01 写在前面的话
从这次蠕虫勒索病毒事件来看,网络安全已然成为备受关注的新领域。说起网络安全,绝大多数人都是既熟悉又陌生。
熟悉的是玩电脑的时候都知道要安装杀毒软件,陌生的是大家并不了解遇到安全问题该如何解决,又该如何杜绝隐患。
我们要知道,当Web安全遭受威胁时会有哪些后果呢?轻则造成信息漏洞,重则可导致用户遭遇不可弥补的损失。
02 关于web安全的问答
Q:老师,您好,作为一名后端开发工程师javaweb而言,我觉得有许多web安全都是从用户输入进行攻击的,永远不要相信用户这句话很著名。。所以大部分从前端页面来做验证,判断,那么就java方向的后端工程师来说,有什么可以进行辅佐类的代码思想吗?在java方向的web开发好像比脚本语言要安全的多。。望老师解答,谢谢…
TooooBug:首先,你说得很对,永远不要相信用户输入。既然如此,怎么可以信任前端验证呢?你暴露给前端的接口,前端只要给这个接口传数据就行了,你是无法保证这个数据是验证/过滤过的。所以验证/过滤这件事情一定是在后台做的。在这个前提下,常见的安全问题都需要java后台开发来关注。 另外说java比脚本安全得多,这个好像并没有什么论据可以支持。java后端出的安全问题也并不比脚本语言少。
Q:我见过有人被加了个js脚本,然后这个脚本会自己跳转到对方的网站上,甚至在百度搜索引擎搜索的时候,在后面会有xxx的关键词,或者有的用户名没限制,可以让他输入js,再然后的话端口有些是我需要的,但是我不知道开启之后会不会不安全,所以我想知道下啥端口开启后是不安全的,比如21,3389什么的
TooooBug:对的,XSS就是脚本注入。端口的话没有一刀切的说法,不可能说21是安全的,3389是危险的。如果真是这样的话,那大家只要避开危险端口就好了。事实上每个端口后面都对应有不同的服务,服务的部署水平会决定是否安全,此外,因为大部分服务使用的是开源软件,很可能带有被广泛公开的漏洞,所以开的服务越多,出问题的可能性就越大。
Q:老师,面试时会有哪些安全相关的问题吗
TooooBug:这个看公司风格。大部分对技术面得比较详细的公司都会问安全的问题的。 一般会关注常见的比如 XSS CSRF SQL注入 上传等问题的原理和修复方案。还有密码安全也基本上是面试必考点。
Q:请问老师对于web项目怎么进行安全检查 有哪些步骤? 最佳实践是什么?
TooooBug:安全检查的话,应该有几个方面:
- code review,通过review来发现一些明显的安全问题;
- 配置通用的安全机制,比如防火墙策略,公共安全检查机制(很多云服务都有入侵检测);
- 通过定期扫描,一些大公司会有这样的机制,由机器人24小时随机扫描网站和接口,发现很多典型的安全问题;
- 找安全公司进行审计,这个成本会比较高,一般适用于项目需要跨团队交付的情况 最佳实践的话我也不好说,这个得看具体的团队配置情况决定。团队成员方向和团队规模不一样的话,在安全方面的做法是会完全不一样的。
Q:用yii2框架是否比较安全可以排除一部分人
TooooBug:框架一般会配置一些安全措施,比如像SQL注入,一般带ORM的框架都能比较好地处理。但是有一些场景还是需要自己处理的,比如像XSS、CSRF(框架可能有一些辅助),或者像密码安全之类的。所以还是要自己掌握好原理,不能依赖框架解决所有的安全问题。
Q:老师,请问前端需要关注安全问题吗?
TooooBug:当然需要的。web前端开发是离用户最近的一群人,和安全问题息息相关。 比如XSS攻击正是通过前端的入口将攻击代码给过来的,也是通过前端的展示再将攻击代码展示给其它用户的。这中间有非常多需要前端去学习和关注的安全点,如果处理不好就会导致安全问题出现。
当网站真的出现安全问题的时候,一般一线处理人员也会是前端先参与,确认出问题的地方和性质,然后看看如何修复。如果确实没有办法靠前端独立修复,也需要去指导后端同学一起参与修复,并且需要确认修复后用户体验是不受影响的。
Q:请问老师,各种安全问题产生的原理是什么呢
TooooBug:安全问题的产生基本上有两种来源: 一是因为开发人员考虑不周,导致黑客找到漏洞。 二是代码跑的环境不安全,比如服务器被黑。
作为开发人员,需要详细了解安全问题的原理。 比如XSS的原理是因为用户将它的数据变成了代码,在页面中跑起来了,所以就可以为所欲为。 CSRF则是当用户不知情时,被黑客的网页通过图片、表单等请求时,用户的登录态(Cookies)在不知情的情况下会被发送到服务器,导致用户在不知情的情况下被利用身份。 点击支持则是网页被嵌入到了其他网站中,并通过视觉隐藏的方式引导用户进行一些不知情的操作。 上传导致的漏洞是因为用户的文件没有做好判断和处理,导致传上来的文件被当成程序执行了。 SQL注入是用户的数据被当成了表示SQL语义的部分,改变了原来的查询语句的语义,从而产生意料之外的结果。
每一种安全问题背后都有复杂的原理,要在这里说清楚其实不太容易。如果你对哪一方面有兴趣的话我们可以单独详细探讨一下。 如果你希望系统地学习了解的话,推荐你看《Web前后端漏洞分析与防御》。
讲师介绍
热门评论
讲的真好,受益匪浅,点赞
了解到了很多关于安全的概念。