WBE安全被攻击

本文从WEB服务的访问过程来介绍典型的攻击类型，后续还会针对一些典型的业务场景做交流，比如如何设计安全的登录功能、如何对富文本内容做校验、如何设计安全的上传控件等等

 

前几天，某名奇妙地qq账户被盗了，各种异地登录伤透脑筋。感慨网络流氓数不胜数的同时，刚好又看到有黑客组织在巴黎事件之后说要黑进ISIS内部网络，窃取情报。好奇惊叹之余去向朋友胡文淑MM请教了相关知识。

 

不过技术高手就是高手，不但给了WEB安全的列表，还给了我解决方案。授人以渔，就拿出来分享下，欢迎大家分析讨论

其实，这也是每一个WEB项目负责人乃至开发人员都应该了解的基本知识。

 

本文从WEB服务的访问过程来介绍典型的攻击类型，后续还会针对一些典型的业务场景做交流，比如如何设计安全的登录功能、如何对富文本内容做校验、如何设计安全的上传控件等等。

 

WEB应用基于HTTP协议提供服务，由浏览器访问服务端页面，通过逐层封包传递逐层解包的过程来完成请求，服务器端处理之后，通过网络传输到客户端逐层解包，将结果反馈到浏览器，完成一次交互。主要的示意图如下图：

 

 

 

将上面通信过程中的关键点做下解释，分客户端和服务端来阐述可能出现的漏洞点：

【客户端】

客户端的攻击主要是来源于未经校验的非法输入和身份验证不充分的请求。

l  跨站脚本攻击XSS

客户端可能输入非法内容，等到合适的时机获取系统正常用户的cookie信息。

l 跨站请求伪造CSRF攻击  

客户端用户可能点击非法的链接，这个链接在用户不知情的情况下以合法用户的身份做非法的事情。

l  点击劫持

攻击者利用透明的iframe、图片覆盖、或者拖拽劫持等方式诱使客户与页面发生交互，从而达到窃取数据的目的。

 

【服务端】

服务端涉及到的攻击种类很多，但是防御的本质在于让合法的人做合法的事情，正确的人做正确的事情，要认为一切输入都是危险的才能将非法输入阻挡在外。

l  SQL注入

后台sql代码通过拼接方式查询，前端输入一些特殊字符即可改变原有sql的语义；

跟注入相关的还有XML注入、CRLF注入等。

l  文件上传漏洞

文件上传功能是普遍的，关键在于服务器如何处理这些上传的内容。是不是会执行上传的脚本文件、上传的是不是有病毒和木马、是不是钓鱼图片；也有可能会绕过文件上传检查功能；

l  会话与认证

主要目的是确认你到底是谁？

密码是否安全？(是否加密、非对称加密、多因素认证)；

Session保持攻击（session是否有有效期）

l  访问控制

主要解决我能做什么？(功能权限和数据权限、Oauth认证)

l  加密解密

主要是让通信过程的数据保密性增强，比如https抵御网络嗅探,密码传输加密等等，需要考虑密码的强度和算法完备性。

l  拒绝服务攻击DDOS

分布式拒绝服务攻击，利用合理的请求造成资源过载，导致服务不可用。比如：

n  利用TCP协议的缺陷而导致的网络层DDOS；

n  频繁请求资源消耗较多的服务导致资源来不及响应的应用层DDOS；

n  利用WEB服务器本身的漏洞导致的DDOS；

针对应用层DDOS主要解决办法是提高应用本身的性能、适当使用验证码。