先后端分离项目安全漏洞修复总结

最近项目被安全扫描因为项目设计有问题，暴出来了一些漏洞，在修复的过程当中特把经验总结分享。

1.先后端分离和传统架构介绍

项目架构

1.1 先后端不分离

在先后端不分离的应用模式中，前端页面看到的效果都是由后端控制，由后端渲染页面或重定向，也就是后端须要控制前端的展现，前端与后端的耦合度很高。
这种应用模式比较适合纯网页应用，可是当后端对接App时，App可能并不须要后端返回一个HTML网页，而仅仅是数据自己，因此后端本来返回网页的接口再也不适用于前端App应用，为了对接App后端还需再开发一套接口。
请求的数据交互以下图:

1.2 先后端分离

在先后端分离的应用模式中，后端仅返回前端所需的数据，再也不渲染HTML页面，再也不控制前端的效果。至于前端用户看到什么效果，从后端请求的数据如何加载到前端中，都由前端本身决定，网页有网页的处理方式，App有App的处理方式，但不管哪一种前端，所需的数据基本相同，后端仅需开发一套逻辑对外提供数据便可。
在先后端分离的应用模式中 ，前端与后端的耦合度相对较低。
在先后端分离的应用模式中，咱们一般将后端开发的每一个视图都称为一个接口，或者API，前端经过访问接口来对数据进行增删改查。
对应的数据交互以下图 :

1.3 总结

不分离项目中咱们作鉴权很容易，采用过滤器、拦截器（基于session存储）或者apache shiro、spring security，比较容易实现。可是先后端分离就稍微有点麻烦了，下面给出解决方案。

2.应对方案

2.1 先后端分离鉴权采用JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登陆（SSO）场景。JWT的声明通常被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也能够增长一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。

传统的session认证

咱们知道，http协议自己是一种无状态的协议，而这就意味着若是用户向咱们的应用提供了用户名和密码来进行用户认证，那么下一次请求时，用户还要再一次进行用户认证才行，由于根据http协议，咱们并不能知道是哪一个用户发出的请求，因此为了让咱们的应用能识别是哪一个用户发出的请求，咱们只能在服务器存储一份用户登陆的信息，这份登陆信息会在响应时传递给浏览器，告诉其保存为cookie,以便下次请求时发送给咱们的应用，这样咱们的应用就能识别请求来自哪一个用户了,这就是传统的基于session认证。
可是这种基于session的认证使应用自己很可贵到扩展，随着不一样客户端用户的增长，独立的服务器已没法承载更多的用户，而这时候基于session认证应用的问题就会暴露出来

于session认证所显露的问题

Session: 每一个用户通过咱们的应用认证以后，咱们的应用都要在服务端作一次记录，以方便用户下次请求的鉴别，一般而言session都是保存在内存中，而随着认证用户的增多，服务端的开销会明显增大。
扩展性: 用户认证以后，服务端作认证记录，若是认证的记录被保存在内存中的话，这意味着用户下次请求还必需要请求在这台服务器上,这样才能拿到受权的资源，这样在分布式的应用上，相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。
CSRF: 由于是基于cookie来进行用户识别的, cookie若是被截获，用户就会很容易受到跨站请求伪造的攻击。

基于token的鉴权机制

基于token的鉴权机制相似于http协议也是无状态的，它不须要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不须要去考虑用户在哪一台服务器登陆了，这就为应用的扩展提供了便利。
流程上是这样的：

• 用户使用用户名密码来请求服务器
• 服务器进行验证用户的信息
• 服务器经过验证发送给用户一个token
• 客户端存储token，并在每次请求时附送上这个token值
• 服务端验证token值，并返回数据

这个token必需要在每次请求时传递给服务端，它应该保存在请求头里， 另外，服务端要支持CORS(跨来源资源共享)策略，通常咱们在服务端这么作就能够了Access-Control-Allow-Origin: *。

2.2 接口隐藏涉密信息

采用java栈作后台接口，常常会用到orm框架，一个查询就把一个实体查出来返回前端，不免会把涉密字段带出来返回前端。应对方案：

• 涉密字段加密存储
• 返回涉密字段的时候，把字段设置为空。
• 或者采用aop统一处理涉密字段。
  

2.3 sql注入、xss、webshell注入

暴露在互联网上不免被扫描攻击，黑客利用扫描攻击扫应用的版本，尝试各类注入。应对方案：

• 拦截器或过滤器，监测Http请求中有敏感字符的好比:cmd、eval、shell等，就拦截直接返回拒绝访问。
• 若是某个ip一直扫描疯狂探测而且请求中带有敏感字符，就把该ip放入黑名单，黑名单能够用缓存实现、存放禁用Ip，建议能够用redis存储。

具体实现能够看个人文章《nodejs http-proxy 开发反向代理服务器，防火墙，过滤常见的web渗透》
《spring 防止SQL注入的拦截器》

2.4 越权访问他人信息

不要信任前端的参数，记得作后台权限判断

好比咱们的订单id是数字类型的，黑客能够用工具去循环遍历，获取全部用户的订单信息，这样就很不安全。
这个时候后台要作权限判断，根据前端传的订单id和token信息，判断该订单是不是token对应用户的订单，若是不是就不返会信息。

2.5 短信轰炸

针对短信炸弹漏洞，建议限制每一个手机号的每日发送次数，每一个ip最大发送次数，限制 每一个手机号发送的时间间隔，以及应具备页面图片验证码、IP访问次数限制功能。实现方式能够采用redis过时缓存。

2.6 避免报错信息返回前端

异常信息可能把ip端口号之类的返回到前端了，这样会给黑客渗透留下提示，怎么办呐？

• 采用拦截器、aop过滤返回信息，若是携带有Exception关键字，就去掉报错信息。

参考

什么是 JWT -- JSON WEB TOKEN https://www.jianshu.com/p/576dbf44b2ae

总结不易欢迎在看或转发，更多精彩关注微信公众号【lovepythoncn】
**