网络安全运维服务手册 运维网络安全相关知识
运维安全
- 安全原则
- 黄金法则
- 密码学
- 对称加密算法
- 非对称加密算法
- 散列算法
- 身份认证
- 对外认证
- 对内认证
- 单点登录
- CAS
- JWT
- OAuth
- OpenID
- 小记
- Web安全
- XSS攻击
- SQL注入
- 修改where子句
- 执行任意语句
安全原则
机密性(Confidentiality)、完整性(Integrity)、可用性(Availability),简
称为 CIA 三元组,是安全的基本原则。理论上来说,一个完整的安全保障体系,应该充分
考虑到所有的 CIA 原则。当然,实际情况中,我们会根据企业需求,对安全在这三个方向
上的投入做取舍。我们平时在评判一个企业的安全水平时,也会分别从这三个方向进行考
量。
黄金法则
黄金法则:在用户操作的各个环节中,我们所需要采取的安全策略。黄金法则的核
心内容包括三部分:认证、授权、审计。大部分情况下,事前防御属于认证,事中防御属于
授权,事后防御属于审计。
密码学
建议:对称加密用 AES-CTR、非对称加密用 ECC、散列算法用 SHA256。
对称加密算法
发送方使用加密算法和密钥生成消息对应的密文;
接收方想要阅读消息,需要使用对应的解密算法和同样的密钥解密;
常见的经典对称加密算法有 DES、IDEA、AES、国密 SM1 和 SM4。
一般情况下,选取 AES128 进行加解密运算,就能获得较高的安全性和性能。
非对称加密算法
非对称加密中加密和解密使用不同的密钥。
发送方使用公钥对信息进行加密,接收方收到密文后,使用私钥进行解密。
常见的非对称加密算法:RSA(性能快,用的较多)、ECC 和国密 SM2
散列算法
常见算法:MD5 、SHA 算法计算一个唯一的 id
除了提供唯一的 id,其更大的利用价值还在于它的不可逆性。当用户注册,提交账号密码时,作为一个安全的应用,通常使用散列算法存储密码。
身份认证
对外认证
对外认证通常是用户直接访问业务,是单一场景认证。外部的通常使用密码结合手机短信等认证
对内认证
对内认证是指内部系统之间的访问,如git、mysql
等。为了防止多系统带来的账号切换和安全性问题,通常使用sso单点登录解决身份认证问题
单点登录
典型的单点登录方式:CAS (Central Authentication Service
,集中式认证服务)流程、JWT、OAuth 和 OpenID。
CAS
CAS 是一个开源的单点登录框架,它不属于某一种单点登录的实现方式,而是提供了一整套完整的落地方案。
JWT
JWT(JSON Web Token)是一种非常轻量级的单点登录流程。它会在客户端保存一个凭证信息,之后在你每一次登录的请求中都带上这个凭证,将其作为登录状态的依据。JWT的好处在于,不需要应用服务端去额外维护 Cookie 或者 Session 了。但是,正是因为它将登录状态落到了客户端,所以我们无法进行注销等操作了。
OAuth
OAuth(Open Authorization)的主要特点是授权,也是我们通常用 QQ、微信登录其他应用时所采用的协议。通过 OAuth,用户在完成了认证中心的登录之后,应用只能够验证用户确实在第三方登录了。但是,想要维持应用内的登录状态,应用还是得颁发自己的登录凭证。这也就是为什么 QQ 授权后,应用还需要绑定你的手机号码。这也就意味着,应用是基于 QQ 的信息创建了一个自身的账号。
OpenID
OpenID(Open Identity Document)和 OAuth 的功能基本一致。但是,OpenID 不提供授权的功能。最常见的,当我们需要在应用中使用微信支付的时候,应用只需要收集支付相关的信息即可,并不需要获取用户的微信头像。
小记
JWT 适用范围广,在单点登录的选取上面,如果想要将用户信息做统一管理,选择它最为简单;
如果认证中心只是被用来维护账号密码,由业务去维护用户所绑定的其他手机等信息,那么,采用 OAuth 更合适。
Web安全
XSS攻击
XSS工具的原理是诱导用户点击链接,执行js脚本,窃取用户信息,仿冒用户操作。
分类
反射型:浏览器–后端–浏览器
基于DOM:URL–浏览器
持久型:浏览器–后端–数据库–后端–浏览器
防护
CSP(Content Security Policy,内容安全策略)在服务端返回的 HTTP header 里面添加一个 Content-Security-Policy 选项,然后定义资源的白名单域名。浏览器就会识别这个字段,并限制对非白名单资源的访问。
SQL
注入
通过构造一些恶意的输入参数,在应用拼接 SQL 语句的时候,去篡改正常的 SQL 语意,从而执行黑客所控制的 SQL 查询功能。
修改where子句
如下列sql
select * from users where username='' and password = ''
修改为
select * from users where username='' and password = '' or password = ''
则pasword字段为True,即可绕过密码登录执行任意语句
如下sql
insert into(username, password) values ('zzd', '111');
修改为
insert into users (username, password) values ('zzd', '111'); select * from users;
通过;号分割即可执行任意sql了防护
使用ORM替代直接使用sql可以有效的防止此类问题
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后
- 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,都可以免费分享给大家!
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失
