越长越圆
越长越圆

服务器端应用安全

原文链接:http://blog.csdn.net/qq_22329521/article/details/76128654

SQL注入

盲注

Web服务器关闭了错误回显,对于攻击者就缺少了重要的调试信息,所以攻击者知道一个方法来验证SQL语句是否执行
比如

http://xxxx.com/items.php?id=2
构造
http://xxxx.com/items.php?id=2 and 1=2
如果页面是空的,或者出差,可以猜测这可能存在注入的机会
再次修改
http://xxxx.com/items.php?id=2 and 1=1
如果正常返回,就可以判断注入成功

BENCHMARK函数

BENCHMARK函数用来测试函数性能

BENCHMARK(10000000,ENCODE('msg','by 5 seconds'))
将encode(xxx,xxx)执行xxxx次数

利用BENCHMARK函数,可以让同一个行数执行若干次,使得结果返回的时间比平时长,通过时间长度变化,可以判断注入语句是否执行成功

下面有具体的sql实例
http://blog.csdn.net/emaste_r/article/details/8156108

防御sql注入

  • 预编译语句,绑定变量
  • 使用存储过程,调用存在数据库里的函数
  • 检查数据类型,如果输入是数字,就用integer做检验,如果是邮箱则正则表达式去做校验等
  • 使用定义好的安全函数来转义。
  • 设置数据库用户的最小权限。

文件上传漏洞

文件上传后导致的常见安全问题一般有:

  • 上传文件是Web脚本语言,服务器的Web容器解释并执行用户上传的脚本,导致代码执行
  • 上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为(其他通过类似行为控制策略文件的情况类似)
  • 上传文件是病毒,木马文件,用以诱惑用户或者管理员下载执行
  • 上传文件是钓鱼图片或为包含脚本的图片,在某些版本浏览器中会被作为脚本执行,被用于钓鱼和欺诈

设计安全的文件上传功能

  • 文件上传的目录设置为不可执行:只要Web容器无法解析该目录下的文件,即使上传了脚本文件也不收影响
  • 判断文件类型:可以结合MIME Type,后缀检查等方式。
  • 使用随机数改写文件名和文件路径:只要修改路径,上传的文件查找的不容易
  • 单独设置文件服务器的域名:同源策略的关系,一系列客户端攻击将生效

用户信息管理

密码强度
  • 普通应用要求长度为6位以上
  • 重要应用要求长度为8位以上,并考虑双因素认证
  • 密码区分大小写字母
  • 密码为大写字母,小写字幕、数字、特殊符号中两种以上的组合
  • 不要有连续性的字符
  • 尽量避免出现重复的字符
  • 密码保存:必须以不可逆的加密算法,或者是单向散列函数算法,加密后存储在数据库中
  • 在计算密码明文的时候加一个salt MD5(salt+password),避免password 单一容易被彩虹表收集到

Session注意点

  • Seesion在登陆完成后,重写SessionId,避免SessionFixation攻击
  • 服务器设置固定时间强制销毁Session,因为客户端可以修改用户的存活时间,定时拿seesionId去请求。
  • 降低SSO的风险,在一些敏感的系统,在单独实现额外的认证机制。

访问控制

  • 垂直权限管理:现在应用广泛的一种方法是基于角色的范围控制:RBAC,Java中的Spring Security 权限管理,就是RBAC模型的一个实现
  • 水平权限管理,RBAC只能验证用户A属于角色RoleX,但不会判断用户A是否能访问只属于用户B的数据B,发生了越权访问,这种问题一般是具体问题具体解决,至今仍是一个难题,它难以发现
  • 设计方案时,都应该满足“最小权限原则"

加密算法与随机数

略。。。

记下结论

  • 不要使用ECB模式
  • 不要使用流密码(RC4)
  • 使用HMAC-SHA1替代MD5(甚至是替代SHA1)
  • 不要使用相同的key做不同的事情
  • salts与IV需要随机生成
  • 不要自己实现加密算法,尽量使用安全专家已经实现好的库
  • 不要依赖系统的保密性
  • 使用CBC模式的AES256加密
  • 使用HMAC-SHA512用于完整性检查
  • 使用带salt的SHA-256或SHA-512用于Hash

DDOS

DDOS又称为分布式拒绝服务利用合理的请求造成资源过载,导致服务不可用

SYN flood攻击

  1. 客户端向服务器端发送一个SYN包,包含客户单使用的端口号和初始序列号X
  2. 服务器端接受到客户单发送的SYN包后,向客户端发送一个SYN包和ACK都置位的TCP报文,包含确认号x+1和服务器端的初始序列号y
  3. 客户端收到服务器端返回的SYN+ACK报文后,向服务器端返回一个确认号为y+1、序号为x+1的ACK报文,一个标准的TCP连接

SYN flood攻击,首先伪造大量的源IP地址,分别向服务器端发送大量的SYN包,此时服务器端会返回SYN/ACK包,因为源地址是伪造的,所以伪造的IP并不会应答,服务器端没有收到伪造IP的回应,会重试3-5次并且等待一个SYN Time(一般为30秒至2分钟),如果超时则丢弃连接。攻击者大量发送这种伪造源地址的SYN请求,服务器会消耗非常多的资源来处理这种半连接。

对抗SYN flood的主要策略有SYN Cookie/SYN Proxy,safereset等算法,SYN Cookie 主要思想是为每一个IP地址分配一个 cookie,并统计每个ip地址的访问频率,如果短时间收到大量的请求,则丢弃这些ip地址的包

应用层DDOS

由于发生在应用层,tcp三次握手已经完成,连接建立,发起的ip都是真实的,这种ddos逼网络层ddos更可怕
CC攻击
CC攻击原理非常简单,就是对一些消耗资源较大的应用页面不断发起正常的请求,以达到消耗服务器资源的目的。在Web应用中,查询数据库,读/写硬盘文件等操作,相对都会消耗成比较多的资源
应用层的攻击还可以通过一下方式:黑客入侵了一个流量大的网站后,通过篡改页面,将巨大的用户流量分流到目标网站