114培訓(xùn)網(wǎng)歡迎您來到黑龍江高技術(shù)人才孵化基地!

400-850-8622

全國統(tǒng)一學(xué)習(xí)專線 8:30-21:00

1. 信息傳輸加密

https 使用對稱加密還是非對稱加密?

對稱加密使用 DES 還是 AES?

非對稱加密使用 RSA 還是 DSA?

  • 使用什么加密算法,在購*書的時候就要確定。一般是用 RSA 2048 位。

SSL 證書需要不需要購買?

  • 不需要購買的理由 - 我們使用HTTPS的目的就是希望服務(wù)器與客戶端之間傳輸內(nèi)容是加密的,防止中間監(jiān)聽泄漏信息,去證書服務(wù)商那里申請證書不劃算,因為使用服務(wù)的都是固定客戶和自己內(nèi)部人士,所以我們自己給自己頒發(fā)證書,忽略掉瀏覽器的不信任警報即可;
  • 需要購買的理由 - 用戶體驗好、專業(yè)性強。

雙向驗證還是單向驗證?

  • 單向驗證驗證的是服務(wù)器;雙向驗證服務(wù)器客戶端互相驗證。
  • 對于服務(wù)器來講,單向驗證能夠保證傳輸?shù)臄?shù)據(jù)加密過了;雙向驗證不僅保證傳輸數(shù)據(jù)加密,還能夠保證客戶端來源的安全性。
  • 如果使用雙向驗證的話,需要客戶端瀏覽器導(dǎo)入證書。
  • 出于客戶體驗的考慮,大部分 https 網(wǎng)站使用的都是單向驗證(比如 CSDN 登錄),一些安全性要求高的使用的是雙向驗證(比如招行網(wǎng)上銀行支付寶)。

證書是和域名綁定的,服務(wù)開放之前,域名確定、購買,https 證書的購買需要先搞定。



2. 文件存儲加密

非對稱加密使用什么加密算法,RSA 還是 DSA?

非對稱加解密的話,加解密比較慢,實現(xiàn)上使用 java 實現(xiàn)還是 c?



3. 防御 XSS 攻擊

服務(wù)前臺客戶端,對用戶輸入進(jìn)行 js 表單驗證;

目前,我們服務(wù)前臺的客戶端的表單驗證也要交互一下后臺,增加了后臺負(fù)載,而且還留下了 XSS 攻擊隱患;

應(yīng)該是接受指定長度范圍內(nèi)、采用適當(dāng)格式、采用所預(yù)期的字符的內(nèi)容提交;

對于對其他的特別是 javascript 相關(guān)的特殊字符一律過濾;

對于某些 html 危險字符進(jìn)行轉(zhuǎn)義,比如 > 轉(zhuǎn)義為 &gt,< 轉(zhuǎn)義為 &lt;

對于存放敏感信息的 Cookie,對該 Cookie 添加 HttpOnly 屬性,避免被攻擊腳本竊取;

服務(wù)前臺服務(wù)器端,對用戶輸入再次驗證;

進(jìn)行服務(wù)器端表單級驗證,防止惡意用戶模擬瀏覽器繞過 js 代碼進(jìn)行攻擊;

建議對于服務(wù)器端表單驗證統(tǒng)一系統(tǒng)異常碼,結(jié)合系統(tǒng)異常處理機制。客戶端根據(jù)服務(wù)器端返回異常碼顯示相應(yīng)信息,而不是將異常報告赤裸裸地展現(xiàn)給客戶:一是用戶體驗不好,二者給惡意用戶帶來可趁之機;

程序中使用 ESAPI 庫預(yù)防 XSS:

  1. System.out.println(ESAPI.encoder().encodeForHTML("<a href='sdfs'></a>< script > alert(); </ script >" ));  

輸出:
&lt;ahref&#x3d;&#x27;sdfs&#x27;&gt;&lt;&#x2f;a&gt; &lt; script &gt; alert&#x28;&#x29;&#x3b; &lt;&#x2f; script &gt;


4. 防御 SQL 注入

同 3 防御 XSS 攻擊中"建議對于服務(wù)器端表單驗證統(tǒng)一系統(tǒng)異常碼"條;

服務(wù)前臺客戶端在進(jìn)行表單級驗證的需要對 drop、update、delete 等 SQL 進(jìn)行消毒;

服務(wù)前臺服務(wù)器端再次進(jìn)行服務(wù)器表單級驗證的時候,需要再次對 drop、update、delete 等 SQL 進(jìn)行消毒,防止惡意用戶繞過 js 進(jìn)行攻擊;

對敏感字符進(jìn)行轉(zhuǎn)義,比如 ' 轉(zhuǎn)義為 \';

傳統(tǒng) jdbc 進(jìn)行參數(shù)綁定,如

  1. PrepareStatement pre=connection.prepare(“select * from User where user.name=?”);  
  2. pre.setString(1,”zhaoxin”);  
  3. ResultSetrs=pre.executeQuery();  

hibernate 進(jìn)行參數(shù)綁定,如

  1. String hql=”from User user where user.name=:customername ”;  
  2. Query query=session.createQuery(hql);  
  3. query.setParameter(“customername”,name,Hibernate.STRING);  

iBATIS/MyBatis 進(jìn)行參數(shù)綁定,在 SQL 語句的節(jié)點中,設(shè)置 parameterClass = "java.util.Map"即可,程序里把參數(shù)封裝到 Map 中;



5. 防御 CSRF 攻擊

使用 Struts2 的表單標(biāo)簽,其中需要增加 token 標(biāo)簽;

重要的節(jié)點如復(fù)核,加一個驗證碼驗證;

檢查 HTTP 請求頭的 Referer 域,驗證是否合法;


 

6. 劃款環(huán)節(jié)的安全加強

服務(wù)前臺登錄需要動態(tài)口令;

每一筆劃款請求需要動態(tài)口令;

每一筆劃款短信、郵件通知客戶;

設(shè)定限額等風(fēng)險規(guī)則,超過就預(yù)警,需額外人工授權(quán)才能審核通過;

 

 


7. 避免表單重復(fù)提交

使用 Struts2 的表單標(biāo)簽,其中需要增加 token 標(biāo)簽;

對上傳文件進(jìn)行哈希庫記錄驗證,如有重復(fù)詢問客戶是否繼續(xù);

 

關(guān)鍵接口的冪等性設(shè)計;

比如劃款操作,由于網(wǎng)絡(luò)等原因服務(wù)器端的返回結(jié)果丟失掉了,用戶以為上一次操作失敗,刷新頁面或者再次提交,這樣就劃了兩次款:
 
劃款接口使用冪等設(shè)計之后,任何一步由于網(wǎng)絡(luò)等原因失敗或超時,客戶端都可以隨意重試,直到獲得正確結(jié)果:

雖然create_ticket不是冪等的,但在這種設(shè)計下,它對系統(tǒng)狀態(tài)的影響可以忽略,我們只需要保證idempotent_withdraw是冪等的即可。當(dāng)然,如果create_ticket也能設(shè)計成冪等的,那就萬無一失了。

 

每次表單提交后,客戶端禁用”提交”按鈕;

友好體驗起見,各輸入框也進(jìn)入禁止輸入狀態(tài),直到收到服務(wù)器返回結(jié)果(比如 CSDN 博客頻道的評論功能,目前貌似就是用這個辦法來防止重復(fù)提交的)。

 

 

 

8. nginx 反向代理

nginx 是我們服務(wù)器對外的*層屏障;

  • 通過它我們可以輕松進(jìn)行各種安全設(shè)定,比如禁止 IP、限制 IP 并發(fā)數(shù)(這個可以預(yù)防 DOS 攻擊)、設(shè)置 timeout 時間(這個也可以預(yù)防 DOS 攻擊)、限制用戶帶寬等等;
  • nginx 還能對外屏蔽服務(wù)器接口路徑、靜態(tài)文件真實路徑,避免路徑遍歷攻擊;
  • nginx 有個專門預(yù)防 XSS、注入攻擊的模塊 naxsi;

動靜分離,加快響應(yīng)速度,降低 tomcat 負(fù)載;

負(fù)載均衡;



9. 及時更新 Struts2 框架



10. 設(shè)置文件上傳白名單,或者干脆限制為 xls、xlsx,以避免上傳文件攻擊

根據(jù)上傳文件名后綴進(jìn)行文件類型驗證;

根據(jù)上傳文件的文件頭進(jìn)行文件類型驗證;

 


11. nginx 漏洞利用和安全加固

nginx 配置錯誤而導(dǎo)致目錄遍歷漏洞;

比如
location /test {
alias  html/test/;
autoindex on;
}

當(dāng)訪問 http://192.168.1.103/test/ 這個 URL 時,正常情況應(yīng)該遍歷 html/test/ 這個目錄,但是如果訪問 http://192.168.1.103/test../ 這個 URL 時,則會遍歷上一級目錄 html/ 了。
應(yīng)該改為
location /test {
alias  html/test;
autoindex on;
}

或者
location /test/ {
alias  html/test/;
autoindex on;
}

或者直接禁用 autoindex 模塊。

nginx 版本的選擇;

  • 關(guān)于 nginx 的安全漏洞可以關(guān)注 nginx 官方發(fā)布的安全公告 或到其他一些漏洞發(fā)布平臺上查找。
  • 在安裝 nginx 時建議使用自定義安裝路徑,如果采用默認(rèn)安裝路徑,很容易被攻擊者和一些自動化攻擊工具猜測到,為其進(jìn)行下一步的攻擊提供便利。
  • 在選擇 nginx 版本時,需要關(guān)注是否存在安全漏洞和版本的穩(wěn)定性。一般選擇*的穩(wěn)定版本,這樣可以在穩(wěn)定性和安全之間取得一個平衡。

修改/隱藏 Nginx Banner 信息;

日志安全;

  • 修改日志的默認(rèn)保存路徑,然后設(shè)置只允許管理員有日志存放目錄的安全控制權(quán)限。

nginx 權(quán)限設(shè)置;

  • 給 nginx 一個權(quán)限比較低的身份運行,可以通過修改 nginx.conf 進(jìn)行調(diào)整。應(yīng)用服務(wù)器、數(shù)據(jù)庫也應(yīng)該遵循這個原則。

關(guān)閉服務(wù)器標(biāo)記;

  • 如果開啟的話(默認(rèn)為開啟),所有錯誤頁面都會顯示服務(wù)器的版本和信息。

設(shè)置自定義緩存以預(yù)防緩存區(qū)溢出攻擊;



12. web 服務(wù)器和應(yīng)用服務(wù)器目錄權(quán)限設(shè)置原則

如果目錄有寫入權(quán)限,一定不要分配執(zhí)行權(quán)限;

  • 比如網(wǎng)站上傳目錄和數(shù)據(jù)庫目錄一般需要分配寫入權(quán)限,但一定不要分配執(zhí)行權(quán)限。

如果目錄有執(zhí)行權(quán)限,一定不要分配寫入權(quán)限;

一般目錄只需分配讀取權(quán)限即可;

應(yīng)用服務(wù)器和數(shù)據(jù)庫部署在不同的服務(wù)器上;

文件屬主與應(yīng)用服務(wù)器進(jìn)程屬主不同(一般設(shè)置文件屬主為 root);

控制腳本只運行訪問應(yīng)用項目目錄下的文件;

 
 

13. 代碼混淆

靜態(tài) js 代碼混淆;

應(yīng)用程序 java 代碼混淆;

 

14. 數(shù)據(jù)庫安全防護

敏感字段的加密存儲;

比如用戶密碼、銀行賬號等等。

禁用遠(yuǎn)程訪問功能;

經(jīng)常分析MySql訪問日志;

比如通用查詢?nèi)罩緦γ恳粋€客戶端連接以及每一次查詢情況都進(jìn)行了時間戳記錄,通過這種日志往往可以查出網(wǎng)絡(luò)入侵等活動的源頭。

應(yīng)用服務(wù)器數(shù)據(jù)庫配置文件中的用戶名和密碼加密保存;

 
 

15. 人工/自動對web攻擊的定期監(jiān)測

定期分析web日志;

  • 關(guān)鍵字檢查,如insert delete update select等;
  • 特殊字符參數(shù)檢查,如';--/*=等;
  • 特殊表達(dá)式檢查,如1=1 1=2 a' or 'a'='a等;

定期分析防火墻日志;

  • 服務(wù)器主動對外發(fā)起的連接;
  • TFTP協(xié)議FTP 協(xié)議數(shù)據(jù);

定期分析數(shù)據(jù)庫日志

  • 同 14. 數(shù)據(jù)庫安全防護條目提及的"訪問日志"條;
  • 數(shù)據(jù)庫備份記錄;
  • 新庫、新表建立記錄;
  • 存儲過程執(zhí)行記錄;
  • 數(shù)據(jù)的導(dǎo)入導(dǎo)出記錄;

定期分析IDS日志;

  • 搜索SQL攻擊記錄的分析;
  • WEB端口連接IP分布以及請求分布;

定期檢查WEB目錄文件;

  • 關(guān)鍵字搜索檢查;
  • 文件修改時間檢查;
  • 文件*訪問時間檢查;
  • 特殊文件名文件檢查;
  • 上傳文件夾檢查;
  • 文件大小檢查;
 

16. 網(wǎng)站運行監(jiān)控

沒有監(jiān)控的網(wǎng)站,猶如盲人騎瞎馬,夜半臨深淵而不知,生死尚且未卜,就更別說提高可用性、減少故障率、監(jiān)測黑客入侵了。

Nagios;

開源。適合于大規(guī)模分布式系統(tǒng)。與 Ganglia 相比它能夠健康檢查并智能報警,將管理員從日常煩瑣的工作中解放出來。

Ganglia;

開源。適合于大規(guī)模分布式系統(tǒng)。與 Nagios 相比它能夠提供更加精確的數(shù)據(jù),通常和 Nagios 一起使用

nmon;

開源。適合于小規(guī)模應(yīng)用系統(tǒng)。

JMeter PerfMon 服務(wù)器性能指標(biāo)監(jiān)控插件;

開源。適合于配合 JMeter 壓測時使用。
溫馨提示:為不影響您的學(xué)業(yè),來校區(qū)前請先電話咨詢,方便我校安排相關(guān)的專業(yè)老師為您解答
相關(guān)資料
姓名不能為空
手機號格式錯誤