当前位置:首页 > 短网址资讯 > 正文内容

大型网站技术架构(八)——网站的安全架构

www.ft12.com8年前 (2017-08-11)短网址资讯2931

从互联网诞生起,安全威胁就一直伴随着网站的发展,各种Web攻击和信息泄露也从未停止。常见的攻击手段有XSS攻击、SQL注入、CSRF、Session劫持等。

1. XSS攻击


XSS攻击即跨站点脚本攻击(Cross Site Script),指黑客通过篡改网页,注入恶意HTML脚本,在用户访问网页时,控制用户浏览器进行恶意操作的一种攻击方式。


常见的XSS攻击类型有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击的目的,如下图所示:

另一种XSS攻击是持久型XSS攻击,黑客提交含有恶意脚本的请求,保存在被攻击的Web站点的数据库中,用户浏览网页时,恶意脚本被包含在正常页面中,达到攻击的目的,如下图所示:

 

消毒


对某些html字符转义,如“>”转义为“&gt”等。


HttpOnly


即浏览器禁止页面JavaScript访问带有HttpOnly属性的Cookie。可通过对Cookie添加HttpOnly属性,避免被攻击者利用Cookie获取用户信息。


2. 注入攻击


注入攻击主要有两种形式,SQL注入攻击和OS注入攻击。SQL注入攻击的原理如下图所示。攻击者在HTTP请求中注入恶意的SQL命令,服务器用请求构造数据库SQL命令时,恶意SQL被一起构造,并在数据库中运行。

除了SQL注入,攻击者还根据具体应用,注入OS命令、编程语言代码等达到攻击目的。

 

消毒


和防XSS攻击一样,过滤请求数据中可能注入的SQL,如"drop table"等。另外还可以利用参数绑定来防止SQL注入。


3. CSRF攻击


CSRF即Cross Site Request Forgery 跨站点请求伪造,攻击者通过跨站点请求,以合法用户的身份进行非法操作。CSRF的主要手段是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核心是利用了浏览器Cookie或服务器Session策略,盗取用户身份

表单Toke

      

CSRF是一个伪造用户请求的操作,所以需要构造用户请求的所有参数才可以,表单Token通过在请求参数中增加随机数的办法来组织攻击者获取所有请求参数。


验证码

      

更加简单高效,即请求提交时,需要用户输入验证码,以避免在用户不知情的情况下被攻击者伪造请求。


Referer Check

      

HTTP请求头的Referer域中记录着请求来源,可通过检查请求来源,验证其是否合法,还可以利用这个功能来实现突破防盗链。


4. WEB应用防火墙

       

ModSecurity是一个开源的Web应用防火墙,探测攻击并保护Web应用程序,既可以嵌入到Web应用服务器中,也可以作为一个独立的应用程序启动。ModSecurity最早只是Apache的一个模块,现在已经有Java、NET多个版本,并支持Nginx。

       

ModSecurity采用处理逻辑与攻击规则集合分离的架构模式。处理逻辑(执行引擎)负载请求和相应的拦截过滤,规则加载执行等功能。而攻击规则集合则负责描述对具体攻击的规则定义、模式识别、防御策略等功能。处理逻辑比较稳定,规则集合需要不断针对漏洞进行升级,这是一种可扩展的架构设计。

5. 信息加密技术


为了保护网站的敏感数据,应用需要对某些数据进行加密处理,信息加密技术科分为三类:单向散列加密对称加密非对称加密


5.1 单向散列加密


单向散列加密是指通过对不同输入长度的信息进行散列计算,得到固定长度的输出,这个散列计算过程是单向的,如下图所示。

单向散列加密一般主要用途是用户密码的加密,使密码不可逆的保存到数据库中,即便数据库信息泄露,攻击者也无法知晓原密码是什么。


常见的单向散列算法有MD5、SHA等。


5.2 对称加密


即加密和解密都使用同一个密钥,如下图所示:

常用的对称加密算法有DES算法、RC算法等。对称加密是一种传统的加密手段,也是最常用的加密手段,适用于大多数场合。

 

5.3 非对称加密


非对称加密使用的加密和解密不是同一密钥,其中一个对外界公开,被成为公钥,另一个只有所有者知道,被称作私钥。用公钥加密的信息必须用私钥才能解开,反正,用私钥加密的信息只有用公钥才能解开,如下图所示:

非对称加密常用算法有RSA等。HTTPS传输中浏览器使用的数字证书实质上是经过权威机构认证的非对称加密的公钥。


扫描二维码推送至手机访问。

版权声明:本文由短链接发布,如需转载请注明出处。

本文链接:https://www.ft12.com/article_397.html

分享给朋友:

相关文章

揭秘淘宝漏洞,灰色收益每月30000+

揭秘淘宝漏洞,灰色收益每月30000+

本文和大家谈谈如何利用七天无理由退货、运费险两大游戏规则之间的漏洞,实现日赚千元,分享本文的目的仅作揭露,请勿模仿操作。在淘宝网运费险规则中,买家的保费根据赔付金额按5%收取,比如保费0.5元、0.6元,对应的保额是10元、12元。这样在收...

我作为程序员辣么穷的黑历史

我在十三、四岁的时候第一次真正进入编程这个领域。从十一岁开始我就一直对计算机非常感兴趣,但在十三岁之前并没有太多地涉足编程。那大约是五年前。我记得在中学玩过一个游戏:Runescape。很多时候游戏都会崩溃,并且会看到一个奇怪的包含外国文字...

不要在年纪轻轻的时候学会了过日子

不要在年纪轻轻的时候学会了过日子

女人的人生路线不应该是奔向家庭主妇,好男人的标准不应该是贤惠持家。我们共同的理想,都不应该是归于平凡。01在我很小的时候,我就经常听街坊邻里夸隔壁家张婆婆的儿媳妇又漂亮又懂事,白天上班晚上就回家从来不出去瞎玩,跟她男人规规矩矩地过日子,有这...

FT12短网址:有些能力是永远无法被人工智能取代的

FT12短网址:有些能力是永远无法被人工智能取代的

[ 短网址资讯 ] 人类本来的应战是天天要做无聊、苦楚、重复的体力劳作,如今的应战是咱们必需要升级到别的一个层面才可以将自个的时间和精力延展在生命的丰富性上,不然你会堕入物质日子丰富却没有作业做的状况,生命会变得十分无聊和空虚。【...

首届品质电商节在杭启幕 深析新零售新品质新服务

首届品质电商节在杭启幕 深析新零售新品质新服务

[FT12短网址 ] 9月23日-9月25日,全国首届品质电商节在杭州余杭未来科技城盛大举办。百家精选品牌,500多款品质好物,三大主题场景馆与人工智能展区在现场呈现,国家质检部门领导、权威专家学者代表、众多互联网企业大咖参加本次...

自媒体捞钱模式盘点,个个都能赚得盆满钵满

自媒体捞钱模式盘点,个个都能赚得盆满钵满

自媒体捞钱的模式看似多样化,其实本质的套路依旧是围绕着“卖”字展开的:卖广告/流量、卖产品、卖服务、卖人脉。而今天就给大家盘点一下自媒体捞钱的模式到底有哪些。自媒体捞钱模式一:通过广告变现自媒体通过发布内容集聚流量,如果要想通过广告变现的话...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。