第10课@高可用移动后台架构设计与实践@高可用移动后台架构设计之安全篇.pdf

安全篇 OutLine 高可用移动后台架构之网站安全重要性 高可用移动后台架构之网站被攻击类型 高可用移动后台架构之XSS 攻击 高可用移动后台架构之注入攻击 高可用移动后台架构之CSRF攻击 高可用移动后台架构之其他攻击 高可用移动后台架构之通用防护 高可用移动后台架构之信息加密 高可用移动后台架构之Antispam 高可用移动后台架构之案例篇 2 高可用架构之网站安全的重要性 网站安全 – 互联网诞生 – 安全一直威胁着互联网网站 – Web 攻击 – 信息泄露 – 历史事故 • 2011年6 月8号新浪微博“中毒” • 2011年12月CSDN600万用户泄露（天涯、人人网等） • 2015年携程宕机8个小时 • …… – 安全重要性 • 不言而喻 3 高可用架构之网站被攻击类型 网站被攻击类型 – XSS 攻击 • 较常见 – SQL注入攻击 • 较常见 – CSRF攻击 – 其他攻击 4 高可用架构之XSS 攻击 XSS 攻击 – 跨站脚本攻击（Cross Site Script） – 较古老的攻击手段，新的花样很多 – 黑客通过篡改网页，注入恶意JS 脚本 – 用户浏览时，控制浏览器进行恶意操作攻击 – 攻击类型 • 反射型 • 持久型 5 高可用架构之XSS 攻击 XSS反射型攻击 – 黑客诱使用户点击嵌入恶意脚本的链接，进行攻击 – 新浪微博攻击属于这种 • 黑客发布的微博中含有恶意脚本的URL • 用户点击该URL ，脚本会自动关注黑客的微博，发布该恶意微博，病毒式传播 6 高可用架构之XSS 攻击 XSS持久型攻击 – 黑客提交含有恶意脚本的请求 – 保存到被攻击者的数据库中 – 用户浏览网页，恶意脚本被包含在正常页面中 – 执行攻击 7 高可用架构之XSS 攻击 XSS 防攻击手段 – XSS 攻击在请求中嵌入恶意脚本 – 因此需要对这些内容过滤和处理 • html 特殊字符转义 • = gt • = lt • …… 8 高可用架构之注入攻击 注入攻击手段 – SQL注入 • 注入恶意SQL命令 • Delete * from TABLE • Drop Table • 常见 – OS注入 • 注入OS命令、语言代码 • 利用程序漏洞攻击 • 少见