前言
目前web应用主要面临的安全问题:
数据篡改
数据窃取
重放攻击
非法参数提交 (SQL注入,XSS等).
防范
好了既然问题那么多,我们怎么其防范呢?经常在网上下东西的人可能会碰到这样的情况,就是你下载的资源会对应一个checksum.用这个校验码来确定本次你下载的东西,在下载过程中没有被人篡改,这个就叫数字签名。可能有人要问了,我们说的是HTTP验证的东西,跟这个有半毛钱的关系呀?聪明的朋友可能想到了,假如我们把每个HTTP请求都加上一个数字签名,那么数据篡改的问题是不是就可以避免的呢?答案是肯定可以的,因为HTTP请求验证方式中,有一种方式就是数字签名(http digest auth)。亚马逊很多校验请求用的就是这个方式。这种方式简单的说,就是客户端和服务端通过一些随机数+请求参数+URL+头部+时间戳等信息通过hash算法生成一个checksum,发送给接收端,接受端同样采用相同的算法,计算checksum是否一致来确定本次请求过程中数据有没有被篡改,从而保证了请求的合法性。
实施
上面说的这个原理中主要包含几个要素:
key:
这个key只能是客户端和服务端知道,否则无法保证请求的合法性验证了。key的生成方式可以根据应用来区分:
传统web应用:服务器可以根据客户端浏览器的信息,结合请求的IP,User-Agent等信息产生一个key。
移动APP应用:可以通过事先约定key的方式(前提不能被反编译),或者通过一些非对称加密来生成一个key
总的一点就是:这个key很重要,不能泄漏出去,上面的两个方法可以用来参考,如果看官们又更好的方法,欢迎讨论。
Header:
比如请求方法呀,请求路径之类的.
参数:
构成本次合法请求的参数。
时间戳 :
其实这个时间戳主要是用来防止重放攻击的。服务器端和客户端可以约定一个请求时间范围。超过这个时间段属于是非法请求。
接着我们将上面的三个元素通过一些不可逆的算法生成一个checksum,
如:hmac(key + header + params + ts + …)
然后连同参数(URL,表单信息,sessionid等)信息一同传递给接收端,接收端根据相同的规则对数据进行验证。
展开思路
因为每个请求都有唯一的checksum,那么我们可以在这个基础上加上鉴权功能,如某个Appid只能访问某个path
总结
上面方法中能保证的安全有两部分: 1,数据防篡改 2,重放攻击 要需要防止数据窃取,还是需要将https加入进来。 关于非法数据引起的一些问题,想必开发们也都碰到过,如果是防止sql注入最好在前端做一次参数检查,后端参数检查,用sql参数化的方式。xss攻击也是需要在各个点进行参数检查。
总的来说知道各种安全问题,才能写出健壮的程序来。