读书笔记

认证与会话管理

1 认证与授权

认证的目的是为了认出用户是谁,而授权的目的是为了决定用户能够做什么

2 密码策略

用户层面: 增加其复杂度,使得密码难以破解
数据库层面: 密码以不可逆算法,或者单向散列函数加密存储

3 多因素认证

除了密码登录外,还可借助其他认证手段,比如手机动态口令等,互相结合双重认证

4 Session 与认证

SessionID 是用户登录之后才有的认证凭证,一般而言,sessionID 通常保存在Cookie中,常见的Cookie劫持手段有:

• XSS攻击
• 网络Sniff
• 本地木马窃取

对于 XSS攻击,可以通过给Cookie 设置 httponly,使得js无法获取Cookie,缓解XSS窃取Cookie问题, 对于网络嗅探,如果出现网络通讯丢包率频繁,或者带宽出现异常,则有可能是被嗅探器嗅探到了, 对于这种情况则可以通过开启防火墙,数据加密等方式来防御,本地木马窃取问题最简单的是用户开启防火墙,且使用安全软件,对电脑进行定期扫描来防御

5 Session Fixation 攻击

用户在认证通过后,如果对应的SessionID没有更新,则可能导致此攻击
攻击方法: 黑客通过构造好一定的URL, 诱导用户打开,获取对应的SessionID, 如若用户认证后,没有更新此SessionID, 则黑客可以通过此URL直接访问用户账户
解决办法: 登录完成后,重写SessionID, 或者结合IP等信息,去验证Session有效性

6 Session 保持攻击

Session 如果一直存货,不销毁则可能使得攻击者一直可以使用用户的账户, 所以为了防御这种攻击,可以通过设置Session失效时间,但是由于Session是滑动窗口机制,可能也会有其他风险,如:
攻击方法: 不停发起访问请求,使得Session失效时间不停延后,或者通过直接修改客户端过期时间,使得Session 永久存活
防御办法:校验用户客户端信息,当发生改变时,强制重新登录,还可以通过强制设置Session过期时间,到期强制销毁

7 单点登录

用户只需要登录一次,就可以访问所有关联系统
风险: 一旦单点被攻破,就可能导致整个系统沦陷
防御: 使用成熟的单点登录框架,对于重要操作,如支付等,需要二次输入密码

应用层拒绝服务攻击

1 DDOS

分布式拒绝服务,利用合理的资源过载,导致服务不可用

2 应用层 DDOS

• CC攻击
  对一些消耗资源过大的页面频繁的发起请求,如在web应用中,查询数据库,读写硬盘等操作
  攻击方式: 通过在大型网站嵌套带有请求的iframe标签,使得该请求被频繁发起
  防御方法: 将使用高的数据放在缓存系统中,如redis, memcache,优化服务器性能

• 限制请求频率
  针对单个客户端做请求频率限制,通常通过校验 cookie,ip记录客户端访问频率,当请求短时间激增的时候,
  重定向到一个出错页面,来缓解外部攻击

• 代理服务器
  攻击方式: 攻击者使用代理服务器,更换ip,导致限制请求频率不可用
  防御方法: 应用代码层性能优化, 使用缓存系统,及时释放资源, 优化网络架构,利用负载均衡,缓解主站压力, 同时配合限制单个 IP请求频率

3 验证码

使用验证码,辨别机器与人
攻击:频繁发起验证码请求
防御: 对与验证码错误超过一定次数的请求,配合时间限制

4 防御应用层 DDOS

为了辨别机器与人 除了使用验证码,还可以通过校验 User-Agent,或者让客户端解析一段 JavaScript 并给出正确的结果做判断
在 Apache 配置文件中 可以通过调整参数 如 Timeout, KeepAliveTimeout, MaxClients 来缓解DDOS攻击
还可以通过 mod_qos module 帮助缓解DDOS攻击
由于发起应用层DDOS的攻击都是真是IP,所以数量不可能无限增长, 还可以通过特定算法,如Yahoo Detecting system abuse, 根据 IP 和 Cookie 信息计算客户端的请求频率并进行拦截

5 资源耗尽攻击

• Slowloris 攻击
  通过极地的速度往服务器发送HTTP请求,恶意占用连接数,不释放资源,导致服务不可用
• HTTP POST DOS
  发送POST请求头时,设置极大Content-Length,然后以极低的速度发包,从而保持这个链接不释放
  防御: 在防火墙上过滤假IP，只开放需要正常使用的服务端口,定期扫描现有网络的主节点，消除可能存在的漏洞,针对不同种类的攻击采用不同的算法识别，从而准确地区分出恶意DDOS报文。

6 Server Limit DOS

攻击:攻击者通过恶意注入超长请求头,如增大Cookie,导致Http请求头超大,使得客户端拒绝服务
解决:修改Apache配置 LimitRequestFieldSize (当为0时,表示不限制)

7 ReDOS

攻击:用户恶意构造输入有缺陷的正则表达式,导致消耗大量系统资源,使得服务器性能下降
解决:做好安全评估,使用测试用例验证正则表达式是否存在ReDOS问题