程序员需要掌握的web安全知识

A+

所属分类：安全

关于最近网站安全状况，看下乌云上某大厂的漏洞列表就知道了.

触目惊心吧，这仅仅是被曝光的，未被曝光的就更不好说了...

作为一名程序员，掌握的一些基本web安全知识，是很有必要的，下面列举一些常见的安全漏洞和对应的防御措施。文笔有限，见笑了。

CSRF 攻击

CSRF的全称是Cross Site Request Forgery，就是跨站点伪造请求攻击。简单理解：Bad guy盗用你的身份，做桌下交易。详细原理看 Cross Site Request Forgery

经典案例：

看看乌云网友如何通过CSRF漏洞，自动加关注和发微博。我是如何刷新浪微博粉丝的

防御措施：

最有效的措施，对敏感操作增加CSRF Token验证并尽量采用POST请求方式（虽然GET 也可以增加Token验证）。

用户第一次请求网站是生成CSRF Token并保存到session中。
POST请求时，增加Input Field csrf_token, 参数值通过session获得。
服务器端验证Token的合法性，并更新token。

XSS攻击

XSS攻击可以说最常见最严重的漏洞攻击了。

XSS的全称是Cross-site Scripting，就是跨站脚本攻击。主要分为非存储型XSS(反射型）和存储型XSS. 详细介绍看WIKI吧： Cross-site scripting

经典案例：

实在太多了，随便找一个：百度经验存储型Xss

XSS Cheat Sheet：

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

防御措施：

输入过滤, 即使用Filter 过滤一些敏感字符"<" ">" "#" "script"等.
输出过滤(output encoding)，htmlEncode, javascriptEncode
对敏感操作增加验证码

过滤工具推荐（java）：

https://code.google.com/p/owaspantisamy  （比较全面，但有点重）
https://code.google.com/p/xssprotect/

1 2	https://code.google.com/p/owaspantisamy （比较全面，但有点重） https://code.google.com/p/xssprotect/

SQL注入攻击

SQL注入这种老掉牙的攻击手段，我就不多介绍了。

最简单的防御措施，使用预编译方式绑定变量：

JDBC 使用PreparedStatement.
mybatis/ibatis 使用静态变量#

正确地使用Cookie

对于无需JS访问的cookie设置HTTPOnly
不要在cookie存放用户敏感数据。

合理设计一个cookie自动登录方案

要保存哪些数据：

cookie保存base64 encode(username|sequence|token)的value。
服务器使用Redis的Hashs结构保存以下这几个值。

Key: user::cookie
hashKey: userAgent_ip,userAgent_sequence,userAgent_token,userAgent_expireTime

1 2	Key: user::cookie hashKey: userAgent_ip,userAgent_sequence,userAgent_token,userAgent_expireTime

如何验证cookie登录：

如果expireTime没到而且username，sequence，token均相同，登录成功。
如果expireTime没到，username和sequence相同，token不同，但IP相同和userAgent不同，登录成功。为什么要这样的设计？因为同一用户可能会使用的不同设备/浏览器登录。
其余情况均登录失败，并清空登录cookie。
成功登录后，服务器update token，同时更新cookie。

后续操作：

修改密码/点击退出，更新服务器端的token和sequence。
对于敏感操作（如修改个人私隐信息，Email，password等）需要输入密码。

数据安全

相信大家还记得CSDN 明文密码被暴库泄露的事件吧。最近又有被暴库的，300w用户数据。住哪网300W+用户明文密码泄露

防御措施：

对密码采用MD5/SHA(salt+password)进行HASH，salt是一串字符，为防止Rainbow Table 破解用的, salt应该放在一个隐秘的地方（某处代码或配置文件中）。

完善的日志机制

独立安全相关的log，方便追查和事后分析。

------------下面2项可能偏运维一点，但程序员还是觉得有必要了解--------------

服务器运维配置

给大家看看最近的一个案例: UC运维不当可导致大量数据泄漏

防御措施：

iptables 搞起, 该屏蔽就屏蔽，该开放的IP就开放。

DDOS攻击

一般来说，防御DDos的攻击是比较难，常见的DDOS方式较多（网络层DDOS、应用层DDOS等)。

一些非物理措施：

增加anti-spam 机制
限制IP请求频率, 结合ip+cookie定位一个client
调小Timeout, KeepAliveTimeOut, 增加MaxClients
增加容灾机器，优化网站性能。
合理配置防火墙。

最后

定期了解最新的安全资讯和攻击技术，没事多上上乌云。

程序员需要掌握的web安全知识

CSRF 攻击

经典案例：

防御措施：

XSS攻击

经典案例：

XSS Cheat Sheet：

防御措施：

过滤工具推荐（java）：

SQL注入攻击

正确地使用Cookie

合理设计一个cookie自动登录方案

要保存哪些数据：

如何验证cookie登录：

后续操作：

数据安全

防御措施：

完善的日志机制

服务器运维配置

防御措施：

DDOS攻击

一些非物理措施：

最后

推荐书籍：

目前评论：1 其中：访客 1 博主 0

微信

CSRF 攻击

经典案例：

防御措施：

XSS攻击

经典案例：

XSS Cheat Sheet：

防御措施：

过滤工具推荐（java）：

SQL注入攻击

正确地使用Cookie

合理设计一个cookie自动登录方案

要保存哪些数据：

如何验证cookie登录：

后续操作：

数据安全

防御措施：

完善的日志机制

服务器运维配置

防御措施：

DDOS攻击

一些非物理措施：

最后

推荐书籍：

目前评论：1 其中：访客 1 博主 0

登录 注册 找回密码

微信

登录注册找回密码