日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

本文轉(zhuǎn)載自微信公眾號(hào)「虞大膽的嘰嘰喳喳」，作者虞大膽  。轉(zhuǎn)載本文請(qǐng)聯(lián)系虞大膽的嘰嘰喳喳公眾號(hào)。

成都創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),東陽企業(yè)網(wǎng)站建設(shè),東陽品牌網(wǎng)站建設(shè),網(wǎng)站定制,東陽網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,東陽網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

今天回憶下web開發(fā)安全問題，以前在新浪博客時(shí)，遇到最多的攻擊是XSS和SQL注入攻擊。

博客最核心的功能就是富文本發(fā)文，允許執(zhí)行html語義標(biāo)簽，如果處理不當(dāng)，就能執(zhí)行js語句，導(dǎo)致各種的xss攻擊。

那時(shí)候解析文章內(nèi)容沒有很好的dom解析庫，堵住漏洞非常辛苦和被動(dòng)。

另外攻擊就是sql注入，破壞過一些表數(shù)據(jù)，但大范圍的故障沒有出現(xiàn)過。

這二個(gè)攻擊在互聯(lián)網(wǎng)剛開始的時(shí)候非常流行，最重要的原因就是它們的宿主環(huán)境是瀏覽器，瀏覽器能夠執(zhí)行html和js。SQL攻擊同樣如此，如果宿主環(huán)境不能打印sql執(zhí)行結(jié)果，攻擊力度會(huì)小很多。

而現(xiàn)在是APP時(shí)代，都是接口調(diào)用，即使接口中含有html字符，APP也不會(huì)去執(zhí)行;同時(shí)API接口的鑒權(quán)也非常嚴(yán)格，很少出現(xiàn)SQL注入攻擊。

當(dāng)然HTTPS的推廣和普及也讓http服務(wù)安全提高了不少，至少很難出現(xiàn)殘暴的篡改攻擊了。

所以現(xiàn)在攻擊的土壤就是企業(yè)內(nèi)部網(wǎng)站了，因?yàn)樗鼈兇蠖鄶?shù)運(yùn)行在瀏覽器之下，那如何解決呢?

從Web安全的角度看，cookie和session的設(shè)計(jì)本身就是有問題的，以前寫過一篇文章，后面可以發(fā)到公眾號(hào)中。

xss攻擊本質(zhì)上也是結(jié)合cookie一起形成危害的，今天同事提了個(gè)方法，現(xiàn)在很多cookie不會(huì)校驗(yàn)它的出處，如果能夠綁定cookie和設(shè)備(比如設(shè)備號(hào)或者IP)，那么攻擊就小了很多，比如發(fā)現(xiàn)攻擊者附帶的cookie值和IP與存儲(chǔ)在redis中的cookie和IP不一致，就拒絕訪問。

對(duì)于內(nèi)部系統(tǒng)，可以采取二次auth驗(yàn)證，比如nginx就有http basic auth驗(yàn)證;或者登陸才能訪問內(nèi)部系統(tǒng)。

攻擊分為主動(dòng)攻擊和被動(dòng)攻擊，主動(dòng)攻擊不可怕，總能找到方法解決，而被動(dòng)攻擊就非常危險(xiǎn)，在關(guān)鍵時(shí)刻可以給人致命一擊。

在出現(xiàn)安全問題的時(shí)候，首先要判斷服務(wù)器有沒有被人控制，如果被控制了，危險(xiǎn)非常大;如果僅僅是利用應(yīng)用程序漏洞，那么危險(xiǎn)性就會(huì)小很多。

服務(wù)器一旦被攻擊，那么數(shù)據(jù)庫密碼等關(guān)鍵信息就會(huì)泄露，數(shù)據(jù)庫就相當(dāng)于裸奔了，就算數(shù)據(jù)庫隔離的好，還是抵擋不住別人一條DELETE語句;為了減少損失，有兩個(gè)建議。

第一就是數(shù)據(jù)庫用戶授權(quán)要做的更精細(xì)一點(diǎn);另外使用proxy代理數(shù)據(jù)庫，通過proxy來抵擋一些攻擊。

應(yīng)用層的攻擊主要利用軟件的漏洞，或者考驗(yàn)編程人員的能力。所以經(jīng)常升級(jí)系統(tǒng)和軟件，使用相對(duì)成熟的代碼框架，嚴(yán)謹(jǐn)編程，能夠減少很多問題，大概90%的安全問題還是由于代碼的原因。

當(dāng)然口令安全也非常重要，有很多理論知識(shí)，但只要掌握幾點(diǎn)就能解決大部分問題，口令一定要是強(qiáng)口令，避免暴力破解;另外就是口令存儲(chǔ)要使用更嚴(yán)格的密碼學(xué)算法，不要簡單的sha1然后存儲(chǔ)到數(shù)據(jù)庫中，很容易字典攻擊;最后在應(yīng)用層的防攻擊也很重要，不過現(xiàn)在很少直接口令登陸了，都是驗(yàn)證碼或者微信授權(quán)。

當(dāng)然很重要的一個(gè)習(xí)慣就是經(jīng)常性變更口令，能夠解決很多問題，其實(shí)有的時(shí)候出現(xiàn)一個(gè)安全問題，最后才發(fā)現(xiàn)，口令泄露了，根本不是技術(shù)問題。

對(duì)于服務(wù)器本身安全，就是盡量少裝軟件;少開外網(wǎng)端口(比如mongodb，es一定不要綁定外網(wǎng)端口)，即使開了，也要做白名單;使用防火墻做更細(xì)顆粒度的控制;服務(wù)之間做隔離，比如web服務(wù)器被攻擊了，但web服務(wù)器訪問的數(shù)據(jù)庫密碼由更安全的硬件存儲(chǔ)，這樣危險(xiǎn)性就少了很多。

有的時(shí)候大家很注意外部安全，但內(nèi)網(wǎng)之間的隔離也非常重要，不能暢通無阻。

隔離還有個(gè)好處就是出現(xiàn)問題后，可以快速在其他機(jī)房復(fù)制服務(wù)，從而減少故障的影響。授權(quán)也很重要，服務(wù)之間的授權(quán)方式一定要在云端，不能依賴本地。

當(dāng)然核心安全還是數(shù)據(jù)庫資源，數(shù)據(jù)是一切之本。

最后沒有絕對(duì)的安全，都是博弈，如果網(wǎng)站規(guī)模不大，可能沒人愿意黑你。而如果規(guī)?；耍敲淳蜆浯笳酗L(fēng)了。提前做好準(zhǔn)備，以便應(yīng)對(duì)，不至于出現(xiàn)問題的時(shí)候手足無措。

分享名稱：聊一聊Web開發(fā)安全
分享地址：http://www.dlmjj.cn/article/dppscps.html