Web 安全

    2016-12-15

  我最近一段时间在研究安全Web 安全问题。现在大多数互联网服务都是依赖于Web，如果团队不够大，没有专门负责安全问题的人员，那么就需要自己动手来做这方面的工作了。还是提到八二定律。我们花费少量的时间就可以堵住大部分的安全漏洞，性价比很高的时间花费。我买了一本《白帽子讲Web 安全》，作者是国内非常著名的安全专家吴翰清，对于Web码农，这本书还是很有必要读一下的。正好这两天内京东12G数据库泄露事件闹得很凶，同时雅虎也自曝比上次更大、更严重的涉及10亿用户信息被盗事件，搞得人心惶惶。

  这本书主讲Web 方面的安全，没有怎么涉及到系统软件的安全，我觉得这也是好的，对于一般的Web开发者而言，本书所包含的“browser安全”，“server app 安全“，”运营安全“就基本覆盖工作需要了。

  浏览器攻击主要有XSS，CSRF。其实，XSS 是CSRF实现方式中的一种，初看本书你可能觉得两章内容相近。做过Web 的同学可能在工作中对于这些安全隐患的应对措施多少有些了解，如我在实习的时候，就有被告诉过不要使用iframe，要过滤文本域等等。浏览器端安全隐患造成的破坏可能小一些，例如XSS 能够对服务端的某些数据造成间接的丢失，但是，服务端可能有日志，数据库也会有备份，总体来说还不是严重问题。

  服务端安全问题就要复杂多了，能够产生的危害也会大得多。如前面所说的爆库，只能卖价45亿美元的雅虎，在被爆出10亿用户信息被盗后，买方要求降价10亿美元。这损失不可谓不大。服务器端安全包含两个部分，其一是所使用的软件、框架、库的安全性，另一是代码层面的安全。如Struts2的漏洞，导致了京东及国内很多网站的数据泄露，如Web Server，nginx&PHP 的cgi.fix_fileinfo漏洞，但是，这些东西肯定是越来越安全的。作者12年说Apache比Nginx好一点，现在，整个行业大多使用Nginx了。Struts2团队的安全意识不行，就更换更好的框架。但是，在代码层面的漏洞，只能依靠程序员的经验了。当产品影响变大，公司不断成长，也需要专门的负责安全的人。

  针对威胁，首先需要提高我们的安全意识。曾经的世界头号黑客米特尼克，做出了多次令人惊叹的入侵活动，但是，他并不单纯的依靠技术，而是依靠社会工程学的技能。或许业务做好限制，代码中就根本不会出现某些漏洞。由于我一直在创业公司工作，大的小的都有。在创业公司前期发展的时候，大家的确是不怎么需要过分关注安全问题。不是说不需要关心，而是，产品都没有做出来，一味强调安全问题意义不大。特别是对于非技术者，小看了程序开发的难度、持续开发的难度，而过分重视所谓的安全问题。说白了，当你弱小的时候，别人都懒的管你。

 

[ 主页]