摘要：記錄自余弦在上的演講程序員與黑客防御就是提高攻擊的成本架構(gòu)思想一黑客思維應(yīng)該貫穿整個(gè)公司的業(yè)務(wù)架構(gòu)研發(fā)運(yùn)維理想狀態(tài)技術(shù)團(tuán)隊(duì)每個(gè)人都有黑客思維思想二優(yōu)美的架構(gòu)一定是健壯的想象下生態(tài)系統(tǒng)有漏洞被黑很正?？焖僮杂顷P(guān)鍵思想三優(yōu)美的架構(gòu)一定

記錄自余弦在qcon上的演講

防御就是提高攻擊的成本

思想一：黑客思維應(yīng)該貫穿整個(gè)公司的業(yè)務(wù)[..->架構(gòu)->研發(fā)->運(yùn)維->..]（理想狀態(tài)技術(shù)團(tuán)隊(duì)每個(gè)人都有黑客思維）

思想二:優(yōu)美的架構(gòu)一定是健壯的

想象下生態(tài)系統(tǒng)

有漏洞/被黑很正常

快速自愈是關(guān)鍵

思想三:優(yōu)美的架構(gòu)一定是處處優(yōu)美的（金剛狼）

...
文檔（小注釋?zhuān)笙到y(tǒng)，接替）
代碼（代碼齪漏洞也多）
邏輯（邏輯不能混亂）
人->團(tuán)隊(duì)（人是萬(wàn)惡之源）

思想四:安全的本質(zhì)是信任（信任能）
[緊內(nèi)聚，松耦合]設(shè)計(jì)思想
緊內(nèi)聚->最小單元->一段邏輯代碼（不是函數(shù)）
松耦合->分離->不信任任何輸入
關(guān)鍵詞：?jiǎn)卧蛛x

理解透了單元，才能知道分離的藝術(shù)（對(duì)象，各個(gè)屬性，方法）

漏洞產(chǎn)生的本質(zhì)
黑客通過(guò)輸入[提交特殊數(shù)據(jù)]，特殊數(shù)據(jù)在數(shù)據(jù)流的每個(gè)單元處理，如果某個(gè)單元沒(méi)處理好，在單元輸出的時(shí)候，就會(huì)出現(xiàn)單元的安全問(wèn)題

例子：

操作系統(tǒng)層的單元，特殊數(shù)據(jù)當(dāng)指令執(zhí)行 ;rm -rf;

儲(chǔ)存層，數(shù)據(jù)庫(kù)SQL解析引擎把特殊數(shù)據(jù)當(dāng)指令執(zhí)行， "union select user, pwd, 1, 2, from users--"

web容器層如nginx單元沒(méi)處理好，可能產(chǎn)生遠(yuǎn)程溢出，DoS等安全問(wèn)題

人員職權(quán)的分離

人是萬(wàn)惡之源

每個(gè)角色的職權(quán)應(yīng)該清晰

保證[生態(tài)系統(tǒng)]可以穩(wěn)定運(yùn)行的基礎(chǔ)上，盡可能限制目標(biāo)角色的權(quán)限

小心內(nèi)鬼或被內(nèi)鬼

服務(wù)器的分離

研發(fā)與線上服務(wù)器分離

杜絕在線上調(diào)試

杜絕把不成熟的代碼發(fā)布到線上

線上服務(wù)器各司其職

按業(yè)務(wù)分離

主站，子站等業(yè)務(wù)不一樣

按服務(wù)器類(lèi)型分離

web、數(shù)據(jù)庫(kù)、緩存

例子:MYSQL數(shù)據(jù)庫(kù)的分離:

配置綁定IP，10.1.1.10, 127.0.0.1, 0.0.0.0

最小單元原則，數(shù)據(jù)庫(kù)授權(quán)we訪問(wèn)

杜絕infile/outfile等特殊權(quán)限的可能性（load data infile "/etc/pass" into table foo;select * from foo into outfile "..."）

寫(xiě)惡意代碼在web可執(zhí)行目錄下，是常見(jiàn)的

web與數(shù)據(jù)庫(kù)服務(wù)器分離了會(huì)更好

帳號(hào)權(quán)限分離
*帳號(hào)權(quán)限和認(rèn)證授權(quán)模型的關(guān)系

認(rèn)證和授權(quán)的關(guān)系？

認(rèn)證（1/0）
授權(quán)(rwx)

認(rèn)證方式

密碼、公私匙、兩次認(rèn)證

認(rèn)證授權(quán)部署一定要全面

如何安全登陸linux服務(wù)器

禁止密碼的方式登陸

私鑰文件丟了怎么辦

私鑰本身可以設(shè)置密碼
可以放在安全的加密磁盤(pán)(truecrypy)

人員離職要及時(shí)和刪除公鑰

服務(wù)器實(shí)在太關(guān)鍵：vpn到內(nèi)網(wǎng)

文件目錄分離

文件目錄設(shè)計(jì)關(guān)鍵

命名風(fēng)格要求

命名風(fēng)格亂七八糟患處是看到也難意識(shí)到

目錄各司其職&RWX權(quán)限分配好（能R就堅(jiān)決不給WX）

代碼分離

代碼設(shè)計(jì)的關(guān)鍵

命名風(fēng)格

緊內(nèi)聚、松耦合（系統(tǒng)、包、文件、類(lèi)、函數(shù)、邏輯代碼）

線上不應(yīng)該出現(xiàn)svn/git權(quán)限

能提交遍以后的文件就提交遍以后的（php config 配置）

Cookie分離

  Cookie name（一看就要悲劇的isLogin）

Cookie value hack
和身份認(rèn)證有關(guān)系的值是不是可以被預(yù)測(cè)
是否可以被獲取

Cookie domain hack
HTTPS協(xié)議的wx.qq.com Cookie設(shè)置到.qq.com
關(guān)鍵Cookie: wxuin,wxsid
任意子域出現(xiàn)XSS都可以拿到這個(gè)Cookie

Cookie path hack

沒(méi)的防

Cookie expires hack

過(guò)期時(shí)間，用戶(hù)體驗(yàn)和安全做個(gè)平衡
永不過(guò)起或過(guò)期算法有問(wèn)題（會(huì)永久劫持）

Cookie httponly hack

Cookie有這個(gè)信息就不能被Js獲取
bypass方式 如 phpinfo()信息,部署不完備

Cookie secure hack

強(qiáng)制https傳輸，bypass方式 部署不完備

子域分離

子域設(shè)計(jì)的關(guān)鍵

不同業(yè)務(wù)放到不同子域下

松耦合的公共模塊可以考慮放在其他域名下（參考google）

 擊破方式

proxy.html很多網(wǎng)站為了夸域方便就設(shè)置 document.domain="foo.com",設(shè)置后就可以跨子域

crossdomain.xml文件,可以通過(guò)flash文件夸域獲取

第三方內(nèi)容
前端框架
web應(yīng)用
開(kāi)發(fā)框架
語(yǔ)言
web容器
存儲(chǔ)
操作系統(tǒng)

任何組件都有漏洞

越流行的開(kāi)元組件越靠譜

越靠譜的團(tuán)隊(duì)打造的組件越靠譜

時(shí)刻做好被黑個(gè)頭的準(zhǔn)備

優(yōu)美的架構(gòu)重要性

分離設(shè)計(jì)大大提高入侵門(mén)檻

快速應(yīng)急->快速自愈

程序員用不靠譜的組件、工具

模塊/代碼直接copy自不靠譜的地方

研發(fā)、運(yùn)維工具下載自不靠譜的地方

升級(jí)中心的相關(guān)程序被植入后門(mén)

用靠譜的源

正確的md5校驗(yàn)（md5文件也可能被篡改）

絕大多數(shù)情況比較無(wú)奈

高保密機(jī)構(gòu)不允許輕易升級(jí)

不要放在github上

郵箱hack

黑客思維要貫穿（意識(shí)有限，經(jīng)驗(yàn)培養(yǎng)）

優(yōu)美的架構(gòu)（少bug更少漏洞）

透徹理解：安全本質(zhì)是信任（單元與分離重要性）

部署全面（否則形同虛設(shè)）

定期備份（出問(wèn)題快速deff排查）

code review

響應(yīng)爭(zhēng)分奪秒（黃金24）

專(zhuān)業(yè)團(tuán)隊(duì)把脈

安全輔助工具