第四章:服务的架构一定有漏洞

最新推荐文章于 2024-05-30 09:39:35 发布
最新推荐文章于 2024-05-30 09:39:35 发布
阅读量514 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anquanzushiye/article/details/103932762
版权
本文讲述了服务架构中常见的安全漏洞,包括扫描攻击、后台攻击、数据篡改、服务器入侵和已修复bug的重新出现。提出了相应的解决方案,如使用代码扫描工具、后台访问限制、数据验证、行为白名单与黑名单,以及冷热钱包设计和API导向的架构改造,强调了风险管理与安全控制的重要性。
摘要由CSDN通过智能技术生成

第三章:服务的架构一定有漏洞(上)

相较前两章,这一章的内容就相对温和许多了。服务的架构一定会有漏洞,这都是大家心知肚明的事。

反而没什么好吃惊的。

这一部分我会拆成几个章节写。这一章主要是在讲「暴露在外的部分」

状况一:扫描攻击

关于网站的部分,最常见的攻击有几种:

  • XSS 攻击:盗取用户 cookie

  • SQL Injection:存取数据库,捞取资料,窜改数据

  • Directory Traversal Attack:摸清机器档案目录,甚至获取机器权限 等等....

诸如此类的攻击手法,我在这本书里面就不讲得太详细了。

关于此类的内容,在 OWASP 里面有非常非常多的内容。如果你对于这些常见扫描攻击陌生,建议去读读 OWASP 出的一些指南。

http://www.owasp.org.cn/owasp-project/secure-coding

这本书我想讲的是解法、防御。

解法:

这些基础漏洞,主要出自于语言、框架,或者是低阶程序员的疏失。有几个方向你可以进行。

  1. 安装代码扫描工具

我自己擅长的是 Rails 框架上的项目开发,Rails 的开发观念以及第三方生态相对于完善。框架自带 XSS 防御、 SQL Injection 防御、XSRF 防御。如果硬要在里面写出不安全的代码,得程序员硬干 override 才能办到。

至于 Rails 界有一套服务叫 codeclimate,除了扫描代码质量,也可以扫描可能可能出现漏洞的代码。

另外,也有一套服务叫 sqreen,这套服务能充当 WAF,自动阻拦可疑扫描,并且追踪所有 rubygems 的更新与 security patch,当架构上的第三方库太老旧或是有安全疑虑,系统会自动通知开发者需要更新。

  1. 雇用白帽黑客、 资安谘询公司

安装代码扫描工具,可以很大程度防御与过滤一般的「机械式攻击」。

但「机械式」攻击,不是一般互联网服务最大的威胁。而是黑客的「手工攻击」。

机器是死的,人是活的。

如果你的服务非常重要,保卫著许多人的资产。我建议还是雇用正统资安谘询公司,人工灰盒审计(等于是请资安顾问对自己的公司实施各种攻击,找到所有可能性的攻击与脆弱点,出具报告修复)一次。而且这个灰盒审计得定期执行。

状况二:后台攻击

第二种状况,是针对「后台合法攻击」。

什么是针对后台合法攻击呢?我在这里揭露一个事实吧:

许多服务的架构都是这样设计的,后台只可能在两个地方:

  • example.com/admin

  • admin.example.com

命中率高达 99%。

而且呢,在外网就能够存取。

也就是如果你的其中一位客服或员工被猜到密码,这套服务马上就沦陷。而且因为是正常操作,不会触发任何警报。

解法:

首先,这个架构有几个地方需要改变。当然有时候你的财力物力不一定马上可以做到。但起码可以降低相当大的风险。

  1. 改名,换网域

绝对不能叫

  • example.com/admin

  • admin.example.com

你可以叫
example.cc/admin

或者

a.example.cc

至少不那么好猜,以及防御黑客盗到员工 c

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
架构漏洞:选择最适合你的漏洞管理方法
程序员光剑
02-15 24
1. 背景介绍 1.1 什么是架构漏洞 架构漏洞是指在软件系统的设计和实现过程中,由于设计不当、实现不规范或者其他原因导致的系统安全性、稳定性、可扩展性等方面存在的问题。这些问题可能会导致系统在运行过程中出现异常,甚至被恶意攻击者利用,从而对系统的正常运行造成影响。
系统架构设计师【第18章】: 安全架构设计理论与实践 (核心总结)
数据知道的博客
06-04 6198
信息系统的安全跨越物理、网络、硬件、操作系统、软件、管理等诸多层面,是一个复杂的立体空间工程,为此业界组织了诸多机构,制定了诸多标准,也形成了不少设计方法和框架。
互联网安全架构--安全漏洞
qq_39380737的博客
06-23 441
常见Web安全漏洞 1.XSS攻击 1.1什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 <script>alert('sss')</script> <script>window.location.href='http://www.itmayiedu.com';</script> 对应html源代码: &lt;script
通过系统架构漏洞获取系统VIP资源
a64910807的博客
05-28 67
首先说我的构思: 一本小说,有很多集,每一集请求下载都会生成一个k的json,例如: 有了这个k我们就可以定位到这一集具体的位置,这本小说是固定的id,每一集的K找到了,剩下的不就简单了。 再通过抓包方式,获取下载的请求: 总结: 这是我的第一个成功Hacker案例,通过系统架构缺陷,跳过vip验证,成功下载vip资源。再回顾下之前的案例,回想起当时做了多少的无用功浪费...
常见框架漏洞
2301_76786857的博客
01-17 2375
Web框架(Web framework)或者叫做Web应用框架(Web application framework),是用于进行Web开发的一套软件架构。大多数的Web框架提供了一套开发和部署网站的方式。为Web的行为提供了一套支持的方法。使用Web框架,很多的业务逻辑外的功能不需要自己再去完善,而是使用框架已有的功能就可以。如图片验证码 , 数据库交互语句等
“你的深度学习框架包含15个漏洞”,360说 | 附论文
量子位
12-03 873
允中 李林 编译整理 量子位 出品 | 公众号 QbitAI 注意!你的深度学习框架有漏洞! 这个警告来自360安全实验室(Qixue Xiao、Deyue Zhang)、佐治亚大学(Kang Li)和弗吉尼亚大学(Weilin Xu)的研究者,他们在一篇论文中,对TensorFlow、Caffe、Torch三个深度学习框架中的第三方软件包进行了研究,并在其中查找漏洞,最后得出最
系统架构设计师【第4章】: 信息安全技术基础知识 (核心总结)
数据知道的博客
05-30 6873
信息安全事关国家安全和社会稳定,在新版教材中,信息安全的内容大幅增加了,知识点也得 到了更新,与信息安全工程师的某些内容同步。所以掌握本小时知识点非常重要,不仅可以在考试 中拿到分数,也会给日常生活带来帮助。
架构师之路:数据中台服务架构之道
程序员光剑
07-31 2733
2021年,数字经济蓬勃发展,无论是线上还是线下都有大量的数字化的数据产生,数据的价值正在逐渐被更多企业所认识并驱动着商业决策。随着“数据治理”和“数据赋能”等新型的管理模式出现,“数据中台”越来越成为企业在数字化转型中最重要的“基石”。那么,什么样的公司适合作为数据中台,又该如何构建数据中台的服务架构呢?本文将从以下几个方面阐述相关知识,并通过具体案例来实践演示如何基于数据中台搭建一个服务架构
软件架构设计与模式之:敏捷架构与敏捷开发
程序员光剑
09-24 1768
软件架构设计是一个非常重要的环节。过去几年,软件架构已经成为企业创新驱动力的源泉。为提升软件质量、降低成本、提升效率、满足客户需求等目的,企业不得不面对庞大的软件系统,需要采取架构设计方法。企业采用什么样的软件架构,会影响到企业的成功运营。架构设计应该做到以下几个方面:1、架构易于理解架构易于理解意味着架构师要在一个抽象层次上搭建起系统,让各个部门可以轻松地了解系统结构及其关系。不管是内部架构还是外部架构,都应该把系统的主要功能模块、数据流向和关键技术点都列出来。
移动APP自动化漏洞检测平台架构
4lwin博客
12-12 1527
https://security.tencent.com/index.php/blog/msg/109
Intel CPU架构处理器漏洞越捅越大 打补丁将损失30%性能
Enweitech Software Works
01-04 4215
还记得前不久那个被曝光影响大面积Intel Core CPU产品的安全漏洞吗?这貌似只是冰山一角,就在今天人们发现了Intel处理器里一个更为致命的漏洞,从最底端的Pentium,到最新的Coffee Lake Core,无一幸免,现在全球的OS开发者们都全部行动了起来为Linux打补丁,微软也已经在对这个漏洞做反应……光看这种行动的规模就知道这次爆出的漏洞有多严重了。
常见漏洞类型汇总
走马观花
03-19 6000
http://www.cnvd.org.cn/publish/main/78/2012/20120924161917256776912/20120924161917256776912_.html 一、SQL注入漏洞           SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略
渗透测试之框架漏洞
Blood_Pupil的博客
05-21 1975
PHP ThinkPHP Getshell SQli
常见的框架漏洞
m0_46467017的博客
08-20 8262
Shiro默认使用了CookieRememberMeManager, 其处理cookie的流程是: 得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化.然而AES的密钥是硬编码的, 密钥泄漏的根本原因是开发人员在开发过程中部分代码直接使用了网上的一些开源的项目代码,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。cookie的key为RemeberMe,cookie的值是经过对相关信息进⾏序列化,然后使⽤aes加密,最后在使⽤base64编码处理形成的。
Zblog 的CDNfly-CloudFlare全能CDN自动刷新缓存插件-自动清理-适配优化2.1.0版本
最新发布
09-12
Zblog 的CDNfly|CloudFlare全能CDN自动刷新缓存插件,包括其自动清理、适配优化和缓存配置,手动刷新,全站刷新,自动预热等功能。作者之前已写过Wordpress对接cdnfly的插件,而此次是应群友要求为Zblog打造相应插件
基于Dubbo与Spring Boot的服务化实践demo.zip
09-12
本项目是一个简单的Dubbo整合Spring Boot的示例,展示了如何通过Dubbo实现服务的注册与发现、服务的调用和监控等功能。通过本demo,读者可以了解到Dubbo服务框架与Spring Boot框架的集成方式,以及如何快速构建微服务应用。项目包括启动Nacos服务、生产者服务提供者、消费者服务调用者以及Dubbo的管理平台。通过简单的步骤和操作,可以实现服务的发布、订阅和监控。本demo对于初学者了解Dubbo和微服务架构有很好的帮助。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业
weixin254基于微信小程序的社团活动助手php.rar
09-12
所有源码都可以运行成功
system_file1711460535847
09-12
system_file1711460535847
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值