[每周一更]-(第3期):Web开发安全注意事项

已于 2022-07-15 23:42:33 修改
阅读量180 收藏
点赞数
分类专栏: 安全 每周一更 文章标签: 前端 安全 数据库
于 2022-07-15 23:42:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hmx224_2014/article/details/125814129
版权

在这里插入图片描述

这一期我们来聊聊安全,安全的话题亘古不变,做什么都会涉及到安全层面,特别是现在大家的安全意识都得到了提升,安全防护也越来越重要,最近大家也许也听到过泄露数据事件,可以看到安全大部分是人为造成的,当然我们安全防护工作,不光要管人,还要管机器,本质上就是规范的制定,代码层面:防黑客,防DDoS攻击;安全工作很重要还是不容忽视,服务器安全、数据库安全等都会涉及,今天着重聊下服务开发过程中Web安全方面:

认证与授权

认证:证明你是谁。 会存在的问题:

  • 1、弱密码
  • 2、凭证盗用(cookie)
  • 3、逻辑问题

授权:你被允许做什么。(水平权限、垂直权限)

如何解决:

  • 1、认证与授权分离
  • 2、权限控制在后端
  • 3、使用统一的认证方式(公司的安全部门一般会有统一的管理系统)

信息泄露

  • 1、debug信息泄露(例如console.log打印出来的信息)
  • 2、报错信息(后端返回的错误信息中有敏感内容,例如sql语句)
  • 3、源码暴露(把源码也上传至服务器)
  • 4、安全意识(点击不安全的链接等)

XSS

  • 反射型:如恶意链接。由用户点击触发,一次性完成。
  • 储存型:例如恶意代码被保存至数据库,每当用户请求时都会触发恶意代码
  • DOM型:改变用户dom结构

如何解决:

  • 1、数据类型检查
  • 2、关键标签过滤
  • 3、转义、编码

ps:XSS的类型区分是根据数据流向决定的。例如储存型要经过数据库,反射型直接经过后端返回给浏览器。

XSS介绍

SQL注入

解决方案:

  • 1、参数检查
  • 2、特殊符号转义
  • 3、使用参数绑定或预编译语句(一些sql框架有预编译sql语句的功能,但是并不是所有的语句都可以预编译)

跨站脚本攻击

解决方案:

  • 1、检查referer(该head字段可以被伪造)
  • 2、请求中添加csrf_token
  • 3、重要操作添加二次验证(手机验证码等)

服务端请求伪造

很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。这种形式的攻击称为服务端请求伪造攻击(Server-side Request Forgery)。

  • 1、参数检查
  • 2、检查返回内容(防止返回敏感信息)
  • 3、黑名单限制特定端口与ip
  • 4、返回统一的错误信息

命令执行

  • 1、参数检查
  • 2、谨慎使用危险函数
  • 3、代码与数据做分割(单独处理数据,确保其安全)

重定向被篡改

  • 1、地址校验
  • 2、重定向地址加签名

点击劫持

  • 1、X-Frame-options:Deny、SAMEORIGN、ALLOW_FROM(该头部可以控制页面是否可以被嵌套)
  • 2、操作二次确认

安全开发

  • 1、参数处理:类型检查、 参数过滤(白名单-较安全、黑名单、循环过滤)、转义编码(html转义、js转义、url编码、sql转义:根据语境选择)
  • 2、认证授权:登录认证(逻辑不在前端,敏感数据不在前端,二次验证,返回提示不要太明确,ip控制)
    • sessionId(及时更新删除)
    • 权限控制(最小权限原则)
    • 上传下载(检查文件类型、文件名处理、对文件名中的’…/…/‘做过滤,避免路径穿越,独立服务器)
    • 用户提交
  • 3、账号安全:密码找回(防止请求被篡改)

常见协议安全

本文档通过介绍常见开发过程中因协议配置错误或代码漏洞而导致安全的问题去避免类似现象的发生。 常见开发过程中的协议:

  • HTTPS
  • WebSocket
  • JWT
  • OAuth
  • Json
  • XML

WebSocket 安全

  • 输入未做校验
  • 帧数大小未做限制
  • 最大连接数未做限制,既可以耗尽客户端也可以耗尽服务端
  • 持久链接过多未自动关闭
  • Origin头部未做验证
  • 未采用HTTPS
  • 访问策略未做限制,存在越权现象(授权需由服务端限制)

OAuth 安全

  • 回调域名需要白名单限制访问
  • OAuth Token泄露
  • Refer消息头泄露Authorization Code

JWT安全

JWT是JSON web Token的缩写,它是为了在网络应用环境间传递声明而执行的一种基于JSON的开放式标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。

  • 严格保护自己的secret_key,防止泄漏
  • 禁止线上站点与测试站点用一套JWT
  • 利用RS算法代替HS算法
  • 线上环境一定要禁止debug
  • 设置较强的secret_key,并且定期更换

Json, XML安全

  • 跨站请求伪造:跨站请求伪造(CSRF)是一种利用站点对用户浏览器的信任而发起攻击的方式。
  • 跨站脚本攻击:注入攻击都是利用系统本身的漏洞向网站注入恶意代码来进行攻击的。

Mysql安全配置

参考:https://www.securitypaper.org/2.sdl规范文档/9-mysql安全配置/

ifanatic
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Front-End-Web-Development-with-React:前端Web开发每周都会对解决方案做出React
05-28
带有响应的前端Web开发 讲授:计算机科学与工程系副教授Jogesh K. Muppala 请认真遵守课程,仅供参考 关于本课程 本课程探索基于Java的前端应用程序开发,尤其是React库(当前为16.3版)。 本课程将使用JavaScript ...
Web-Technology-Lab:Web技术和在线服务模块20202的每周练习
04-07
在“Web-Technology-Lab:Web技术和在线服务模块20202的每周练习”中,我们可以探索一系列关于Web开发的基础知识和技能。这个项目可能是针对一个名为“第32组-DQHT”的团队,成员包括潘迪、吴明光、范楚荣和阮敏团。...
网站建设中需要注意哪些安全问题?
最新发布
Dexun_chuqi的博客
03-26 917
德迅云安全WAF的防DDoS攻击模块采用主动监测+被动跟踪相互结合的防护技术,可辨识多种DDoS攻击,并启用特有的阻断,能够高效地完成对DDoS攻击的过滤和防护。企业内部网络或WEB服务器,由于管理制度的不健全或缺乏有效的防护手段,导致内部网络存在后门等情况后,会出现恶意外联行为,德迅云安全WAF的外联检测功能可有效识别并阻断后门攻击的主动外联,为用户提供了应对该类攻击行为的有效防护手段,实现360度全方位防护用户网络和服务器。提供用户教育和培训,教育用户识别和应对钓鱼攻击,并加强对敏感信息的保护和验证。
网站空间安全注意事项
weixin_34291004的博客
07-06 59
2019独角兽企业重金招聘Python工程师标准>>> ...
web安全测试必须注意的五个方面
weixin_43298663的博客
08-09 397
  安全测试基础理论薄弱,当前测试方法缺少理论指导,也缺乏多的技术产品工具 ;   安全测试需要对系统所采用的技术以及系统的架构等进行分析,这方面也是较为薄弱的环节!
.NET配置文件的10大安全漏洞
软件质量优化
03-07 2890
在ASP.NET应用程序在生产环境中部署时,需要检查Web.Config文件是否存在以下10个不正确的配置,可能导致安全漏洞: 1、Disabling custom errors       Vulnerable:                               Secure:                                            
Goby 漏洞新 |ThinkPHP Debug 模式日志信息泄露漏洞
m0_46699477的博客
04-21 1220
ThinkPHP 是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架。ThinkPHP Debug 模式存在日志信息泄露漏洞,在开启Debug的情况下会在Runtime目录下生成日志,攻击者通过构造特殊URL地址,读取日志敏感信息。
NH-M-C-NG-NGH-WEB:Web技术和在线服务团队每周做一次家庭作业和大型任务
04-08
"NH-M-C-NG-NGH-WEB:Web技术和在线服务团队每周做一次家庭作业和大型任务" 这个标题表明了一个学习或工作团队的惯例,他们专注于Web技术和在线服务领域,并且每周都有固定的家庭作业和大型项目任务。这可能是一个...
awesome-web-newsletters:web令人敬畏的与网络相关的新闻通讯列表
04-19
:fire: 令人敬畏的与网络相关的新闻通讯... Webtools每周 Design 设计系统 尼尔森·诺曼集团 产品设计周刊 侧边栏 UI运动 会费 如果您希望为该存储库做出贡献,请将其派生并发送PR :grimacing_face: 与真棒链接。
python-web-frameworks:流行的Python Web框架
04-05
顶级Python Web框架 流行的Python Web框架列表按GitHub星级数排名,每周...Tornado是一个Python Web框架和异步网络库,最初是由FriendFeed开发的。 19908 5351 225 2009年 2021-04-04 异步Python 3.7+ Web服务
10 | 信息泄露:为什么黑客会知道你的代码逻辑?
08-18 8119
你平时在 Debug 的时候,一定首先会去查看错误信息。根据错误信息,你能够了解究竟是什么情况引发了什么样的错误。同样地,黑客也能够通过错误信息,推断出你的后台代码逻辑。那么,黑客究竟是怎么做的呢?接下来,我们就一起看一下这个过程。 为什么错误信息会泄露代码逻辑? 当黑客在登录某个页面时,在用户名位置输入一个单引号,在密码位置输入一个“g”之后,就会出现如下的错误信息。 An Error Has Occurred. Error Message: System.Data.OleDb.OleDbExcepti.
【信息泄露(一):物理路径泄露】
naxiaorongshixiatian的博客
05-17 994
信息泄漏–物理路径泄露 访问某网址时在其后面随意加了一个参数。 1.如果参数错误,返回内容什么都没有,只告诉你出错 ,则说明无信息可利用。 2.如果参数错误,返回内容有物理路径,则攻击者可以利用该物理路径攻击服务器 对于物理路径泄漏问题,可能由以下几个原因导致: 1.开发者未关闭debug模式,导致参数错误时进入debug调试模式,将敏感信息泄露 2.开发者未考虑参数错误问题,导致参数错误时进入未知界面(未知界面包含物理路径敏感信息) 有以下几个修复方案: 1.将debug模式关闭 2.对于参数错误问题,定
关于内存泄漏检测及debug错误行数捕获
ladliu的专栏
09-02 2530
参考资料:1、http://blog.vckbase.com/bruceteen/archive/2004/10/28/1130.aspx;2、http://www.vckbase.com/document/viewdoc/?id=1349;实验平台:vc6.0++(sp6);  这篇文章是对2004-09-02日发表的《VC++6.0中简单的内存泄漏检测事例代码》(已经删
Web常见漏洞描述及修复建议
PromisingQ
08-26 1465
1.SQL注入   漏洞描述   Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。   修复建议 代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。   (1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量
asp.net发布后web.config里面的compilationdebug的值true和false有什么区别
futao1249835507的专栏
08-04 1458
意味着可以插入一些debugger的中断,这样在开发是就可以调试了。false 用于已经发布的项目,它不需要再调试了, 一般开发是用true, 发布正式项目用false.主要区别是设置为true时 1) 由于编译优化被取消,编译ASP.NET 页需要长的时间 2) 由于需要额外的debug,代码执行比较慢 3) 在系统运行时runtime 占用多的内存,需要为debug创建冗余代码。
System.Web.HttpRequestValidationException解决方法
热门推荐
乐居猫
08-20 1万+
为什么抛 System.Web.HttpRequestValidationException?  从客户端(TextBox1="")中检测到有潜在危险的 Request.Form 值。 说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要允许页面重写应用程序请求验证设置,请将 httpRuntime 配置节中的
c#代码获取web.config配置文件里面设置的 <compilation debug="true"节点的debug
u011511086的专栏
09-01 3393
下面代码可以获取掉debug的值System.Web.Configuration.CompilationSection cmp = (System.Web.Configuration.CompilationSection)System.Configuration.ConfigurationManager.GetSection("system.web/compilation");
内存泄露debug
sensor_my的博客
03-08 391
Dmalloc 下载:http://dmalloc.com/releases/dmalloc-5.5.2.tgz 编译: --prefix指定的目录请自行改,此目录下 ./configure --enable-threads --prefix=xxx/Install 修改Makefile中的CC,CXX,ld,ar,ranlib等tools为对应工具链的tools make make install 使用: 执行编译生成的dmalloc(位于Install/bin目录) ./dmalloc
敏感信息泄露
jpygx123的博客
10-16 7518
默认账户 通用性web程序有默认的管理员用户或者测试用户,才应用上线时没有进行清除导致第三方可以直接登录,进行一些操作。 数据库软件。 集成开发环境。 CMS内容管理系统。 路由器管理界面。 摄像头管理界面。等 实例: echop在默认安装的时候,安装程序会默认添加两个管理员账户。 后台/服务对公开发 后台地址泄露 后台地址被爆破 后台未做授权 敏感服务未做访问限制,可以直接访问 实例: ...
HCIA - 80笔记 HCIA - 80笔记
01-07
课程安排为每周一、三、五晚上8-10点,中间休息十分钟,提供系统性的新知识复习。学习资源包括群文件、百度云链接、课堂笔记和录屏,以及班主任的考勤管理和答疑支持,学员可以在课后通过QQ向海飞老师提问。 总结来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值