CSRF 攻击
CSRF的全称是Cross Site Request Forgery,就是跨站点伪造请求攻击。 简单理解:Bad guy盗用你的身份,做桌下交易。详细原理看经典案例:
看看乌云网友如何通过CSRF漏洞,自动加关注和发微博。防御措施:
最有效的措施,对敏感操作增加CSRF Token验证并尽量采用POST请求方式(虽然GET 也可以增加Token验证)。- 用户第一次请求网站是生成CSRF Token并保存到session中。
- POST请求时,增加Input Field
csrf_token, 参数值通过session获得。 - 服务器端验证Token的合法性,并更新token。
XSS攻击
XSS攻击可以说最常见最严重的漏洞攻击了。 XSS的全称是Cross-site Scripting,就是跨站脚本攻击。主要分为非存储型XSS(反射型)和存储型XSS. 详细介绍看WIKI吧:经典案例:
实在太多了,随便找一个:XSS Cheat Sheet:
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet防御措施:
- 输入过滤, 即使用Filter 过滤一些敏感字符"<" ">" "#" "script"等.
- 输出过滤(output encoding),htmlEncode, javascriptEncode
- 对敏感操作增加验证码
过滤工具推荐(java):
https://code.google.com/p/owaspantisamy (比较全面,但有点重)https://code.google.com/p/xssprotect/
SQL注入攻击
SQL注入这种老掉牙的攻击手段,我就不多介绍了。 最简单的防御措施,使用预编译方式绑定变量:- JDBC 使用PreparedStatement.
- mybatis/ibatis 使用静态变量#
正确地使用Cookie
- 对于无需JS访问的cookie设置HTTPOnly
- 不要在cookie存放用户敏感数据。
合理设计一个cookie自动登录方案
要保存哪些数据:
- cookie保存base64 encode(username|sequence|token)的value。
- 服务器使用Redis的Hashs结构保存以下这几个值。
Key: user::cookiehashKey: userAgent_ip,userAgent_sequence,userAgent_token,userAgent_expireTime
如何验证cookie登录:
- 如果expireTime没到而且username,sequence,token均相同,登录成功。
- 如果expireTime没到,username和sequence相同,token不同,但IP相同和userAgent不同,登录成功。为什么要这样的设计?因为同一用户可能会使用的不同设备/浏览器登录。
- 其余情况均登录失败,并清空登录cookie。
- 成功登录后,服务器update token,同时更新cookie。
后续操作:
- 修改密码/点击退出,更新服务器端的token和sequence。
- 对于敏感操作(如修改个人私隐信息,Email,password等)需要输入密码。
数据安全
相信大家还记得CSDN 明文密码被暴库泄露的事件吧。 最近又有被暴库的,300w用户数据。防御措施:
对密码采用MD5/SHA(salt+password)进行HASH,salt是一串字符,为防止Rainbow Table 破解用的, salt应该放在一个隐秘的地方(某处代码或配置文件中)。 完善的日志机制
独立安全相关的log,方便追查和事后分析。 ------------下面2项可能偏运维一点,但程序员还是觉得有必要了解--------------服务器运维配置
给大家看看最近的一个案例:防御措施:
iptables 搞起, 该屏蔽就屏蔽,该开放的IP就开放。DDOS攻击
一般来说,防御DDos的攻击是比较难,常见的DDOS方式较多(网络层DDOS、应用层DDOS等)。一些非物理措施:
- 增加anti-spam 机制
- 限制IP请求频率, 结合ip+cookie定位一个client
- 调小Timeout, KeepAliveTimeOut, 增加MaxClients
- 增加容灾机器,优化网站性能。
- 合理配置防火墙。