聊聊Web安全：如何抵御常見的網(wǎng)絡(luò)攻擊？

作者：WangLiwen 2020-03-31 09:09:48

安全應(yīng)用安全

Web安全是一個(gè)大課題，在網(wǎng)絡(luò)安全事件中，針對(duì)Web的攻擊是最多的。本文簡(jiǎn)單的聊聊常見的網(wǎng)絡(luò)攻擊防御方式。

Web安全是一個(gè)大課題，在網(wǎng)絡(luò)安全事件中，針對(duì)Web的攻擊是最多的。

從一些html標(biāo)簽，到JS代碼安全問題，然后到接口、數(shù)據(jù)庫(kù)，以及流量攻擊、模擬請(qǐng)求、自動(dòng)化攻擊等等，很多很多。

本文簡(jiǎn)單的聊聊常見的網(wǎng)絡(luò)攻擊防御方式。

一、DDOS

DDOS最常見，也是最難防御。目前還沒有人敢說能徹底防御DDOS。

DDoS就是流量攻擊。

由于DDoS攻擊往往采取合法的數(shù)據(jù)請(qǐng)求技術(shù)，再加上傀儡機(jī)器，造成DDoS攻擊成為最難防御的網(wǎng)絡(luò)攻擊之一。

如何基礎(chǔ)防御：

1. 對(duì)頻繁請(qǐng)求的ip和接口進(jìn)行限流，熔斷處理，超過多少次必須輸入圖形驗(yàn)證碼。

進(jìn)行驗(yàn)證處理可，減輕服務(wù)器數(shù)據(jù)庫(kù)處理壓力。

其實(shí)現(xiàn)在很多大公司都是把一下接口放在一個(gè)項(xiàng)目里面進(jìn)行rpc遠(yuǎn)程調(diào)用處理。通過分布式緩存，分布式一致性問題，分布式事務(wù)來解決這些問題。

2. 使用黑名單和白名單機(jī)制，防御攻擊(OAuth2.0協(xié)議)這個(gè)推薦使用。

這個(gè)黑名單白名單就是現(xiàn)在很多代理網(wǎng)站來給你處理網(wǎng)站的安全性，也算是給你防御網(wǎng)站吧。

3. 選擇高防數(shù)據(jù)中心：

國(guó)內(nèi)數(shù)據(jù)中心一般都會(huì)有防火墻防御，我們今天把防火墻情況分為兩種：

集群防御，單線機(jī)房防御一般在：10G-32G的集群防御，BGP多線機(jī)房一般為：10G以內(nèi)集群防火墻。
獨(dú)立防御，獨(dú)立防御都是出現(xiàn)在單線機(jī)房，或者是多線多ip機(jī)房，機(jī)房防御能力一般為：10G-200G不等，這種機(jī)房是實(shí)現(xiàn)的單機(jī)防御能力，隨著數(shù)據(jù)中心的防御能力提高還有就是競(jìng)爭(zhēng)壓力比較大，高防的價(jià)格也在不斷的創(chuàng)造新低。

4. CDN內(nèi)容分發(fā)：

通過CDN防御的方式：CDN技術(shù)的初衷是提高互聯(lián)網(wǎng)用戶對(duì)網(wǎng)站的訪問速度，但是由于分布式多節(jié)點(diǎn)的特點(diǎn)，又能夠?qū)Ψ植际骄芙^攻擊流量產(chǎn)生稀釋的效果。所以目前CDN防御的方式不但能夠起到防御的作用，而且用戶的訪問請(qǐng)求是到最近的緩存節(jié)點(diǎn)，所以也對(duì)加速起到了很好的作用。

CDN防御的最重要的原理：通過智能DNS的方式將來自不同位置的流量分配到對(duì)應(yīng)的位置上的節(jié)點(diǎn)上，這樣就讓區(qū)域內(nèi)的節(jié)點(diǎn)成為流量的接收中心，從而將流量稀釋的效果，在流量被稀釋到各個(gè)節(jié)點(diǎn)后，就可以在每個(gè)節(jié)點(diǎn)進(jìn)行流量清洗。從而起到防御作用。

目前針對(duì)DDOS流量攻擊的防護(hù)方法中CDN防御也分為自建CDN防御，這種情況防御能力較好，但是成本較高，需要部署多節(jié)點(diǎn)，租用各個(gè)節(jié)點(diǎn)服務(wù)器，如果應(yīng)用較少的話，造成資源浪費(fèi)。另外就是租用別人現(xiàn)成的CDN防御，可以極大的節(jié)省成本，并且防御能力很少非常好。

二、CSRF

聊聊Web安全：如何抵御常見的網(wǎng)絡(luò)

CSRF即：Cross Site Request Forgery(跨站域請(qǐng)求偽造)它在 2007 年曾被列為互聯(lián)網(wǎng) 20 大安全隱患之一,也被稱為“One Click Attack”或者Session Riding，通常縮寫為CSRF或者XSRF，是一種對(duì)網(wǎng)站的惡意利用也就是人們所知道的釣魚網(wǎng)站。盡管聽起來像跨站腳本(XSS)，但它與XSS非常不同，并且攻擊方式幾乎相左。

XSS利用站點(diǎn)內(nèi)的信任用戶，而CSRF則通過偽裝來自受信任用戶的請(qǐng)求來利用受信任的網(wǎng)站。與XSS攻擊相比，CSRF攻擊往往不大流行，因此對(duì)其進(jìn)行防范的資源也相當(dāng)稀少，所以被認(rèn)為比XSS更具危險(xiǎn)性。

也就是通俗一點(diǎn)來說就是，大量請(qǐng)求你的接口，通過抓包工具請(qǐng)求分析，偽造token訪問你的接口，攻擊服務(wù)器降低服務(wù)器數(shù)據(jù)庫(kù)性能。

如何防御CSRF?

模擬請(qǐng)求這里還是要說到分布式，畢竟真的要用到分布式，緩存集群。解決限流，服務(wù)容錯(cuò)，熔斷的問題。

1. 后端防御：

(1) MVCC方案

多版本并發(fā)控制，該策略主要使用 update with condition(更新帶條件來防止)來保證多次外部請(qǐng)求調(diào)用對(duì)系統(tǒng)的影響是一致的。在系統(tǒng)設(shè)計(jì)的過程中，合理的使用樂觀鎖，通過 version 或者 updateTime(timestamp)等其他條件，來做樂觀鎖的判斷條件，這樣保證更新操作即使在并發(fā)的情況下，也不會(huì)有太大的問題。

(2) 去重表

在插入數(shù)據(jù)的時(shí)候，插入去重表，利用數(shù)據(jù)庫(kù)的唯一索引特性，保證唯一的邏輯。

(3) 悲觀鎖

select for update，整個(gè)執(zhí)行過程中鎖定該訂單對(duì)應(yīng)的記錄。注意：這種在 DB 讀大于寫的情況下盡量少用。

(4oken機(jī)制,防止頁面重復(fù)提交

把token放在redis 里面通過限流方式，每個(gè)token只能使用一次，網(wǎng)絡(luò)延遲或者重試機(jī)制解決這個(gè)問題。

(5) MQ消息中間件也可以解決這個(gè)問題，可以通過發(fā)布訂閱的方式來消息通知處理。

(6) nginx服務(wù)器對(duì)域名網(wǎng)關(guān)攔截處理，只能通過域名訪問，不能獲取到你的ip，所以的前臺(tái)文件通過分離來實(shí)現(xiàn)。

(7) 分布式校驗(yàn)

在大型網(wǎng)站中，使用Session存儲(chǔ)CSRF Token會(huì)帶來很大的壓力。訪問單臺(tái)服務(wù)器session是同一個(gè)。但是現(xiàn)在的大型網(wǎng)站中，我們的服務(wù)器通常不止一臺(tái)，可能是幾十臺(tái)甚至幾百臺(tái)之多，甚至多個(gè)機(jī)房都可能在不同的省份，用戶發(fā)起的HTTP請(qǐng)求通常要經(jīng)過像Ngnix之類的負(fù)載均衡器之后，再路由到具體的服務(wù)器上，由于Session默認(rèn)存儲(chǔ)在單機(jī)服務(wù)器內(nèi)存中，因此在分布式環(huán)境下同一個(gè)用戶發(fā)送的多次HTTP請(qǐng)求可能會(huì)先后落到不同的服務(wù)器上，導(dǎo)致后面發(fā)起的HTTP請(qǐng)求無法拿到之前的HTTP請(qǐng)求存儲(chǔ)在服務(wù)器中的Session數(shù)據(jù)，從而使得Session機(jī)制在分布式環(huán)境下失效，因此在分布式集群中CSRF Token需要存儲(chǔ)在Redis之類的公共存儲(chǔ)空間。

由于使用Session存儲(chǔ)，讀取和驗(yàn)證CSRF Token會(huì)引起比較大的復(fù)雜度和性能問題，目前很多網(wǎng)站采用Encrypted Token Pattern方式。這種方法的Token是一個(gè)計(jì)算出來的結(jié)果，而非隨機(jī)生成的字符串。這樣在校驗(yàn)時(shí)無需再去讀取存儲(chǔ)的Token，只用再次計(jì)算一次即可。

這種Token的值通常是使用UserID、時(shí)間戳和隨機(jī)數(shù)，通過加密的方法生成。這樣既可以保證分布式服務(wù)的Token一致，又能保證Token不容易被破解。

在token解密成功之后，服務(wù)器可以訪問解析值，Token中包含的UserID和時(shí)間戳將會(huì)被拿來被驗(yàn)證有效性，將UserID與當(dāng)前登錄的UserID進(jìn)行比較，并將時(shí)間戳與當(dāng)前時(shí)間進(jìn)行比較。

2. 前臺(tái)防御：

(1) CSRF監(jiān)控

對(duì)于一個(gè)比較復(fù)雜的網(wǎng)站系統(tǒng)，某些項(xiàng)目、頁面、接口漏掉了CSRF防護(hù)措施是很可能的。

一旦發(fā)生了CSRF攻擊，我們?nèi)绾渭皶r(shí)的發(fā)現(xiàn)這些攻擊呢?(這里其實(shí)nginx也可以處理)

CSRF攻擊有著比較明顯的特征：

跨域請(qǐng)求。
GET類型請(qǐng)求Header的MIME類型大概率為圖片，而實(shí)際返回Header的MIME類型為Text、JSON、HTML。

(2) 通過對(duì)稱非對(duì)稱算法，前臺(tái)網(wǎng)站訪問先訪問后臺(tái)獲取到應(yīng)簽，然后在把前臺(tái)請(qǐng)求的參數(shù)拿到后臺(tái)去檢驗(yàn)。一般網(wǎng)絡(luò)上面接口支付都是重定向啦。這樣一般都比較麻煩。但是這樣安全性能很高的，其實(shí)ssl證書比域名都貴滴。

(3) 用雙重Cookie防御CSRF的

優(yōu)點(diǎn)：

無需使用Session，適用面更廣，易于實(shí)施。
Token儲(chǔ)存于客戶端中，不會(huì)給服務(wù)器帶來壓力。
相對(duì)于Token，實(shí)施成本更低，可以在前后端統(tǒng)一攔截校驗(yàn)，而不需要一個(gè)個(gè)接口和頁面添加。

缺點(diǎn)：

Cookie中增加了額外的字段。
如果有其他漏洞(例如XSS)，攻擊者可以注入Cookie，那么該防御方式失效。
難以做到子域名的隔離。
為了確保Cookie傳輸安全，采用這種防御方式的最好確保用整站HTTPS的方式，如果還沒切HTTPS的使用這種方式也會(huì)有風(fēng)險(xiǎn)。

三、SQL注入

聊聊Web安全：如何抵御常見的網(wǎng)絡(luò)

SQL注入：利用現(xiàn)有應(yīng)用程序，將惡意的SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)執(zhí)行一些惡意的操作。造成SQL注入的原因是因?yàn)槌绦驔]有有效過濾用戶的輸入，使攻擊者成功的向服務(wù)器提交惡意的SQL查詢代碼，程序在接收后錯(cuò)誤的將攻擊者的輸入作為查詢語句的一部分執(zhí)行，導(dǎo)致原始的查詢邏輯被改變，額外的執(zhí)行了攻擊者精心構(gòu)造的惡意代碼。

SQL注入漏洞可能會(huì)影響使用SQL數(shù)據(jù)庫(kù)(如MySQL，Oracle，SQL Server或其他)的任何網(wǎng)站或Web應(yīng)用程序。犯罪分子可能會(huì)利用它來未經(jīng)授權(quán)訪問用戶的敏感數(shù)據(jù)：客戶信息，個(gè)人數(shù)據(jù)，商業(yè)機(jī)密，知識(shí)產(chǎn)權(quán)等。SQL注入攻擊是最古老，最流行，最危險(xiǎn)的Web應(yīng)用程序漏洞之一。

1. SQL注入攻擊的類型

SQL注入攻擊可以通過多種方式執(zhí)行。在選擇特定攻擊方法之前，攻擊者可能會(huì)觀察系統(tǒng)的行為。

(1) 帶內(nèi)注入

這是典型的攻擊，攻擊者可以通過相同的通信通道發(fā)起攻擊并獲得結(jié)果。這是通過兩種帶內(nèi)技術(shù)完成的：

基于錯(cuò)誤的SQL注入：從顯示的錯(cuò)誤消息中獲取有關(guān)數(shù)據(jù)庫(kù)的信息
基于聯(lián)合的SQL注入：依賴于攻擊者能夠?qū)NION ALL被盜信息的結(jié)果與合法結(jié)果連接起來。

這兩種技術(shù)都依賴于攻擊者修改應(yīng)用程序發(fā)送的SQL，以及瀏覽器中顯示的錯(cuò)誤和返回的信息。如果應(yīng)用程序開發(fā)人員或數(shù)據(jù)庫(kù)開發(fā)人員無法正確地參數(shù)化他們?cè)诓樵冎惺褂玫闹担敲此鼤?huì)成功。兩者都是試錯(cuò)法，可以檢測(cè)到錯(cuò)誤。

(2) 盲注入

也稱為推理SQL注入，盲注入攻擊不會(huì)直接從目標(biāo)數(shù)據(jù)庫(kù)中顯示數(shù)據(jù);相反，攻擊者會(huì)仔細(xì)檢查行為中的間接線索。HTTP響應(yīng)中的詳細(xì)信息，某些用戶輸入的空白網(wǎng)頁以及數(shù)據(jù)庫(kù)響應(yīng)某些用戶輸入需要多長(zhǎng)時(shí)間，這些都可以是線索，具體取決于攻擊者的目標(biāo)。他們還可以指向攻擊者嘗試的另一個(gè)SQLi攻擊途徑。

(3) 帶外注入

這種攻擊有點(diǎn)復(fù)雜，當(dāng)攻擊者無法在單個(gè)直接查詢 - 響應(yīng)攻擊中實(shí)現(xiàn)其目標(biāo)時(shí)，攻擊者可能會(huì)使用此攻擊。通常，攻擊者會(huì)制作SQL語句，這些語句在呈現(xiàn)給數(shù)據(jù)庫(kù)時(shí)會(huì)觸發(fā)數(shù)據(jù)庫(kù)系統(tǒng)創(chuàng)建與攻擊者控制的外部服務(wù)器的連接。以這種方式，攻擊者可以收集數(shù)據(jù)或可能控制數(shù)據(jù)庫(kù)的行為。

二階注入就是一種帶外注入攻擊。在這種情況下，攻擊者將提供SQL注入，該注入將由數(shù)據(jù)庫(kù)系統(tǒng)的單獨(dú)行為存儲(chǔ)和執(zhí)行。當(dāng)二級(jí)系統(tǒng)行為發(fā)生時(shí)(它可能類似于基于時(shí)間的作業(yè)或由其他典型管理員或用戶使用數(shù)據(jù)庫(kù)觸發(fā)的某些事情)并且執(zhí)行攻擊者的SQL注入，那就是當(dāng)“伸出”到系統(tǒng)時(shí)攻擊者控制發(fā)生了。

2. 如何防御SQL注入

(1) 規(guī)范sql 寫的方式不要寫拼接sql,、最好使用預(yù)編譯方式

在mybatis編寫sql語句的時(shí)候，最好使用?傳參數(shù)方式，不要使用#傳參數(shù)，因?yàn)?傳參數(shù)方式，可能會(huì)受到sql語句攻擊。

#{}: 解析為一個(gè) JDBC 預(yù)編譯語句(prepared statement)的參數(shù)標(biāo)記符，一個(gè) #{ } 被解析為一個(gè)參數(shù)占位符,可以防止SQL注入問題。
${}: 僅僅為一個(gè)純碎的 string 替換，在動(dòng)態(tài) SQL 解析階段將會(huì)進(jìn)行變量替換。

(2) 限制數(shù)據(jù)庫(kù)權(quán)限和特權(quán)

將數(shù)據(jù)庫(kù)用戶的功能設(shè)置為最低要求;這將限制攻擊者在設(shè)法獲取訪問權(quán)限時(shí)可以執(zhí)行的操作。

避免直接向用戶顯示數(shù)據(jù)庫(kù)錯(cuò)誤，攻擊者可以使用這些錯(cuò)誤消息來獲取有關(guān)數(shù)據(jù)庫(kù)的信息。

對(duì)訪問數(shù)據(jù)庫(kù)的Web應(yīng)用程序使用Web應(yīng)用程序防火墻(WAF)，其實(shí)，不止是SQL注入，本文所講的這些攻擊，幾乎全都可以用WAF進(jìn)行防護(hù)。WAF有多種，比如硬件、軟件、云，有很貴的商業(yè)WAF硬件，也有免費(fèi)+商業(yè)的WAF軟件(比如：ShareWAF，很不錯(cuò)。)。

這為面向Web的應(yīng)用程序提供了保護(hù)，它可以幫助識(shí)別SQL注入嘗試;根據(jù)設(shè)置，它還可以幫助防止SQL注入嘗試到達(dá)應(yīng)用程序(以及數(shù)據(jù)庫(kù))。

(3) 定期測(cè)試與數(shù)據(jù)庫(kù)交互的Web應(yīng)用程序

這樣做可以幫助捕獲可能允許SQL注入的新錯(cuò)誤或回歸。

將數(shù)據(jù)庫(kù)更新為最新的可用修補(bǔ)程序，這可以防止攻擊者利用舊版本中存在的已知弱點(diǎn)/錯(cuò)誤。

(4) 后臺(tái)日志分析sql 可以使用AOP攔截寫入sql性能

四、防盜

防盜鏈就是A網(wǎng)站有一張圖片，B網(wǎng)站要引用過來使用到自己網(wǎng)站，引用圖片和樣式，js等等。

如何防御?

寫一個(gè)過濾器判斷http請(qǐng)求頭Referer域中的記錄來源的值，如果和當(dāng)前訪問的域名不一致的情況下，說明該圖片可能被其他服務(wù)器盜用。
通過動(dòng)靜分離或者前后端分離。通過nginx配置。
可以通過shiro權(quán)限判斷鏈接重定向。

五、XSS

聊聊Web安全：如何抵御常見的網(wǎng)絡(luò)

Xss就是javascript 腳本攻擊，就是在表單提交的時(shí)候提交一個(gè)小腳本，因?yàn)闉g覽器默認(rèn)是支持腳本的，所以寫個(gè)小腳本不做處理的話問題就很大。不處理網(wǎng)頁直接掛掉。

如何防御?

通過后臺(tái)編寫一個(gè)過濾器攔截所有g(shù)etParameter參數(shù) 重寫httpservletwrapp方法。
通過工具類將參數(shù)特殊字符轉(zhuǎn)換成html源代碼保存。
通過js檢驗(yàn)

過濾用戶輸入的檢查用戶輸入的內(nèi)容中是否有非法內(nèi)容。如<>(尖括號(hào))、”(引號(hào))、 ‘(單引號(hào))、%(百分比符號(hào))、;(分號(hào))、()(括號(hào))、&(& 符號(hào))、+(加號(hào))等。、嚴(yán)格控制輸出

六、文件上傳漏洞

1. 什么是文件上傳漏洞?

上傳漏洞這個(gè)顧名思義，就是攻擊者通過上傳木馬文件，直接得到WEBSHELL，危害等級(jí)超級(jí)高，現(xiàn)在的入侵中上傳漏洞也是常見的漏洞。導(dǎo)致該漏洞的原因在于代碼作者沒有對(duì)訪客提交的數(shù)據(jù)進(jìn)行檢驗(yàn)或者過濾不嚴(yán)，可以直接提交修改過的數(shù)據(jù)繞過擴(kuò)展名的檢驗(yàn)。

大家經(jīng)常在網(wǎng)上下載文件什么東西，比如一個(gè)軟件，默認(rèn)幾十M但是下下來為啥只有幾百Kb很多網(wǎng)站都是釣魚網(wǎng)站，你下載下來的文件是后綴為.exe文件，這是系統(tǒng)運(yùn)行文件，文件下載也有這個(gè)問題，所以網(wǎng)上很多不靠譜滴，不要亂下載文件。

2. 如何解決防御?

對(duì)文件格式限制，只允許某些格式上傳
對(duì)文件格式進(jìn)行校驗(yàn)，前端跟服務(wù)器都要進(jìn)行校驗(yàn)(前端校驗(yàn)擴(kuò)展名，服務(wù)器校驗(yàn)擴(kuò)展名、Content_Type等)
將上傳目錄防止到項(xiàng)目工程目錄之外，當(dāng)做靜態(tài)資源文件路徑，并且對(duì)文件的權(quán)限進(jìn)行設(shè)定，禁止文件下的執(zhí)行權(quán)限。
通過文件流解析判斷文件類型。

七、忘記密碼?

我在這里分析一個(gè)常見的qq漏洞，現(xiàn)在很多都還有人家盜用別人密碼，然后通過qq發(fā)送消息，找你借錢或者轉(zhuǎn)賬到某個(gè)地方，黑客就是通過抓包分析暴力破解密碼(寫一個(gè)程序破解驗(yàn)證碼，如果是4位純數(shù)字可想而知)，然后盜取你的短信驗(yàn)證碼登錄，如果發(fā)生了這樣的情況，如果是qq的話你就一直發(fā)短信驗(yàn)證碼，聯(lián)系客戶還得一段時(shí)間。因?yàn)榇蠹叶贾纐q驗(yàn)證碼都是4位所以別人很好破解，我這里說的都是真實(shí)案例，因?yàn)槲乙郧耙脖粍e人這樣操作過，但是我就一直頻繁發(fā)短信驗(yàn)證碼后面就找回來啦。

如何防御：