資訊專欄INFORMATION COLUMN
摘要:記錄自余弦在上的演講程序員與黑客防御就是提高攻擊的成本架構思想一黑客思維應該貫穿整個公司的業務架構研發運維理想狀態技術團隊每個人都有黑客思維思想二優美的架構一定是健壯的想象下生態系統有漏洞被黑很正常快速自愈是關鍵思想三優美的架構一定
記錄自余弦在qcon上的演講
程序員與黑客(1)防御就是提高攻擊的成本
架構思想一:黑客思維應該貫穿整個公司的業務[..->架構->研發->運維->..](理想狀態技術團隊每個人都有黑客思維)
思想二:優美的架構一定是健壯的
想象下生態系統
有漏洞/被黑很正常
快速自愈是關鍵
思想三:優美的架構一定是處處優美的(金剛狼)
...
文檔(小注釋,大系統,接替)
代碼(代碼齪漏洞也多)
邏輯(邏輯不能混亂)
人->團隊(人是萬惡之源)
思想四:安全的本質是信任(信任能)
[緊內聚,松耦合]設計思想
緊內聚->最小單元->一段邏輯代碼(不是函數)
松耦合->分離->不信任任何輸入
關鍵詞:單元,分離
理解透了單元,才能知道分離的藝術(對象,各個屬性,方法)
漏洞產生的本質
黑客通過輸入[提交特殊數據],特殊數據在數據流的每個單元處理,如果某個單元沒處理好,在單元輸出的時候,就會出現單元的安全問題
例子:
操作系統層的單元,特殊數據當指令執行 ;rm -rf;
儲存層,數據庫SQL解析引擎把特殊數據當指令執行, "union select user, pwd, 1, 2, from users--"
web容器層如nginx單元沒處理好,可能產生遠程溢出,DoS等安全問題
架構思想 分離的藝術
人是萬惡之源
每個角色的職權應該清晰
保證[生態系統]可以穩定運行的基礎上,盡可能限制目標角色的權限
小心內鬼或被內鬼
服務器的分離
研發與線上服務器分離
杜絕在線上調試
杜絕把不成熟的代碼發布到線上
線上服務器各司其職
按業務分離
主站,子站等業務不一樣
按服務器類型分離
web、數據庫、緩存
例子:MYSQL數據庫的分離:
配置綁定IP,10.1.1.10, 127.0.0.1, 0.0.0.0
最小單元原則,數據庫授權we訪問
杜絕infile/outfile等特殊權限的可能性(load data infile "/etc/pass" into table foo;select * from foo into outfile "...")
寫惡意代碼在web可執行目錄下,是常見的
web與數據庫服務器分離了會更好
帳號權限分離
*帳號權限和認證授權模型的關系
認證和授權的關系?
認證(1/0) 授權(rwx)
認證方式
密碼、公私匙、兩次認證
認證授權部署一定要全面
如何安全登陸linux服務器
禁止密碼的方式登陸
私鑰文件丟了怎么辦
私鑰本身可以設置密碼 可以放在安全的加密磁盤(truecrypy)
人員離職要及時和刪除公鑰
服務器實在太關鍵:vpn到內網
文件目錄分離
文件目錄設計關鍵
命名風格要求
命名風格亂七八糟患處是看到也難意識到
目錄各司其職&RWX權限分配好(能R就堅決不給WX)
代碼分離
代碼設計的關鍵
命名風格
緊內聚、松耦合(系統、包、文件、類、函數、邏輯代碼)
線上不應該出現svn/git權限
能提交遍以后的文件就提交遍以后的(php config 配置)
Cookie分離
Cookie name(一看就要悲劇的isLogin)
Cookie value hack
和身份認證有關系的值是不是可以被預測
是否可以被獲取
Cookie domain hack
HTTPS協議的wx.qq.com Cookie設置到.qq.com
關鍵Cookie: wxuin,wxsid
任意子域出現XSS都可以拿到這個Cookie
Cookie path hack
沒的防
Cookie expires hack
過期時間,用戶體驗和安全做個平衡 永不過起或過期算法有問題(會永久劫持)
Cookie httponly hack
Cookie有這個信息就不能被Js獲取 bypass方式 如 phpinfo()信息,部署不完備
Cookie secure hack
強制https傳輸,bypass方式 部署不完備
子域分離
子域設計的關鍵
不同業務放到不同子域下
松耦合的公共模塊可以考慮放在其他域名下(參考google)
擊破方式
proxy.html很多網站為了夸域方便就設置 document.domain="foo.com",設置后就可以跨子域
crossdomain.xml文件
第三方內容
前端框架
web應用
開發框架
語言
web容器
存儲
操作系統
任何組件都有漏洞
越流行的開元組件越靠譜
越靠譜的團隊打造的組件越靠譜
時刻做好被黑個頭的準備
優美的架構重要性
分離設計大大提高入侵門檻
快速應急->快速自愈
千里之堤潰于蟻穴
程序員用不靠譜的組件、工具
模塊/代碼直接copy自不靠譜的地方
研發、運維工具下載自不靠譜的地方
升級中心的相關程序被植入后門
用靠譜的源
正確的md5校驗(md5文件也可能被篡改)
絕大多數情況比較無奈
高保密機構不允許輕易升級
不要放在github上
郵箱hack
安全過程黑客思維要貫穿(意識有限,經驗培養)
優美的架構(少bug更少漏洞)
透徹理解:安全本質是信任(單元與分離重要性)
部署全面(否則形同虛設)
定期備份(出問題快速deff排查)
code review
響應爭分奪秒(黃金24)
專業團隊把脈
安全輔助工具
| 類型 | 工具清單 |
|---|---|
| 日志分析 | splunk, logcheck, logwatch |
| 入侵檢測/防御 | snort, iptables, ipfw, fail2ban, portsentry, tripwire, ossec |
| 后面檢測 | rkhunter, chkrootkit, lynis |
| 流量監控 | nagios, cacti, zabbix |
| 環境隔離 | chroot |
| web抗D/CC | jiasule.com |
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11184.html
摘要:年,黑客馬拉松由引進國內,首次舉辦便引起了開發者的狂熱響應。今年,將一如既往地致力于擴大黑客馬拉松的影響力,向開發者們傳遞黑客精神。,不容錯過區塊鏈技術自年以來備受關注。將在北京廣州及杭州舉辦,和開發者們共同探索區塊鏈,見證這場盛會。 Hackathon —— 程序員的狂歡 黑客馬拉松( hackthon ),也叫編程馬拉松。以下是維基百科的定義: 編程馬拉松(英語:hackathon...
摘要:文中提到的每一位,都是為武漢黑客馬拉松,為武漢的互聯網貢獻著自己的那份熱情。武漢公司員工基本全體出動,全程參與,提供支持。今年的武漢黑客馬拉松是第二屆,因為有二魚的這份執著,第二屆武漢黑客馬拉松才得以舉辦。 這個標題,不講章法,我想從個人的視角來還原一下,一周前的黑客馬拉松和我們對她的那份執著。文中提到的每一位,都是為武漢黑客馬拉松,為武漢的互聯網貢獻著自己的那份熱情。 我們我(吉佳盛...
摘要:文中提到的每一位,都是為武漢黑客馬拉松,為武漢的互聯網貢獻著自己的那份熱情。武漢公司員工基本全體出動,全程參與,提供支持。今年的武漢黑客馬拉松是第二屆,因為有二魚的這份執著,第二屆武漢黑客馬拉松才得以舉辦。 這個標題,不講章法,我想從個人的視角來還原一下,一周前的黑客馬拉松和我們對她的那份執著。文中提到的每一位,都是為武漢黑客馬拉松,為武漢的互聯網貢獻著自己的那份熱情。 我們我(吉佳盛...
閱讀 3756·2021-08-11 11:16
閱讀 1624·2019-08-30 15:44
閱讀 1997·2019-08-29 18:45
閱讀 2270·2019-08-26 18:18
閱讀 1000·2019-08-26 13:37
閱讀 1570·2019-08-26 11:43
閱讀 2117·2019-08-26 11:34
閱讀 377·2019-08-26 10:59
