安全问题相关

[MJingv]

xss

• 一句话解释 攻击者想尽一切办法将可以执行的代码注入到网页中

• 分类：持久型&&非持久型

  1. 持久型 ：攻击的代码被服务端写入进数据库中，影响恶劣

     input 里
     <script>alert(1)</script>

  2. 非持久型：一般通过修改 URL 参数的方式加入攻击代码，诱导用户访问链接从而进行攻击。

     http://www.domain.com?name=<script>alert(1)</script>

• 防御：转义字符 && csp

  1. 转义字符

     1. 对于用户的输入应该是永远不信任的。最普遍的做法就是转义输入输出的内容，对于引号、尖括号、斜杠进行转义
        2. 白名单：通常采用白名单过滤的办法，当然也可以通过黑名单过滤，但是考虑到需要过滤的标签和标签属性实在太多，更加推荐使用白名单的方式。

2. csp

   1. CSP 本质上就是建立白名单，开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则，如何拦截是由浏览器自己实现的。
   2. 开启方式

      1. 设置 HTTP Header 中的 Content-Security-Policy
         • 只允许加载本站资源

           Content-Security-Policy: default-src ‘self’

         • 只允许加载 HTTPS 协议图片

           Content-Security-Policy: img-src https://*

         • 允许加载任何来源框架

           Content-Security-Policy: child-src 'none'

           2 .设置 meta 标签的方式

           <meta http-equiv="Content-Security-Policy">

           ---

csrf

• 一句话解释 CSRF （跨站请求伪造）:假借用户之手去操作

原理就是攻击者构造出一个后端请求地址，诱导用户点击或者通过某些途径自动发起请求。如果用户是在登录状态下的话，后端就以为是用户在操作，从而进行相应的逻辑

• 举个🌰 假设网站中有一个通过 GET 请求提交用户评论的接口，那么攻击者就可以在钓鱼网站中加入一个图片，图片的地址就是评论接口

  <img src="http://www.domain.com/xxx?comment='attack'"/>

• 防御

1. 规则

   1. Get 请求不对数据进行修改
   2. 不让第三方网站访问到用户 Cookie
   3. 阻止第三方网站请求接口
   4. 请求时附带验证信息，比如验证码或者 Token

2. 措施

   • SameSite

     可以对 Cookie 设置 SameSite 属性。该属性表示 Cookie 不随着跨域请求发送，可以很大程度减少 CSRF 的攻击，但是该属性目前并不是所有浏览器都兼容。

• 验证 Referer

  对于需要防范 CSRF 的请求，我们可以通过验证 Referer 来判断该请求是否为第三方网站发起的。

• Token

  服务器下发一个随机 Token，每次发起请求时将 Token 携带上，服务器验证 Token 是否有效。

---

点击劫持

• 一句话解释 点击劫持是一种视觉欺骗的攻击手段

  点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中，并将 iframe 设置为透明，在页面中透出一个按钮诱导用户点击。

• 防御

  1. DENY，表示页面不允许通过 iframe 的方式展示
  2. SAMEORIGIN，表示页面可以在相同域名下通过 iframe 的方式展示
  3. ALLOW-FROM，表示页面可以在指定来源的 iframe 中展示

1.X-FRAME-OPTIONS 2.JS 防御

iframe 的方式加载页面时，攻击者的网页直接不显示所有内容了。

---

中间人攻击

• 一句话解释 中间人攻击是攻击方同时与服务端和客户端建立起了连接，并让对方认为连接是安全的，但是实际上整个通信过程都被攻击者控制了。

  1. 攻击者不仅能获得双方的通信信息，还能修改通信信息。
  2. 不建议使用公共wi-fi

• 防御 https

数字签名

通过提供 可鉴别 的 数字信息 验证 自身身份 的一种方式。

签名 最根本的用途是要能够唯一 证明发送方的身份，防止 中间人攻击、CSRF 跨域身份伪造。基于这一点在诸如 设备认证、用户认证、第三方认证 等认证体系中都会使用到 签名算法

[MJingv]

加密算法

资料来源

浅谈常见的七种加密算法及实现

加密分类

1. 加密算法分 对称加密 和 非对称加密
2. 对称加密算法的加密与解密 密钥相同，非对称加密算法的加密密钥与解密 密钥不同
3. 不需要密钥 的 散列算法

   1. 常见的 对称加密 算法主要有 DES、3DES、AES 等
   2. 常见的 非对称算法 主要有 RSA、DSA 等
   3. 散列算法 主要有 SHA-1、MD5 等

对称加密

一句话理解

1. 甲方选择某一种加密规则，对信息进行加密
2. 乙方使用同一种规则，对信息进行解密

MD5

• MD5 用的是 哈希函数，它的典型应用是对一段信息产生 信息摘要，以 防止被篡改。
• 严格来说，MD5 不是一种 加密算法 而是 摘要算法。无论是多长的输入，MD5 都会输出长度为 128bits 的一个串 (通常用 16 进制 表示为 32 个字符)。

SHA-1

• SHA1 是和 MD5 一样流行的 消息摘要算法，然而 SHA1 比 MD5 的 安全性更强。
• 对于长度小于 2 ^ 64 位的消息，SHA1 会产生一个 160 位的 消息摘要。
• 基于 MD5、SHA1 的信息摘要特性以及 不可逆 (一般而言)，可以被应用在检查 文件完整性 以及 数字签名 等场景。

非对称加密

一句话理解

1. 乙方生成两把密钥（公钥和私钥）。公钥是公开的，任何人都可以获得，私钥则是保密的。
2. 甲方获取乙方的公钥，然后用它对信息加密。
3. 乙方得到加密后的信息，用私钥解密。

RSA

• RSA 加密算法 基于一个十分简单的数论事实：将两个大 素数 相乘十分容易，但想要对其乘积进行 因式分解 却极其困难，因此可以将 乘积 公开作为 加密密钥。

  ECC

• ECC 也是一种 非对称加密算法，主要优势是在某些情况下，它比其他的方法使用 更小的密钥，比如 RSA 加密算法，提供 相当的或更高等级 的安全级别。不过一个缺点是 加密和解密操作 的实现比其他机制 时间长 (相比 RSA 算法，该算法对 CPU 消耗严重)