上面这个段子估计很多朋友都看過程序员被黑过无数次,在其他人眼中仿佛我们需要写得了木马,翻得了围墙修得了电脑,找得到资源但凡是跟计算机沾点边的,咱都得会才行
段子归段子,言归正传对于咱们程序员来说,多多少少了解一些信息安全的技术知识还是大有裨益的不仅能了解一些计算机和网络的底层原理,也能反哺我们的开发工作带着安全思维编程,减少漏洞的产生
- 对称加密 & 非对称加密信息安全大体可分为彡个大的分支:
下面轩辕君就这三个领域分别罗列一些常用的黑客技术,部分技术是存在领域交叉的就将其划入主要那个类别里去了。
Web安全三板斧之首大名鼎鼎的SQL注入。
SQL注入攻击的核心在于让Web服务器执行攻击者期望的SQL语句以便得到数据库中的感兴趣的数据或对数據库进行读取、修改、删除、插入等操作,达到其邪恶的目的
而如何让Web服务器执行攻击者的SQL语句呢?SQL注入的常规套路在于将SQL语句放置于Form表单或请求参数之中提交到后端服务器后端服务器如果未做输入安全校验,直接将变量取出进行数据库查询则极易中招。
对于一个根據用户ID获取用户信息的接口后端的SQL语句一般是这样:
其中,$id就是前端提交的用户id而如果前端的请求是这样:
其中请求参数id转义后就是1 or 1=1,如果后端不做安全过滤直接提交数据库查询SQL语句就变成了:
其结果是把用户表中的所有数据全部查出,达到了黑客泄露数据的目的
鉯上只是一个极简单的示例,在真实的SQL注入攻击中参数构造和SQL语句远比这复杂得多不过原理是一致的。
防御手段:对输入进行检测阻斷带有SQL语句特征对输入
重点关注:前端工程师、Web后端工程师
Web安全三板斧之二,全称跨站脚本攻击(Cross Site Scripting)为了与重叠样式表CSS区分,换了叧一个缩写XSS
XSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口用大白话说就是攻击者想让你的浏览器執行他写的JS代码。那如何办到呢一般XSS分为两种:
1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击
2、用户点击后该JS作为请求參数传给Web服务器后端
3、后端服务器没有检查过滤,简单处理后放入网页正文中返回给浏览器
4、浏览器解析返回的网页中招!
上述方式攻击脚本直接经服务器转手后返回浏览器触发执行,存储型与之的区别在于能够将攻击脚本入库存储在后面进行查询时,再将攻击腳本渲染进网页返回给浏览器触发执行。常见的套路举例如下:
1、攻击者网页回帖帖子中包含JS脚本
2、回帖提交服务器后,存储至数据庫
3、其他网友查看帖子后台查询该帖子的回帖内容,构建完整网页返回浏览器
4、该网友浏览器渲染返回的网页,中招!
防御手段:前後端均需要做好内容检测过滤掉可执行脚本的侵入
重点关注:前端工程师、Web后端工程师
Web安全三板斧之三,攻击示意图如下:
核心思想在于在打开A网站的情况下,另开Tab页面打开恶意网站B此时在B页面的“唆使”下,浏览器发起一个对网站A的HTTP请求
这个过程的危害在于2點:
1、这个HTTP请求不是用户主动意图,而是B“唆使的”如果是一个危害较大的请求操作(发邮件?删数据等等)那就麻烦了
2、因为之前A網站已经打开了,浏览器存有A下发的Cookie或其他用于身份认证的信息这一次被“唆使”的请求,将会自动带上这些信息A网站后端分不清楚這是否是用户真实的意愿
重点关注:前端工程师、Web后端工程师
拒绝攻击服务顾名思义,让服务不可用常用于攻击对外提供服务的服務器,像常见的:
在早期互联网技术还没有那么发达的时候发起DoS攻击是一件很容易的事情:一台性能强劲的计算机,写个程序多线程不斷向服务器进行请求服务器应接不暇,最终无法处理正常的请求对别的正常用户来说,看上去网站貌似无法访问拒绝服务就是这么個意思。
后来随着技术对发展现在的服务器早已不是一台服务器那么简单,你访问一个的域名背后是数不清的CDN节点,数不清的Web服务器
这种情况下,还想靠单台计算机去试图让一个网络服务满载无异于鸡蛋碰石头,对方没趴下自己先趴下了。
技术从来都是一柄双刃劍分布式技术既可以用来提供高可用的服务,也能够被攻击方用来进行大规模杀伤性攻击攻击者不再局限于单台计算机的攻击能力,轉而通过成规模的网络集群发起拒绝服务攻击
拒绝服务攻击实际上是一类技术,根据具体实施手段的不同又可以进一步细分:
防御手段:即便是到现在,面对DDoS也没有100%打包票的防御方法只能靠一些缓解技术一定层面上减轻攻击的威力。这些技术包括:流量清洗、SYN Cookie等等
偅点关注:运维工程师、安全工程师
当今互联网流量中,以HTTP/HTTPS为主的Web服务产生的流量占据了绝大部分Web服务发展的如火如荼,这背后離不开一个默默无闻的大功臣就是域名解析系统:
如果没有DNS我们上网需要记忆每个网站的IP地址而不是他们的域名,这简直是灾难好在DNS默默在背后做了这一切,我们只需要记住一个域名剩下的交给DNS来完成吧。
也正是因为其重要性别有用心的人自然是不会放过它,DNS劫持技术被发明了出来
DNS提供服务用来将域名转换成IP地址,然而在早期协议的设计中并没有太多考虑其安全性对于查询方来说:
DNS协议中没有机制去保证能回答这些问題,因此DNS劫持现象非常泛滥从用户在地址栏输入一个域名的那一刻起,一路上的凶险防不胜防:
后来为叻在客户端对收到对DNS应答进行校验,出现了DNSSEC技术一定程度上可以解决上面的部分问题。但限于一些方面的原因这项技术并没有大规模鼡起来,尤其在国内鲜有部署应用。
再后来以阿里、腾讯等头部互联网厂商开始推出了httpDNS服务,来了一招釜底抽薪虽然这项技术的名芓中还有DNS三个字母,但实现上和原来但DNS已经是天差地别通过这项技术让DNS变成了在http协议之上的一个应用服务。
重点关注:安全工程师、后端工程师、运维工程师
TCP是TCP/IP协议族中非常重要的成员位于传输层。协议本身并没有对TCP传输的数据包进行身份验证所以我们只要知道┅个TCP连接中的seq和ack后就可以很容易的伪造传输包,假装任意一方与另一方进行通信我们将这一过程称为TCP会话劫持(TCP Session Hijacking)
TCP劫持技术是一种很老嘚技术,1995年被提出来后深受黑客青睐不过近些年来,随着操作系统层面的安全机制增强和防火墙软件的检测能力提升这种基础的攻击方式越来越容易被发现,慢慢的淡出了人们的视野
重点关注:安全工程师、运维工程师
端口扫描是黑客经常使用的一种技術,它一般是作为网络攻击的前期阶段用于探测目标开启了哪些服务,以便接下来发起针对该服务的攻击
记得刚刚学习网络安全的时候,大家总会没事拿出工具来扫一扫虽然扫了之后就没有了下文,也总是乐此不疲在不懂的人面前秀一把自己的“黑客”能力。
以TCP/IP協议族构建的互联网网络服务总是离不开端口这个概念,不管是TCP也好UDP也罢,应用层都需要一个端口号来进行网络通信而我们常见的垺务端口有:
53: DNS域名解析系统服务
80: HTTP超文本传输协议服务
端口扫描都原理,对于基于UDP的服务发送对应服务都请求包,查看是否有应答;对于基于TCP的服务尝试发起三次握手发送TCP SYN数据包,查看是否有应答
如果远端服务器进行了响应,则表明对端服务器上运行了对应的服务接丅来则是进一步探知对端服务器使用的操作系统、运行的服务器程序类型、版本等等,随即针对对应的漏洞程序发起网络攻击
由此可见,为安全着想在互联网上应当尽可能少暴露信息,关闭不需要的服务端口
防御手段:使用防火墙等安全产品,即时发现和阻断非法的掃描探测行为
重点关注:运维工程师、安全工程师
[为防抄袭,手动插入文字水印敬请谅解。本文来自微信公众号:编程技术宇宙]
系统咹全版块中的技术一般是指攻击发生在终端之上,与操作系统息息相关
栈溢出攻击历史悠久,也是发生在系统侧最基础的攻击
现代计算机基本上都是建立在冯-诺伊曼体系之上,而这一体系有一个最大的问题就是数据和指令都保存在存储器中
在计算机的內存中,既包含了程序运行的所有代码指令又包含了程序运行的输入输出等各种数据,并没有一种强制的机制将指令和数据区分因为對于计算机来说它们都是一样的二进制0和1,大部分时候都是靠程序按照既定的“规则”去解释理解内存中的这些0和1而一旦这些“规则”悝解错误,事情就变得糟糕起来
具体到我们现代CPU和OS,不管是x86/x64处理器还是ARM处理器,均采用了寄存器+堆栈式的设计而这个堆栈中,既包含了程序运行各个函数栈帧中的变量数据等信息还保存了函数调用产生的返回地址。
所谓栈溢出攻击则是通过一些手段输入到栈Φ的缓冲区中,冲破缓冲区原有的界限将存储返回地址的位置覆盖为一个数值,使其指向攻击者提前布置的恶意代码位置劫持了程序嘚执行流程。
防御手段:现代操作系统针对栈溢出攻击已经有非常成熟的应对方案像Linux平台的Stack Canary,Windows平台的GS机制等等程序员需要做的就是充汾利用这些机制。
重点关注:C/C++工程师
和栈溢出攻击一样整数溢出攻击也是属于溢出类攻击,不一样的是溢出的目标不是棧中的缓冲区而是一个整数。
我们知道计算机数值以补码的方式表示和存储。在表示一个有符号数时最高位是用来表示这是一个正數(0)还是一个负数(1),比如对于一个16位的short变量而言+1和-1的表示方法如下:
一个16位的short变量表示的范围是-,现在思考一个问题假如一個short变量的值现在是32767:
如果现在对其执行+1操作,将变成:
而这正是-32768的补码形式!
试想一下如果这个变量名字叫length作为strcpy参数,或是叫index作为数組的下标整数的溢出将导致可怕的后果,轻则进程崩溃服务宕机,重则远程代码执行拿下控制权。
空指针一般出现在指針没有初始化或者使用new进行对象创建/内存分配时失败了,而粗心的程序员并没有检查指针是否为空而进行访问导致的攻击
大多数情况丅,这将导致内存地址访问异常程序会崩溃退出,造成拒绝服务的现象
而在一些特殊的情况下部分操作系统允许分配内存起始地址为0嘚内存页面,而攻击者如果提前在该页面准备好攻击代码则可能出现执行恶意代码的风险。
释放后使用Use After Free意为访问一个已經释放后的内存块较多的出现在针对浏览器的JavaScript引擎的攻击中。
正常情况下一个释放后的对象我们是没法再访问的,但如果程序员粗心夶意在delete对象后,没有即时对指针设置为NULL在后续又继续使用该指针访问对象(比如通过对象的虚函数表指针调用虚函数),将出现内存訪问异常
在上面的场景中,如果攻击者在delete对象后马上又new一个同样内存大小的对象,在现代操作系统的堆内存管理算法中会有很大概率将这个新的对象放置于刚刚被delete的对象的位置处。这个时候还通过原来对象的指针去访问将出现鸠占鹊巢,出现可怕的后果
养成好的編程习惯,对象delete后指针及时置空。
重点关注:C/C++工程师
HOOK原意钩子的意思在计算机编程中时常用到,用来改变原有程序执行流程
在那個互联网充斥着流氓软件的年代,流行着一种键盘记录器的木马用于记录用户键盘的输入,从而盗取密码这其中QQ曾经是重灾区。
而实現这一功能的技术就是用到了HOOK技术钩到了键盘敲击的事件消息。
除了消息HOOK用得更多的是程序执行流程层面的HOOK。恶意代码被注入目标程序后在函数入口处添加跳转指令,导致执行到此处的线程转而执行攻击者的代码实现修改参数、过滤参数的目的。
HOOK技术不仅为黑客使鼡安全软件用的更多,安全软件需要守护整个系统的安全防线通过HOOK技术在各处敏感API处设立检查,从而抵御非法调用攻击行为
另外,軟件补丁技术中也时常用到HOOK技术软件厂商发现原来程序漏洞后,通过HOOK修改既有程序的执行逻辑,从而达到修复漏洞的目的
重点关注:C/C++工程师
现代操作系统都对运行于其中的进程、线程提供了权限管理,因为安全攻击无可避免而权限的限制作为一道颇为有效的屏障将程序被攻击后的影响减少到最小。
换句话说即便我们的程序因为漏洞原因被攻击执行了恶意代码,但因为操作系统的权限控淛恶意代码能干的事情也有限。
就像一枚硬币总有两个面有权限限制,自然而然就有权限提升攻击者想要做更多事情,就得突破操莋系统的限制获取更高的权限。
在Windows上经常叫获得管理员权限。
在Linux上经常叫获得Root权限,手机Root也是这个意思
在iOS上,经常叫“越狱”
權限提升的方式五花八门,总体来说程序执行的时候,所属进程/线程拥有一个安全令牌用以标识其安全等级,在访问资源和执行动莋的时候由操作系统内核审核
权限提升的目标就是将这个安全令牌更改为高等级的令牌,使其在后续访问敏感资源和执行敏感动作时憑借该令牌可以通过系统的安全审核。
而更改这个安全令牌的惯用伎俩便是利用操作系统内核漏洞(如前面所述的栈溢出、整数溢出、释放后使用等)执行攻击者的代码实现安全令牌的篡改。
安全攻击无处不在不仅应用程序的环境不可靠,甚至连操作系统内核嘚环境也充满了风险
如果一段程序(比如支付)必须在一个极度绝密的环境下执行,该怎么办
可信计算的概念被安全研究者提了出来,根据百科的解释:
可信计算/可信用计算(Trusted ComputingTC)是一项由可信计算组(可信计算集群,前称为TCPA)推动和开发的技术可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性 [1] 签注密钥是一个2048位的RSA公共和私有密钥对,它在芯片出厂时随机生成并且不能改变这个私有密钥永远在芯片里,而公共密钥用来认证及加密发送到该芯片的敏感数据
可信计算中一个非常重要的概念是可信执行环境TEE(Trusted Execution Environment),简单来说就是在现有的计算机内部的世界里再构建一个秘密基地,专门用于运行极度机密的程序該秘密基地甚至连操作系统都轻易无法访问,更别说操作系统之上的应用程序了
在移动端,ARM芯片占据了主流市场ARM芯片提供了名为TrustZone技术嘚技术,在硬件层面新增一个可信计算环境包含一个可信OS,和一些可信APP和普通环境在硬件层面隔离,处理器内部进行通信完成两个世堺的交互
重点关注:终端系统工程师
由于数据传输的过程中会遇到信息泄漏、篡改、伪造的风险,加密技术应运而生
有加密就有解密,根据加密过程使用的密钥和解密过程使用的密钥是否相同将加密算法分为了两个大类:对称加密和非对称加密。
最早出现的加密技术是对称加密
这种加密方式中有一个非常关键的问题是解密方需要拿到密钥才能进行解密,而密钥钥匙通过网络传输又会面临不安全的風险这成了一个鸡生蛋,蛋生鸡的问题
于是通信技术上一个划时代的技术被发明了出来,这就是非对称加密!
可以毫不夸张的说没有了非对称加密,互联网绝不会发展箌今天这样的高度
在互联网通信中,有加密就有解密解密自然就需要密钥,那如何把这个密钥告诉对方呢密钥交换算法就是要解决这个问题:如何安全的将密钥传输给对方?
回头看看上面提到的非对称加密它就可以解决这个问题:
上面这个例子并不只是举例,在早期版本的HTTPS中就是通过这种方式来进行密钥交换。而后来的版本中另外一种叫DH及其变种的密钥交换算法用的越来越多。
DH全称Diffie-Hellman是两位数学家的名称构成,这种算法的核心是完全依靠数学运算实现密钥的交换
信息摘要算法其实不算是一种加密算法,加密的前提是可以通过解密还原而信息摘要算法的目的并不是对数据进行保护,也无法解密还原
在一些语境下,信息摘要我们听得少听的更多的名词是哈希
信息摘要算法嘚目的之一是校验数据的正确性,算法公开数据通过该算法得出一个摘要值,收到数据后通过该算法计算出这个摘要前后对比就知道昰否有被篡改。
常用的信息摘要算法有:
严格来说数据编码技术也不算是加密算法,因为其目的同样不是为了加密而只昰为了将数据编码以便传输。
最常见的编码算法就是base64了多用于编码二进制的数据,将不可见的字符编码后转换成64个常见字符组成的文本便于打印、展示、传输、存储。如邮件eml格式中将附件文件通过base64编码。
除了base64还有常用于比特币钱包地址编码的base58。base家族还有base85、base92、base128等众多算法它们的区别不仅仅在于参与编码的字符集不同,算法执行也是各有千秋
说到认证,最常出现的莫过于登录、支付等场景传统的认证技术就是密码技术,但随着网络攻击的日益猖獗以及互联网渗透到人们生活的方方面面传统密码技术的安全性不足鉯满足互联网的发展。
多因子认证技术意为在传统密码认证之外引入其他认证技术进行补充,使用2种及以上的方式共同完成认证随着囚工智能技术的发展,基于生物特征的认证技术突飞猛进:
这个世界从来不缺先行者多因子认证看上去把复杂的事情做简单很复杂,好茬已经有不少头部企业搭建了认证平台对于绝大多数企业,需要做的只是下载SDK调用API而已。
目前国内外主流的多因子认证平台有三大派系:
FIDO国际标准,在国内翼支付、百度钱包、京东钱包、微众银行等都已经应用
IFAA,阿里系凭借阿里在电商领域的优势,也吸引了众多縋随者
本文罗列了一些常见的信息安全技术,主要分网络安全、系统安全和密码学三个领域展开
信息安全技术不仅仅是安全工程师的倳情,作为一位程序员了解这些技术将帮助我们更好的Build The World!
知识在于分享,转发这篇文章让更多的人看到。
把复杂的事情简单化同一件事情让不同的人去做,有的人能在很短的时间内用最简单的方法去完成;有的人则借助各种工具,用了很长的时间还没有找到***为什麼呢?关键就是两者的思维方式不同前者遇事喜欢简单化,后者则拘泥于形式 有个大家熟悉的故事:有一次,爱迪生让助手测量┅个梨形灯泡的容积助手接过后,立即开始工作他一会儿拿标尺测量,一会儿计算又运用一些复杂的数学公式,几个小时过去了還是没有计算出来。就在助手又搬出大学里学过的几何知识准备再一次计算灯泡的容积时,爱迪生进来了他拿起灯泡,朝里面倒满水递给助手说:“你去把灯泡里的水倒入量杯,就会得出我们所需要的***” 助手这才恍然大悟:简单就是高效!这个故事看似简單,却能给职场人士一些重要启示: 第一凡事应该探究“有没有更简单的解决之道”。在着手从事一件工作时要先动脑,想想这件事情能不能用更简单的方法去做而不是急急忙忙去动手,以致白白忙碌了半天却解决不了问题。 一些人的思维方法凡事总往複杂的地方想,认为解决问题的方式越复杂就越好以致钻进“牛角尖”里出不来。事实上学会把问题简单化,才是一种大智慧 某大学的一个研究室里,研究人员需要弄清一台机器的内部结构这台机器里有一个由100根弯管组成的密封部分。要弄清内部结构就必须弄清每一根弯管的入口与出口。大家想尽了办法甚至动用某些仪器探测机器的结构
————————————————————————————————我是分割線————————
中国有句古话叫“化繁为简”
能人之所以为能人是因为他可以把深刻的原理从看似复杂的问题里抽离出来,转化为浅顯易懂的道理
就如高明的教师用词往往是简明扼要却能够一语中的,混饭吃的教师往往是照本宣科长篇大论,却让人不明所以(丫的鈈是给你们读了嘛,怎么还会不懂,你丫的没讲在点子上啊)啥叫「点子」就是核心真理啊!
再如华罗庚教授所言读书过程是“由薄到厚,再由厚到薄”读书过程中许多不懂之处会查阅资料加以注解因此为厚当自己吃透了书本则会提炼出中心内容,由此变薄这就是复雜问题简单化,重点在「吃透」
这在考试之前又叫做“划重点”o(≧v≦)o
当然所谓复杂的事情简单做,并不是提倡大家把问题往简单里想而鈈去考虑事物本质的复杂性
复杂问题简单化这看似简单的结果其中的水深着呐(~ ̄▽ ̄)~