网络安全常识

随着互联网和移动互联网的持续火热，人们的生活也越来越离不开网络，网络安全，在这个信息化时代显得尤为重要，那么网络攻击和安全，这一攻守之间，主要涵盖哪些要点呢，下面我们就来对此进行抽丝剥茧，逐条解析。

1. XSS（跨站脚本攻击）

   最常见的是cookie劫持，简单来说就是我们用浏览器登录一个网站，主要是用存在客户端浏览器里的cookie来保存客户唯一标识的令牌，在Java写就的网站里，是一个jsessionid，如果通过抓包获取了浏览器的jsessionid，那么在另一个地方，就可以模拟用户的登录，从而窃取用户的资料乃至进行一些登录后才可以做的操作，危害性很大。

2. SQL注入

   在网站所有搜索输入框中，输入的内容，一般会通过在服务器端拼接SQL语句去向数据库发起查询请求，然后把结果展示在网页上，如果查询一个人'jack'：

   期望的语句是：

   select * from user where username='jack'；

   但如果被输入的内容为jack' or '1‘=’1,

   结果语句变为：

   select * from user where username='jack or ‘1’=‘1';

   于是，所有用户的资料都被查询出来，如果后面跟的不是1=1，是drop等更具毁灭性的语句，那带来的损失将无法估量。

3. 文件上传漏洞

   很多网站都有文件上传的功能，而少数网站并没有对文件后缀名进行限制，所以有可能被恶意的人抓住机会，上传一些恶意程序，比如针对Java网站的JspBrowser.jsp，这个程序上传并执行后，可以在网页端看到整个服务器的目录结构，所有文件，以及可以在网页上执行服务器上的一些命令，危害极大，要避免这种情况，首先要对上传文件的类型加以限制，并且对上传文件夹进行随机生成的处理，使得黑客无法掌握到上传路径，另外将上传文件夹放在另外一个存储服务器上，而不是应用服务器内，将上传文件夹设置为不可执行目录，都是规避这一攻击的方法。

1. 网站通讯安全SSL

   大家也都知道，大型网站如百度，淘宝已经实现了全站加密，也就是部署了https证书，https证书实际上是一种非对称加密算法，用来对浏览器和服务器之间的通讯数据进行加密，使得在公网上传输的数据不会被人轻易抓包并解析，用来盗用，篡改。在交易类，金融类的网站上尤为必须，特别注意的是，现今很多公司不光有网站，还有iOS，安卓，微信等移动端，那么移动端的接口，和微信的站点，也必须部署SSL证书，保障数据安全。

2. 访问控制

   对于服务器来说，最重要的是要有一个好的访问控制策略，首先对不必要的端口进行关闭，另外对经常用的比如ssh,ftp默认端口进行修改，也会极大降低安全隐患，还有linux的iptable，限制一些ip对一些核心端口的使用，都可以提高安全性。对于数据库来讲，设置白名单是必要的，对读写账号和只读账号的登录地址进行分配，培训开发人员正确使用账号，管控运维人员在生产环境的操作，必要时可以用堡垒机，数据库审计等方式进行安全控制。

3. 加密算法

   对于一些加密的算法，比如MD5，虽然是不可逆算法，但是由于被广泛使用在互联网行业，所以出现了很多逆向查询的网站，也就是直接的MD5加密其实并不安全，所以需要在算法里加一些干扰因素，也就是加盐的过程，这个盐值可以是用户名，邮箱，注册时间等信息的一部分，这样得到的MD5串相对难以破解。

4. WEB框架安全

   众所周知，当前无论用任何语言开发的网站多数采用开源的第三方MVC框架，比如Spring，Struts，而这些框架都曾暴露出漏洞，Spring3的类加载漏洞，以及Struts2的XSS漏洞，都对使用这些底层框架的网站产生过一些影响，作为网站的运营者，需要关注这些安全领域的问题，及早修复，打补丁，其中还包括操作系统补丁，各种服务器端工具软件的补丁。好在如果使用公有云服务，比如阿里云，已经提供了升级补丁的服务并且也很便宜，这方面可以采用第三方的方案，如果是自有机房，IDC的话，还需要运维及时跟进行业最新安全动态。

5. WEB服务器安全

   对于使用Apache，Tomcat，Jboss，Nginx之类免费Web或应用服务器的团队，也应该对服务器软件进行深入的研究，尤其是配置，对于apache来说, 删除不必要的module可以减少风险，对于Nginx，升级到新版本更加安全，tomcat则要删除例子应用和管理权限配置，同时关注所使用服务器的官方网站，随时更新漏洞补丁及做好防范。

1. DDos，CC攻击

   这类攻击主要是掌握了大量肉鸡的黑客或非法组织，采用成百上千台机器对网站发起请求，有的是以大流量阻塞网站的通讯，有的是用高频的请求，去耗尽网站服务器的系统资源，总之这种攻击手法一般很难防御，除非有很大的机房和负载均衡机制，当然，现在公有云服务商比如阿里云，腾讯云也都有相应的服务，只是比较贵，也有一些安全厂商如知道创宇，提供按年付费的防攻击服务，只需将域名解析到安全公司的安全云上，他们就可以通过安全策略过滤掉一些攻击流量和请求，使得真正回到网站服务器的请求基本是正常合法请求，保护了服务器的资源。

2. 羊毛党，反欺诈

   对于互联网金融类网站，还有一种业务需求，就是尽量屏蔽掉羊毛党，和欺诈用户，这方面也有很多第三方公司提供相应的服务，比如安全厂商知道创宇，提供了反羊毛的服务，通过接口调用的方式可以查询某一个用户的羊毛指数，如果这个用户在其他平台多次被报告为羊毛党，会在安全公司的数据库里被标识出来，而反欺诈方面，有同盾，上海资信，好贷云风控等等相关第三方公司，他们广泛收集各大平台的欺诈数据，形成数据库，以接口方式提供给平台方，在业务中集成这些第三方厂商的接口，是一个很好的避免损失的解决方案。

3. 密码

   其实密码问题也非常重要，简单来说就是企业的员工不要所有需要登录的地方都用一套密码，也不要用简单密码，而采用大小写字母加数字的方式，否则一旦有哪个网站被攻陷，等于其他网站也都暴露了，通过撞库很容易被破解，登录，造成个人信息的外泄甚至一些经济损失，还有，密码理论上每隔一段时间要重新设置，这也是跨国公司严格执行的一个铁律，另外不要把所有密码都存在网上，比如云笔记之类的地方，导致风险全集中在一个点。

总结：

说一千道一万，安全不仅仅是以上这些方面做好就高枕无忧了，安全是一种心态，一套做事流程，也是一种职业素养。每一个工程师和普通互联网用户，都应该形成这种安全意识，才能降低风险，减少不必要的损失