免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: yanyangtian4502

【活动j结束 获奖名单公布】从近期互联网企业密码泄露探讨如何构建一个安全的系统 [复制链接]

论坛徽章:
0
发表于 2012-01-09 08:43 |显示全部楼层
最近也是快到新年了,估计大伙都在忙着年终,新年等问题 呵呵 如果有些时间 还是希望大家多多参与活动!
毕竟2011年是不寻常的一年,发生了太多的网络问题,值得我们关注

论坛徽章:
0
发表于 2012-01-09 09:10 |显示全部楼层
本帖最后由 yanyangtian4502 于 2012-01-09 09:11 编辑

对称加密
对称加密是两种算法中速度比较快的算法。所谓的对称加密,大家应该不陌生了,我这里稍微的罗嗦一下:就是加密解密都是采用相同的key,我们可以认为是key就是加密的因子。


现在很多的开发框架中,开始引入一个“区块加密法”的概念。就是把将要加密的明文数据划分为几个长度固定的数据块,然后分别对每一个数据块进行加密。我们可以想想,如果只是简单采用了这种区块加密法的方法,那么,如果有两个块数据一样,那么,加密的结果可能就一样了,这就可能产生类似之前谈到的“彩虹表”的问题。



为了规避这个问题,很多的开发框架或者开发语言中的加密组件 都是一种链式的加密方式:
1.        选择一个对称加密算法
2.        创建一个key,这个key可以使任意的数据值
3.        创建一个IV。这个IV就是加密算法的初始因子,最好是一个随机值。
4.        将明文的数据转为字节数组
5.        用Key和IV加密明文字节数据
6.        保存好key和IV

论坛徽章:
0
发表于 2012-01-09 09:10 |显示全部楼层
用一个图描述整个加密的过程如下:
duichengjiamia.png

论坛徽章:
0
发表于 2012-01-09 23:37 |显示全部楼层
有个问题不太清楚,得到数据库内容的难度是不是比得到网站源代码的难度低?

论坛徽章:
0
发表于 2012-01-10 10:10 |显示全部楼层
没有谁比谁低这一说。
很多时候都是通过多个方面来攻击的,例如,如果你的程序有一些bug,最典型的就是程序抛出异常的时候,你没有处理,而是让它显示出来,这样,一些信息,例如数据库的链接信息 等就暴露,然后黑客再根据这些信息,不断的尝试,最后获取数据库的查看,设置更多权限。从而暴库


回复 54# lhy0416


   

论坛徽章:
15
2015年辞旧岁徽章
日期:2015-03-03 16:54:15双鱼座
日期:2015-01-15 17:29:44午马
日期:2015-01-06 17:06:51子鼠
日期:2014-11-24 10:11:13寅虎
日期:2014-08-18 07:10:55酉鸡
日期:2014-04-02 12:24:51双子座
日期:2014-04-02 12:19:44天秤座
日期:2014-03-17 11:43:36亥猪
日期:2014-03-13 08:13:51未羊
日期:2014-03-11 12:42:03白羊座
日期:2013-11-20 10:15:18CU大牛徽章
日期:2013-04-17 11:48:45
发表于 2012-01-11 06:14 |显示全部楼层
安全这块,不能光谈技术,其实人的问题更大。

论坛徽章:
27
CU大牛徽章
日期:2013-03-13 15:15:08CU大牛徽章
日期:2013-05-20 10:46:38CU大牛徽章
日期:2013-05-20 10:46:44CU大牛徽章
日期:2013-09-18 15:24:09CU大牛徽章
日期:2013-09-18 15:24:20CU大牛徽章
日期:2013-09-18 15:24:25CU大牛徽章
日期:2013-09-18 15:24:31CU大牛徽章
日期:2013-09-18 15:24:36CU大牛徽章
日期:2013-09-18 15:24:41CU大牛徽章
日期:2013-09-18 15:24:48CU大牛徽章
日期:2013-09-18 15:24:52处女座
日期:2013-09-27 17:45:43
发表于 2012-01-12 22:22 |显示全部楼层
   1,如何设计一个安全的系统,构建一个安全的架构
答: 1) 目前采用的OAuth系统统一认证,这样利于多站点扩展
       2)密码最好用不可逆加密,并且最好加salt,这样即使丢了数据库,也不怕大量泄密
       3)服务器密码尽量不传播多人
       4)数据库各个系统分离,即使一个数据库被破也不影响其他系统
       5)统一出来输入数据,防止不安全输入,例如SQL注入,XSS攻击

        
2,常见的安全问题剖析以及安全知识分享
答:1)SQL注入,在一个很大的网站,网页成千上百个网页,只要一个页面有SQL注入,就会泄漏数据,
          要防止SQL注入,首先要对于输入进行转义特殊字符,例如在php.ini里有转义输入选项。
         不要使用数据库root帐号。
      2)xss攻击,一旦网站有可以提交Js代码的地方,就会出现普通用户或者管理员身份被盗用。
          要防止XSS攻击,首先要在输入处理上屏蔽一切js代码,
         管理员关闭页面时,必须先退出。
         可以加用户上一次登录时间,这样可以防止XSS攻击
     3)执行系统命令,在web网站里最好禁止执行系统命令,或者不要把用户输入传到系统命令的参数中。


论坛徽章:
0
发表于 2012-01-12 23:19 |显示全部楼层
yanyangtian4502 发表于 2012-01-04 09:18
为了鼓励朋友们发言,我这里先挑起一个讨论点:hash(SHA)等于数据加密吗?


印象中mysql sqlserver 的字段都是支持多种类似的加密选择的,任何一种加密算法至少都是有一定的安全等级的,对于目前出现的所谓的刷库问题,简直是对国内从事互联网行业的一个耻辱。
耻辱一、开发不注重安全性,这个是很多的开发团队都存在的问题,架构师不开率安全技术,那么整套开发就是一个为了完成项目而做的编码游戏,很荒谬是不是,那CSDN来说,出现这个问题简直是不可理喻的。做csdn的也就是那样了
问题二、运维架构或运维工程师不具备安全素质,拿到CSDN的运维不会将数据库放到内网么?没有银子么?最简单的就是多上个上档次的交换机?木呀,为什么不做呢??再说被刷库的问题,如果用微软的不及时更新补丁,N年前的系统还放在互联网上而不在内网。
问题三、没有银子做IDS IPS么??这些都是有助于实现安全的基本措施


1,如何设计一个安全的系统,构建一个安全的架构
安全的系统和架构,这个是一个很大的话题架构、代码、部署、运维、网络等多方面的,从核心上来说安全就是从架构的设计者就要考虑安全的实现策略,安全算法规则,编码的安全级别不要编码就有漏洞,不要使用有漏洞的开发环境进行开发;开发阶段的安全测试,不要单纯从代码的功能实现上做测试用例,要考虑安全方面的case;运行环境的操作系统的安全级别选择linux  bsd就不要用win了、linux上除了ssh其他的没有必要的服务是没有需要启动的就不启动;网络系统的防护安全,关闭没有必要的端口了,如有必要设置IDS IPS联动了等等;日常的运维安全,不要root就是root,要多做点蜜罐……
2,常见的安全问题剖析以及安全知识分享
网站挂马的发现和解决,操作日志的及时审核,文件的指纹设置,日常的安全检查规则、密码规则等。

论坛徽章:
0
发表于 2012-01-13 11:44 |显示全部楼层
很多事情,最后谈来谈去,问题都在人的身上!

回复 56# rdcwayx


   

论坛徽章:
0
发表于 2012-01-13 11:45 |显示全部楼层
分享的蛮不错!多谢支持!我记下了!
回复 58# kns1024wh


   
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

DTCC2020中国数据库技术大会

【架构革新 高效可控】2020年12月21日-23日第十一届中国数据库技术大会将在北京隆重召开。

大会设置2大主会场,20+技术专场,将邀请超百位行业专家,重点围绕数据架构、AI与大数据、传统企业数据库实践和国产开源数据库等内容展开分享和探讨,为广大数据领域从业人士提供一场年度盛会和交流平台。

http://dtcc.it168.com


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP