网络安全

​

1. XSS（跨站脚本攻击）

 

最多见的是cookie劫持，简单来讲就是咱们用浏览器登陆一个网站，主要是用存在客户端浏览器里的cookie来保存客户惟一标识的令牌，在Java写就的网站里，是一个jsessionid，若是经过抓包获取了浏览器的jsessionid，那么在另外一个地方，就能够模拟用户的登陆，从而窃取用户的资料乃至进行一些登陆后才能够作的操做，危害性很大。

2. SQL注入

 

在网站全部搜索输入框中，输入的内容，通常会经过在服务器端拼接SQL语句去向数据库发起查询请求，而后把结果展现在网页上，若是查询一我的'jack'：

指望的语句是：

 

select * from user where username='jack'；

但若是被输入的内容为jack' or '1‘=’1,

 

结果语句变为：

select * from user where username='jack or ‘1’=‘1';

 

因而，全部用户的资料都被查询出来，若是后面跟的不是1=1，是drop等更具毁灭性的语句，那带来的损失将没法估量。

3. 文件上传漏洞

 

不少网站都有文件上传的功能，而少数网站并无对文件后缀名进行限制，因此有可能被恶意的人抓住机会，上传一些恶意程序。

 

好比针对Java网站的JspBrowser.jsp，这个程序上传并执行后，能够在网页端看到整个服务器的目录结构，全部文件，以及能够在网页上执行服务器上的一些命令，危害极大。

 

要避免这种状况，首先要对上传文件的类型加以限制，而且对上传文件夹进行随机生成的处理，使得黑客没法掌握到上传路径，另外将上传文件夹放在另一个存储服务器上，而不是应用服务器内，将上传文件夹设置为不可执行目录，都是规避这一攻击的方法。

4. 网站通信安全SSL

 

你们也都知道，大型网站如百度，淘宝已经实现了全站加密，也就是部署了https证书，https证书其实是一种非对称加密算法，用来对浏览器和服务器之间的通信数据进行加密，使得在公网上传输的数据不会被人轻易抓包并解析，用来盗用，篡改。在交易类，金融类的网站上尤其必须，

 

特别注意的是，现今不少公司不光有网站，还有iOS，安卓，微信等移动端，那么移动端的接口，和微信的站点，也必须部署SSL证书，保障数据安全。

5. 访问控制

 

对于服务器来讲，最重要的是要有一个好的访问控制策略，首先对没必要要的端口进行关闭，另外对常常用的好比ssh,ftp默认端口进行修改，也会极大下降安全隐患，还有linux的iptable，限制一些ip对一些核心端口的使用，均可以提升安全性。

 

对于数据库来说，设置白名单是必要的，对读写帐号和只读帐号的登陆地址进行分配，培训开发人员正确使用帐号，管控运维人员在生产环境的操做，必要时能够用堡垒机，数据库审计等方式进行安全控制。

6. 加密算法

 

对于一些加密的算法，好比MD5，虽然是不可逆算法，可是因为被普遍使用在互联网行业，因此出现了不少逆向查询的网站，也就是直接的MD5加密其实并不安全，因此须要在算法里加一些干扰因素，也就是加盐的过程，这个盐值能够是用户名，邮箱，注册时间等信息的一部分，这样获得的MD5串相对难以破解。

7. WEB框架安全

众所周知，当前不管用任何语言开发的网站多数采用开源的第三方MVC框架，好比Spring，Struts，而这些框架都曾暴露出漏洞，Spring3的类加载漏洞，以及Struts2的XSS漏洞，都对使用这些底层框架的网站产生过一些影响，做为网站的运营者，须要关注这些安全领域的问题，及早修复，打补丁，其中还包括操做系统补丁，各类服务器端工具软件的补丁。

好在若是使用公有云服务，好比阿里云，已经提供了升级补丁的服务而且也很便宜，这方面能够采用第三方的方案，若是是自有机房，IDC的话，还须要运维及时跟进行业最新安全动态。

8. WEB服务器安全

 

对于使用Apache，Tomcat，Jboss，Nginx之类免费Web或应用服务器的团队，也应该对服务器软件进行深刻的研究，尤为是配置，对于apache来讲, 删除没必要要的module能够减小风险

 

对于Nginx，升级到新版本更加安全，tomcat则要删除例子应用和管理权限配置，同时关注所使用服务器的官方网站，随时更新漏洞补丁及作好防范。

9. DDos，CC攻击

 

这类攻击主要是掌握了大量肉鸡的黑客或非法组织，采用成百上千台机器对网站发起请求，有的是以大流量阻塞网站的通信，有的是用高频的请求，去耗尽网站服务器的系统资源，总之这种攻击手法通常很难防护，除非有很大的机房和负载均衡机制。

 

固然，如今公有云服务商好比阿里云，腾讯云也都有相应的服务，只是比较贵，也有一些安全厂商如知道创宇，提供按年付费的防攻击服务，只需将域名解析到安全公司的安全云上，他们就能够经过安全策略过滤掉一些攻击流量和请求，使得真正回到网站服务器的请求基本是正常合法请求，保护了服务器的资源。

10. 羊毛党，反欺诈

 

对于互联网金融类网站，还有一种业务需求，就是尽可能屏蔽掉羊毛党，和欺诈用户，这方面也有不少第三方公司提供相应的服务，好比安全厂商知道创宇，提供了反羊毛的服务，经过接口调用的方式能够查询某一个用户的羊毛指数，若是这个用户在其余平台屡次被报告为羊毛党，会在安全公司的数据库里被标识出来，