Web 安全

2016-12-15
  我最近一段时间在研究安全Web 安全问题。现在大多数互联网服务都是依赖于Web,如果团队不够大,没有专门负责安全问题的人员,那么就需要自己动手来做这方面的工作了。还是提到八二定律。我们花费少量的时间就可以堵住大部分的安全漏洞,性价比很高的时间花费。我买了一本《白帽子讲Web 安全》,作者是国内非常著名的安全专家吴翰清,对于Web码农,这本书还是很有必要读一下的。正好这两天内京东12G数据库泄露事件闹得很凶,同时雅虎也自曝比上次更大、更严重的涉及10亿用户信息被盗事件,搞得人心惶惶。
  这本书主讲Web 方面的安全,没有怎么涉及到系统软件的安全,我觉得这也是好的,对于一般的Web开发者而言,本书所包含的“browser安全”,“server app 安全“,”运营安全“就基本覆盖工作需要了。
  浏览器攻击主要有XSS,CSRF。其实,XSS 是CSRF实现方式中的一种,初看本书你可能觉得两章内容相近。做过Web 的同学可能在工作中对于这些安全隐患的应对措施多少有些了解,如我在实习的时候,就有被告诉过不要使用iframe,要过滤文本域等等。浏览器端安全隐患造成的破坏可能小一些,例如XSS 能够对服务端的某些数据造成间接的丢失,但是,服务端可能有日志,数据库也会有备份,总体来说还不是严重问题。
  服务端安全问题就要复杂多了,能够产生的危害也会大得多。如前面所说的爆库,只能卖价45亿美元的雅虎,在被爆出10亿用户信息被盗后,买方要求降价10亿美元。这损失不可谓不大。服务器端安全包含两个部分,其一是所使用的软件、框架、库的安全性,另一是代码层面的安全。如Struts2的漏洞,导致了京东及国内很多网站的数据泄露,如Web Server,nginx&PHP 的cgi.fix_fileinfo漏洞,但是,这些东西肯定是越来越安全的。作者12年说Apache比Nginx好一点,现在,整个行业大多使用Nginx了。Struts2团队的安全意识不行,就更换更好的框架。但是,在代码层面的漏洞,只能依靠程序员的经验了。当产品影响变大,公司不断成长,也需要专门的负责安全的人。
  针对威胁,首先需要提高我们的安全意识。曾经的世界头号黑客米特尼克,做出了多次令人惊叹的入侵活动,但是,他并不单纯的依靠技术,而是依靠社会工程学的技能。或许业务做好限制,代码中就根本不会出现某些漏洞。由于我一直在创业公司工作,大的小的都有。在创业公司前期发展的时候,大家的确是不怎么需要过分关注安全问题。不是说不需要关心,而是,产品都没有做出来,一味强调安全问题意义不大。特别是对于非技术者,小看了程序开发的难度、持续开发的难度,而过分重视所谓的安全问题。说白了,当你弱小的时候,别人都懒的管你。


 

如果有任何意见,欢迎留言讨论。


[ 主页 ]
COMMENTS
POST A COMMENT

(optional)



(optional)