老司机保驾护航,让你的网络安全之行多一层保障 - 冯磊
中生代技术群分享第三十八期
讲师:冯磊
编辑:友强
摘要:随着互联网金融和移动互联网的持续火热,人们的生活也越来越离不开网络,网络安全,在这个信息化时代显得尤为重要,那么网络攻击和安全,这一攻守之间,主要涵盖哪些要点呢,下面我们就来对此进行抽丝剥茧,逐条解析。
最常见的是cookie劫持,简单来说就是我们用浏览器登录一个网站,主要是用存在客户端浏览器里的cookie来保存客户唯一标识的令牌,在Java写就的网站里,是一个jsessionid,如果通过抓包获取了浏览器的jsessionid,那么在另一个地方,就可以模拟用户的登录,从而窃取用户的资料乃至进行一些登录后才可以做的操作,危害性很大。
在网站所有搜索输入框中,输入的内容,一般会通过在服务器端拼接SQL语句去向数据库发起查询请求,然后把结果展示在网页上,如果查询一个人'jack':期望的语句是:select * from user where username='jack';但如果被输入的内容为jack' or '1‘=’1,结果语句变为:select * from user where username='jack or ‘1’=‘1';于是,所有用户的资料都被查询出来,如果后面跟的不是1=1,是drop等更具毁灭性的语句,那带来的损失将无法估量。
很多网站都有文件上传的功能,而少数网站并没有对文件后缀名进行限制,所以有可能被恶意的人抓住机会,上传一些恶意程序。比如针对Java网站的JspBrowser.jsp,这个程序上传并执行后,可以在网页端看到整个服务器的目录结构,所有文件,以及可以在网页上执行服务器上的一些命令,危害极大。要避免这种情况,首先要对上传文件的类型加以限制,并且对上传文件夹进行随机生成的处理,使得黑客无法掌握到上传路径,另外将上传文件夹放在另外一个存储服务器上,而不是应用服务器内,将上传文件夹设置为不可执行目录,都是规避这一攻击的方法。
大家也都知道,大型网站如百度,淘宝已经实现了全站加密,也就是部署了https证书,https证书实际上是一种非对称加密算法,用来对浏览器和服务器之间的通讯数据进行加密,使得在公网上传输的数据不会被人轻易抓包并解析,用来盗用,篡改。在交易类,金融类的网站上尤为必须,特别注意的是,现今很多公司不光有网站,还有iOS,安卓,微信等移动端,那么移动端的接口,和微信的站点,也必须部署SSL证书,保障数据安全。
对于服务器来说,最重要的是要有一个好的访问控制策略,首先对不必要的端口进行关闭,另外对经常用的比如ssh,ftp默认端口进行修改,也会极大降低安全隐患,还有linux的iptable,限制一些ip对一些核心端口的使用,都可以提高安全性。对于数据库来讲,设置白名单是必要的,对读写账号和只读账号的登录地址进行分配,培训开发人员正确使用账号,管控运维人员在生产环境的操作,必要时可以用堡垒机,数据库审计等方式进行安全控制。
对于一些加密的算法,比如MD5,虽然是不可逆算法,但是由于被广泛使用在互联网行业,所以出现了很多逆向查询的网站,也就是直接的MD5加密其实并不安全,所以需要在算法里加一些干扰因素,也就是加盐的过程,这个盐值可以是用户名,邮箱,注册时间等信息的一部分,这样得到的MD5串相对难以破解。
众所周知,当前无论用任何语言开发的网站多数采用开源的第三方MVC框架,比如Spring,Struts,而这些框架都曾暴露出漏洞,Spring3的类加载漏洞,以及Struts2的XSS漏洞,都对使用这些底层框架的网站产生过一些影响,作为网站的运营者,需要关注这些安全领域的问题,及早修复,打补丁,其中还包括操作系统补丁,各种服务器端工具软件的补丁。好在如果使用公有云服务,比如阿里云,已经提供了升级补丁的服务并且也很便宜,这方面可以采用第三方的方案,如果是自有机房,IDC的话,还需要运维及时跟进行业最新安全动态。
对于使用Apache,Tomcat,Jboss,Nginx之类免费Web或应用服务器的团队,也应该对服务器软件进行深入的研究,尤其是配置,对于apache来说, 删除不必要的module可以减少风险对于Nginx,升级到新版本更加安全,tomcat则要删除例子应用和管理权限配置,同时关注所使用服务器的官方网站,随时更新漏洞补丁及做好防范。
这类攻击主要是掌握了大量肉鸡的黑客或非法组织,采用成百上千台机器对网站发起请求,有的是以大流量阻塞网站的通讯,有的是用高频的请求,去耗尽网站服务器的系统资源,总之这种攻击手法一般很难防御,除非有很大的机房和负载均衡机制。当然,现在公有云服务商比如阿里云,腾讯云也都有相应的服务,只是比较贵,也有一些安全厂商如知道创宇,提供按年付费的防攻击服务,只需将域名解析到安全公司的安全云上,他们就可以通过安全策略过滤掉一些攻击流量和请求,使得真正回到网站服务器的请求基本是正常合法请求,保护了服务器的资源。
对于互联网金融类网站,还有一种业务需求,就是尽量屏蔽掉羊毛党,和欺诈用户,这方面也有很多第三方公司提供相应的服务,比如安全厂商知道创宇,提供了反羊毛的服务,通过接口调用的方式可以查询某一个用户的羊毛指数,如果这个用户在其他平台多次被报告为羊毛党,会在安全公司的数据库里被标识出来。而反欺诈方面,有同盾,上海资信,好贷云风控等等相关第三方公司,他们广泛收集各大平台的欺诈数据,形成数据库,以接口方式提供给平台方,在业务中集成这些第三方厂商的接口,是一个很好的避免损失的解决方案。
其实密码问题也非常重要,简单来说就是企业的员工不要所有需要登录的地方都用一套密码,也不要用简单密码,而采用大小写字母加数字的方式,否则一旦有哪个网站被攻陷,等于其他网站也都暴露了,通过撞库很容易被破解,登录,造成个人信息的外泄甚至一些经济损失还有,密码理论上每隔一段时间要重新设置,这也是跨国公司严格执行的一个铁律,另外不要把所有密码都存在网上,比如云笔记之类的地方,导致风险全集中在一个点。
说一千道一万,安全不仅仅是以上这些方面做好就高枕无忧了,安全是一种心态,一套做事流程,也是一种职业素养。每一个工程师和普通互联网用户,都应该形成这种安全意识,才能降低风险,减少不必要的损失。
fintech金融科技专题
讲师简介:曾就职于EMC中国研究院,对OpenStack,CloudFoundry及Docker有很深的研究,2015年加入麻袋理财,负责整个基础架构的演进内容简介:征信是互联网金融的核心系统之一,在单体应用到微服务改造中,我们定义了API Gateway, Scheduler Service, Data Processing Service, Cache Service和Worker Service等服务, 并实现了基于Docker的微服务化FinTech第一期:麻袋理财基于Docker的容器实践
讲师个人介绍: 蘑菇街资深开发工程,支付金融事业部初创技术员工之一,经历金融产品技术从无到有的整个过程,参与过多个金融产品的重要项目,包括消费信贷产品“买呗”、理财宝、商家贷款等产品,以及第一版的支付账务可单元化优化等,主要技术方向是研究适合互联网金融应用的技术架构与大规模应用实践。内容简介:1个月的开发时间,“买呗”经历了从0到1的过程,再用3个月的时间发展到可以支撑2000笔/秒的支付量FinTech第三期:蘑菇街消费信贷系统是如何持续优化的?
讲师简介:毕业于国防信息大学,曾就职于华为、阿里巴巴,目前任江苏大圆银泰技术总监,曾主导设计淘宝虚拟团队的秒杀系统,对高并发、大数据架构设计有深刻的了解FinTech第四期:撮合系统设计
讲师简介:敖小剑,资深Java架构师,14年软件开发经验,对敏捷开发,架构设计有深入研究,曾在亚信,爱立信,唯品会任职。现任ppmoney基础架构负责人,负责Dolphin微服务架构和配套基础设施的开发,推进公司全面服务化。FinTech第五期:PPmoney的微服务之路
讲师简介:曾就职于NCS集团、港澳资讯。先后做过开发、数据库建设,技术经理等工作。多年来一直从事证券、基金、银行、保险、互联网互联网金融等机构的IT系统的建设与运维服务,对IT系统建设和架构方案有深刻的理解和实践,目前主要专注于企业数字化转型等领域的方案设计和研究。2014年加入点融,任资深应用级DBA。FinTech第六期:点融网技术架构的解析
讲师简介:北京航空航天大学硕士,12年软件行业经验,先后就职于北大方正集团,中国国际金融有限公司,甲骨文等国内外知名企业,对软件工程、数据库、互联网高并发有深入研究和多年实践经验
Fintech第七期:互联网金融的网络安全
邓明,海航旗下国付宝CTO分享内容:区块链技术分享
讲师简介:海航旗下国付宝CTO,他在IT行业有超过17年的技术经验,曾是IBM中国全球咨询服务部的IT认证架构师,并多年担任GBS部门架构师评审委员会专题组组长。在其职业经历中,参与和领导过如下项目的实施:第一代CFCA证书系统、建设银行总部级ESB、中国银行GPP全球支付系统、北京移动Web门户、国航PSS核心业务云计算系统咨询、国航电商网站、山东农信和山东城商银行核心系统及大小额支付系统等。
Fintech第八期:区块链技术分享
黄骏宇,苏宁易付宝支付线技术专家分享内容:金融交换网关重构之路
讲师简介:支付线技术专家,稳定性小组核心成员。深耕金融支付领域多年,全程参与苏宁易付宝从1.0到2.0的架构升级,对系统性能优化和大促保障有多年的实战经验。现专注于金融支付网关的重构优化。
Fintech第九期:金融交换网关重构之路
黄步添,云象区块链创始人分享内容:区块链技术分享
讲师简介:云象区块链创始人兼首席架构师、浙江大学计算机博士,IEEE、ACM会员中国计算机学会会员、《中国新通信》杂志高级顾问。
Fintech第九期:云象区块链的应用创新
长按或扫描以下二维码
加入“中生代技术-FinTech互联网金融技术”群和大牛们一起来讨论互联网金融技术!
(如二维码失效,请联系微信:13709067248申请,注明 姓名-公司-职位)
图灵经典图书推荐,让安全来得更猛烈些
作者: Ivan Ristić
译者: 杨洋,李振宇,蒋锷,周辉,陈传文
Web应用防火墙技术世界级专家实战经验总结
阿里巴巴一线技术高手精准演绎
沃通电子认证服务有限公司(WoSign)审读
集理论、协议细节、漏洞分析、部署建议于一体
用HTTPS加密网页,让用户数据通信更安全
中生代技术
连接技术大咖的桥梁
促进科技技术的交流
长按二维码关注我们