認為是網(wǎng)站內的登錄彈窗(其實(shí)是釣魚(yú)網(wǎng)站的)�����,一旦用戶(hù)登錄����,賬號密碼就泄露給了釣魚(yú)網(wǎng)站���。)
2)XSS 攻擊防御
目前來(lái)說(shuō)����,XSS 已經(jīng)得到了互聯(lián)網(wǎng)行業(yè)的重視�,許多開(kāi)發(fā)框架都內置了安全的 HTML 渲染方法��。
我們也可以自定義進(jìn)行一些安全配置�����。
配置 HTTP 中的 http-only 頭�����,讓前端 JS 不能操作 Cookie�����。輸入檢查����,在用戶(hù)提交數據時(shí)��,使用 XssFilter 過(guò)濾掉不安全的數據��。輸出檢查���,在頁(yè)面渲染的時(shí)候�����,過(guò)濾掉危險的數據����。
簡(jiǎn)單就是說(shuō)需要:禁止js操作cookie��、提交時(shí)檢查html��、輸出時(shí)檢查html(可以通過(guò)轉碼)
2���、CSRF 攻擊
CSRF(Cross-site request forgery)跨站請求偽造���,是一種利用用戶(hù)身份��,執行一些用戶(hù)非本意的操作��。
比如:
用戶(hù)先登錄了服務(wù)器 B����,然后去訪(fǎng)問(wèn)服務(wù)器 C�����。服務(wù)器 C 通過(guò)惡意腳本��,冒充 A 去調用服務(wù)器 B 上的某個(gè)功能��,對于服務(wù)器 B 來(lái)說(shuō)�����,還以為這是 A 發(fā)起的請求��,就當作正常請求處理了����。
試想一下�����,如果 C 冒充 A 進(jìn)行了一次轉賬��,必定會(huì )造成大量的經(jīng)濟損失�����。
1)CSRF 防御方式
防御 CSRF 主要有以下幾種方式:
a�、驗證碼Referer 檢查
每一次請求都要求用戶(hù)驗證��,以確保請求真實(shí)可靠��。即:利用惡意腳本不能識別復雜的驗證碼的特點(diǎn)����,保證每次請求都是合法的��。
b���、Referer 檢查
檢查發(fā)起請求的服務(wù)器����,是否為目標服務(wù)器���。即:HTTP 請求中的 Referer 頭傳遞了當前請求的域名���,如果此域名是非法服務(wù)器的域名�,則需要禁止訪(fǎng)問(wèn)���。
c���、Token
利用不可預測性原則�����,每一請求必須帶上一段隨機碼����,這段隨機碼由正常用戶(hù)保存����,黑帽子不知道隨機碼���,也就無(wú)法冒充用戶(hù)進(jìn)行請求了����。
(學(xué)習視頻分享:)
3�����、點(diǎn)擊劫持
點(diǎn)擊劫持是一種視覺(jué)欺騙的攻擊手段�����。攻擊者將需要攻擊的網(wǎng)站通過(guò) iframe 嵌套的方式嵌入自己的網(wǎng)頁(yè)中���,并將 iframe 設置為透明�����,在頁(yè)面中透出一個(gè)按鈕誘導用戶(hù)點(diǎn)擊�。
就像一張圖片上面鋪了一層透明的紙一樣��,你看到的是攻擊者的頁(yè)面�����,但是其實(shí)這個(gè)頁(yè)面只是在底部���,而你真正點(diǎn)擊的是被攻擊者透明化的另一個(gè)網(wǎng)頁(yè)�����。
1)點(diǎn)擊劫持防御
由于點(diǎn)擊劫持主要通過(guò) iframe����,所以在防御時(shí)�,主要基于 iframe 去做��。
方案一:frame busting
if (self !== top) { // 跳回原頁(yè)面
top.location = self.location;
}正常網(wǎng)站使用 JS 腳本判斷是否被惡意網(wǎng)站嵌入��,如:博客網(wǎng)站監測到被一個(gè) iframe 打開(kāi)���,自動(dòng)跳轉到正常的頁(yè)面即可�����。
方案二:使用 HTTP 中的 x-frame-options 頭�,控制 iframe 的加載����,它有 3 個(gè)值可選:
DENY���,表示頁(yè)面不允許通過(guò) iframe 的方式展示�。SAMEORIGIN����,表示頁(yè)面可以在相同域名下通過(guò) iframe 的方式展示�。ALLOW-FROM��,表示頁(yè)面可以在指定來(lái)源的 iframe 中展示���。
配置 iframe 的 sandbox 屬性:sandbox = "allow-same-origin" ����,則只能加載與主站同域的資源���。
(二)服務(wù)端攻擊
服務(wù)器端的攻擊的方式也非常多����,這里列舉幾個(gè)常見(jiàn)的�����。
SQL 注入攻擊文件上傳漏洞登錄認證攻擊應用層拒絕服務(wù)攻擊webServer 配置安全
1��、SQL 注入攻擊
SQL 注入和 XSS 一樣�����,都是違背了數據和代碼分離原則導致的攻擊方式��。
如圖所示����,我們利用 SQL 注入��,就能在不需要密碼的情況下�,直接登錄管理員的賬號����。
攻擊的前提是:后端只用了簡(jiǎn)單的拼接 SQL 的方式去查詢(xún)數據����。
// 拼接出來(lái)的 sql 如下:select * from user where username = 'admin' or 1=1 and password = 'xxx'
// 無(wú)論密碼輸入什么���,這條 sql 語(yǔ)句都能查詢(xún)到管理員的信息
除此之外��,SQL 注入還有以下幾種方式:
a����、使用 SQL 探測�,猜數據庫表名�����,列名���。
通過(guò) MySQL 內置的 benchmark 探測數據庫字段����。如:一段偽代碼 select database as current if current[0]==='a',benchmark(10000,'猜對了') 如果表明猜對了�,就延遲 10 s 并返回成功�����。
b�����、使用存儲過(guò)程執行系統命令
通過(guò)內置的方法或存儲過(guò)程執行 shell 腳本���。如:xp_cmdshell�、sys_eval���、sys_exec 等��。
c����、字符串截斷
如:MySQL 在處理超長(cháng)的字符串時(shí)��,會(huì )顯示警告����,但會(huì )執行成功��。注冊一個(gè) admin + 50 個(gè)空格的用戶(hù)��,會(huì )觸發(fā)截斷���,最終新增一個(gè) admin 用戶(hù)�����,這樣就能擁有管理員權限了��。
1)SQL 注入防御
防止 SQL 注入的最好的辦法就是���,不要手動(dòng)拼接 SQL 語(yǔ)句��。
最佳方案�,使用預編譯語(yǔ)句綁定變量:通常是指框架提供的拼接 SQL 變量的方法��。這樣的語(yǔ)義不會(huì )發(fā)生改變����,變量始終被當成變量���。嚴格限制數據類(lèi)型�����,如果注入了其他類(lèi)型的數據����,直接報錯����,不允許執行���。使用安全的存儲過(guò)程和系統函數�����。
2��、CRLF 注入
在注入攻擊中�����,換行符注入也是非常常見(jiàn)的一種攻擊方式�����。
如果在 HTTP 請求頭中注入 2 個(gè)換行符���,會(huì )導致?lián)Q行符后面的所有內容都被解析成請求實(shí)體部分��。攻擊者通常在 Set-Cookie 時(shí)�����,注入換行符��,控制請求傳遞的內容����。
3��、文件上傳漏洞
上傳文件是網(wǎng)頁(yè)開(kāi)發(fā)中的一個(gè)常見(jiàn)功能����,如果不加處理����,很容易就會(huì )造成攻擊�����。
如圖所示�����,攻擊者上傳了一個(gè)木馬文件�,并且通過(guò)返回的 URL 進(jìn)行訪(fǎng)問(wèn)���,就能控制服務(wù)器��。
通常我們會(huì )控制上傳文件的后綴名�����,但也不能完全解決問(wèn)題�,攻擊者還可以通過(guò)以下方式進(jìn)行攻擊:
偽造正常文件
將木馬文件偽裝成正常的后綴名進(jìn)行上傳�。
如果要避免這個(gè)問(wèn)題��,我們可以繼續判斷上傳文件的文件頭前 10 個(gè)字節�����。
Apache 解析方式是從后往前解析����,直到找到一個(gè)認識的后綴名為止
如:上傳一個(gè) abc.php.rar.rar.rar 能繞過(guò)后綴名檢查��,但在執行時(shí)���,被當成一個(gè) php 文件進(jìn)行執行�����。
IIS 會(huì )截斷分號進(jìn)行解析
如:abc.asp;xx.png 能繞過(guò)后綴名檢查�,但在執行時(shí)�,被當成一個(gè) asp 文件進(jìn)行執行���。
HTTP PUT 方法允許將文件上傳到指定位置
通過(guò) HTTP MOVE 方法�����,還能修改上傳的文件名�。
通過(guò)二者配合���,就能先上傳一個(gè)正常的后綴名���,然后改為一個(gè)惡意的后綴名���。
PHP CGI 路徑問(wèn)題
執行 http://abc.com/test.png/xxx.php 時(shí)�,會(huì )把 test.png 當做 php 文件去解析��。
如果用戶(hù)正好是把一段惡意的 php 腳本當做一張圖片進(jìn)行上傳��,就會(huì )觸發(fā)這個(gè)攻擊�。
1)文件上傳漏洞防御
防御文件上傳漏洞�,可以從以下幾點(diǎn)考慮:
將文件上傳的目錄設置為不可執行�。判斷文件類(lèi)型檢查 MIME Type��,配置白名單����。檢查后綴名����,配置白名單����。使用隨機數改寫(xiě)文件名和文件路徑上傳文件后����,隨機修改文件名���,讓攻擊者無(wú)法執行攻擊�。單獨設置文件服務(wù)器的域名單獨做一個(gè)文件服務(wù)器���,并使用單獨的域名����,利用同源策略�,規避客戶(hù)端攻擊�����。通常做法是將靜態(tài)資源存放在 cdn/' target='_blank'>CDN 上��。
4����、登錄認證攻擊
登錄認證攻擊可以理解為一種破解登錄的方法���。攻擊者通常采用以下幾種方式進(jìn)行破解:
彩虹表
攻擊者通過(guò)搜集大量明文和 MD5 的對應關(guān)系����,用于破解 MD5 密文找出原文���。
對于彩虹表中的 MD5 密碼���,我們可以加鹽��,進(jìn)行二次加密����,避免被破解��。
Session Fixation攻擊
利用應用系統在服務(wù)器的 SessionID 固定不變機制�,借助他人用相同的 SessionID 獲取認證和授權���。
攻擊者登錄失敗后���,后端返回了 SessionID��,攻擊者將 SessionID 交給正常用戶(hù)去登錄���,登錄成功后���,攻擊者就能使用這個(gè) SessionID 冒充正常用戶(hù)登錄了�。
如果瀏覽器每一次登錄都刷新 SessionID 可以避免這個(gè)問(wèn)題���。
Session 保持攻擊
有些時(shí)候�,后端出于用戶(hù)體驗考慮�,只要這個(gè)用戶(hù)還活著(zhù)���,就不會(huì )讓這個(gè)用戶(hù)的 Session 失效���。
攻擊者可以通過(guò)不停發(fā)起請求��,可以讓這個(gè) Session 一直活下去����。
1)登錄認證防御方式
多因素認證密碼作為第一道防御��,但在密碼驗證成功后��,我們還可以繼續驗證:動(dòng)態(tài)口令�,ssl/' target='_blank'>數字證書(shū)�,短信驗證碼等����,以保證用戶(hù)安全��。由于短信和網(wǎng)頁(yè)完全是 2 套獨立的系統����,攻擊者很難獲取到短信驗證碼�,也就無(wú)法進(jìn)行攻擊����。
5�、應用層拒絕服務(wù)攻擊
應用層拒絕服務(wù)攻擊��,又叫 DDOS 攻擊��,它指的是利用大量的請求造成資源過(guò)載����,導致服務(wù)器不可用��。
通常有以下幾種 DDOS 攻擊方式:
SYN Flood 洪水攻擊
利用 HTTP 3 次握手機制��,消耗服務(wù)器連接資源���。
如:攻擊者發(fā)起大量的 HTTP 請求�����,但并不完成 3 次握手���,而是只握手 2 次����,這時(shí)服務(wù)器端會(huì )繼續等待直至超時(shí)�。這時(shí)的服務(wù)器會(huì )一直忙于處理大量的垃圾請求����,而無(wú)暇顧及正常請求���。
Slowloris 攻擊
以非常低的速度發(fā)送 HTTP 請求頭����,消耗服務(wù)器連接資源�����。
如:攻擊者發(fā)送大量 HTTP 請求���,但每個(gè)請求頭都發(fā)的很慢����,每隔 10s 發(fā)送一個(gè)字符�,服務(wù)器為了等待數據��,不得始終保持連接����,這樣一來(lái)�,服務(wù)器連接數很快就被占光了�����。
HTTP POST DOS
發(fā)送 HTTP 時(shí)�����,指定一個(gè)非常大的 Content-Length 然后以很長(cháng)的間隔發(fā)送�����,消耗服務(wù)器連接資源�。
CC 攻擊
針對一些非常消耗資源的頁(yè)面�����,不斷發(fā)起請求�����。
如:頁(yè)面中的某些頁(yè)面�,需要后端做大量的運算���,或者需要做非常耗時(shí)的數據庫查詢(xún)�����。在大量的請求下��,服務(wù)器的 CPU�����、內存等資源可能就被占光了���。
Server Limit DOS
通過(guò) XSS 注入一段超長(cháng)的 Cookie���,導致超出 Web 服務(wù)器所能承受的 Request Header 長(cháng)度����,服務(wù)器端就會(huì )拒絕此服務(wù)�����。
ReDOS
針對一些缺陷的正則表達式��,發(fā)起大量請求�,耗光系統資源��。
1)應用層拒絕服務(wù)攻擊防御
對于應用層拒絕服務(wù)攻擊����,目前也沒(méi)有特別完美的解決方案�����,不過(guò)我們還是可以進(jìn)行一些優(yōu)化�����。
應用代碼做好性能優(yōu)化合理使用 Redis��、Memcache 等緩存方案���,減少 CPU 資源使用率���。網(wǎng)絡(luò )架構上做好優(yōu)化后端搭建負載均衡����。靜態(tài)資源使用 CDN 進(jìn)行管理����。限制請求頻率服務(wù)器計算所有 IP 地址的請求頻率��,篩選出異常的 IP 進(jìn)行禁用�����?��?梢允褂?LRU 算法���,緩存前 1000 條請求的 IP���,如果有 IP 請求頻率過(guò)高�,就進(jìn)行禁用�。
其實(shí)����,處理 DDOS 核心思路就是禁用不可信任的用戶(hù)��,確保資源都是被正常的用戶(hù)所使用�����。
三��、WebServer 配置安全
我們在部署 web 應用的時(shí)候��,經(jīng)常會(huì )用到 Nginx����、Apache���、IIS��、Tomcat��、Jboss 等 Web 服務(wù)器�,這些服務(wù)器本身也存在一些安全隱患����,如果配置不當�����,很容易收到攻擊�����。
在配置 Web 服務(wù)器時(shí)����,可以參考以下幾點(diǎn):
1��、以用戶(hù)權限運行 Web 服務(wù)器
遵守最小權限原則���,以最小權限身份運行 Web 服務(wù)器�,限制被入侵后的權限��。
2���、刪除可視化后臺
運行 Tomcat����、Jboss 等 Web 服務(wù)器時(shí)��,默認會(huì )開(kāi)啟一個(gè)可視化的運營(yíng)后臺�,運行在 8080 端口��,并且第一次訪(fǎng)問(wèn)是沒(méi)有認證的���。
攻擊者可以利用可視化后臺��,遠程加載一段 war 包或者上傳木馬文件���,進(jìn)行控制���,所以我們需要刪除可視化平臺�����。
3���、及時(shí)更新版本
主流的 Web 服務(wù)器��,每隔一段時(shí)間就會(huì )修復一些漏洞����,所以記得及時(shí)更新版本�����。
相關(guān)推薦:
