網絡安全

​

1. XSS（跨站腳本攻擊）

 

最多見的是cookie劫持，簡單來講就是咱們用瀏覽器登陸一個網站，主要是用存在客戶端瀏覽器裏的cookie來保存客戶惟一標識的令牌，在Java寫就的網站裏，是一個jsessionid，若是經過抓包獲取了瀏覽器的jsessionid，那麼在另外一個地方，就能夠模擬用戶的登陸，從而竊取用戶的資料乃至進行一些登陸後才能夠作的操做，危害性很大。

2. SQL注入

 

在網站全部搜索輸入框中，輸入的內容，通常會經過在服務器端拼接SQL語句去向數據庫發起查詢請求，而後把結果展現在網頁上，若是查詢一我的'jack'：

指望的語句是：

 

select * from user where username='jack'；

但若是被輸入的內容爲jack' or '1‘=’1,

 

結果語句變爲：

select * from user where username='jack or ‘1’=‘1';

 

因而，全部用戶的資料都被查詢出來，若是後面跟的不是1=1，是drop等更具毀滅性的語句，那帶來的損失將沒法估量。

3. 文件上傳漏洞

 

不少網站都有文件上傳的功能，而少數網站並無對文件後綴名進行限制，因此有可能被惡意的人抓住機會，上傳一些惡意程序。

 

好比針對Java網站的JspBrowser.jsp，這個程序上傳並執行後，能夠在網頁端看到整個服務器的目錄結構，全部文件，以及能夠在網頁上執行服務器上的一些命令，危害極大。

 

要避免這種狀況，首先要對上傳文件的類型加以限制，而且對上傳文件夾進行隨機生成的處理，使得黑客沒法掌握到上傳路徑，另外將上傳文件夾放在另一個存儲服務器上，而不是應用服務器內，將上傳文件夾設置爲不可執行目錄，都是規避這一攻擊的方法。

4. 網站通信安全SSL

 

你們也都知道，大型網站如百度，淘寶已經實現了全站加密，也就是部署了https證書，https證書其實是一種非對稱加密算法，用來對瀏覽器和服務器之間的通信數據進行加密，使得在公網上傳輸的數據不會被人輕易抓包並解析，用來盜用，篡改。在交易類，金融類的網站上尤其必須，

 

特別注意的是，現今不少公司不光有網站，還有iOS，安卓，微信等移動端，那麼移動端的接口，和微信的站點，也必須部署SSL證書，保障數據安全。

5. 訪問控制

 

對於服務器來講，最重要的是要有一個好的訪問控制策略，首先對沒必要要的端口進行關閉，另外對常常用的好比ssh,ftp默認端口進行修改，也會極大下降安全隱患，還有linux的iptable，限制一些ip對一些核心端口的使用，均可以提升安全性。

 

對於數據庫來說，設置白名單是必要的，對讀寫帳號和只讀帳號的登陸地址進行分配，培訓開發人員正確使用帳號，管控運維人員在生產環境的操做，必要時能夠用堡壘機，數據庫審計等方式進行安全控制。

6. 加密算法

 

對於一些加密的算法，好比MD5，雖然是不可逆算法，可是因爲被普遍使用在互聯網行業，因此出現了不少逆向查詢的網站，也就是直接的MD5加密其實並不安全，因此須要在算法里加一些干擾因素，也就是加鹽的過程，這個鹽值能夠是用戶名，郵箱，註冊時間等信息的一部分，這樣獲得的MD5串相對難以破解。

7. WEB框架安全

衆所周知，當前不管用任何語言開發的網站多數採用開源的第三方MVC框架，好比Spring，Struts，而這些框架都曾暴露出漏洞，Spring3的類加載漏洞，以及Struts2的XSS漏洞，都對使用這些底層框架的網站產生過一些影響，做爲網站的運營者，須要關注這些安全領域的問題，及早修復，打補丁，其中還包括操做系統補丁，各類服務器端工具軟件的補丁。

好在若是使用公有云服務，好比阿里雲，已經提供了升級補丁的服務而且也很便宜，這方面能夠採用第三方的方案，若是是自有機房，IDC的話，還須要運維及時跟進行業最新安全動態。

8. WEB服務器安全

 

對於使用Apache，Tomcat，Jboss，Nginx之類免費Web或應用服務器的團隊，也應該對服務器軟件進行深刻的研究，尤爲是配置，對於apache來講, 刪除沒必要要的module能夠減小風險

 

對於Nginx，升級到新版本更加安全，tomcat則要刪除例子應用和管理權限配置，同時關注所使用服務器的官方網站，隨時更新漏洞補丁及作好防範。

9. DDos，CC攻擊

 

這類攻擊主要是掌握了大量肉雞的黑客或非法組織，採用成百上千臺機器對網站發起請求，有的是以大流量阻塞網站的通信，有的是用高頻的請求，去耗盡網站服務器的系統資源，總之這種攻擊手法通常很難防護，除非有很大的機房和負載均衡機制。

 

固然，如今公有云服務商好比阿里雲，騰訊雲也都有相應的服務，只是比較貴，也有一些安全廠商如知道創宇，提供按年付費的防攻擊服務，只需將域名解析到安全公司的安全雲上，他們就能夠經過安全策略過濾掉一些攻擊流量和請求，使得真正回到網站服務器的請求基本是正常合法請求，保護了服務器的資源。

10. 羊毛黨，反欺詐

 

對於互聯網金融類網站，還有一種業務需求，就是儘可能屏蔽掉羊毛黨，和欺詐用戶，這方面也有不少第三方公司提供相應的服務，好比安全廠商知道創宇，提供了反羊毛的服務，經過接口調用的方式能夠查詢某一個用戶的羊毛指數，若是這個用戶在其餘平臺屢次被報告爲羊毛黨，會在安全公司的數據庫裏被標識出來，