## 供应链攻击
Supply Chain Attack
### 软件源安全
软件源安全是指在开发过程中或工作过程中使用的软件应该是安全的,需保证不会对开发或工作的环境造成破坏,不会对项目的开发造成风险。
解决方案:
成立软件管理委员会统一负责软件(包括开发软件)的评估、评级与分发。 软件管理委员会提供统一安装渠道(白名单机制),对待安装软件分级,分为“安全,警告,禁止”三个级别,对安全的软件提供统一获取渠道和标准化安装步骤(安全的商业软件提供授权获取通道),警告的软件由安装者自行保证(通常为暂未进行评估的软件或者竞品软件),对禁止的软件禁止安装并说明原因且提供推荐替代方案。如果同一个软件的不同版本安全级别可能不同,则当成两个软件对待。
如果使用者对未列在软件列表中的软件有需求可提供工单,由专人(软件管理委员会)对待安装软件进行评估和评级。 对已安装软件进行定期扫描,对不符合要求的软件进行告警提示,责令限期卸载。
浏览器内容安全策略CSP
内容安全策略 (Content Security Policy) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击(尤其是XSS攻击)。
CSP通过指定浏览器认可的可执行脚本的有效来源使服务器管理者有能力减少或消除XSS攻击所依赖的载体。一个兼容CSP的浏览器将会仅执行从白名单域获取到的脚本文件,忽略所有的其他脚本 (包括内联脚本和HTML的事件处理属性)。
浏览器同源策略与跨域
浏览器的同源策略(Same-origin policy)是一个重要的基础安全策略,它用于限制一个源(origin)的文档或者它加载的脚本如何能与另一个源的资源进行交互。如果从 http://example.com/doc.html 检索到的文档尝试访问从 https://example.com/target.html 检索到的文档的 DOM ,则用户代理将不允许访问。它能帮助阻隔恶意文档,减少可能的攻击行为。
运维危险命令合集
| 命令 | 作用 | 类型 | 危险级别 |
|---|---|---|---|
rm -rf |
rm 命令用于在 Linux 系统下删除文件文件夹 -r 参数用于递归删除文件夹 -f 参数用于强制删除(不经过询问) |
恶意删除 | 中 |
rm -rf / |
递归强制删除根目录下的所有文件与文件夹 | 恶意删除 | 高 |
rm -rf * |
递归强制删除当前目录的所有文件 | 恶意删除 | 高 |
rm -rf . |
递归强制删除当前目录的所有文件夹 | 恶意删除 | 中 |
mv / /dev/null |
该命令会将文件夹移动到 /dev/null 下,在 Linux 系统中 /dev/null 是一个特殊的文件,所有写入他的数据都会被清除,然后返回操作成功 | 恶意删除 | 低 |
:(){:|:&};: |
fork 炸弹,具体操作是通过定义一个名为 ‘:‘ 的函数,它会调用自己两次,一次在前台另一次运行在后台,它会反复的执行下去直到系统崩溃 | 资源耗尽 | 高 |
echo " " > /dev/sda |
/dev 目录下存放的是设备的文件描述符。直接往设备描述符中写入数据,将破坏整个设备 | 直接操作设备文件描述符 | 高 |
mkfs.ext3 /dev/sda |
把硬盘格式化成ext3文件系统,在执行这个命令后你的块设备(硬盘驱动器)会被格式化,直接让你的系统达到不可恢复的阶段 | 直接操作设备文件描述符 | 高 |
fdisk /dev/sda |
重建分区 | 直接操作设备文件描述符 | 高 |
dd if=/dev/zero of=/dev/sda dd if=/dev/random of=/dev/sda |
直接写入数据到磁盘设备文件描述符 | 直接操作设备文件描述符 | 高 |
> file |
该命令常用来清空文件内容或记录命令输出,用户可能真正想用的是 >>,即累加新的输出到文件,而不是刷新那个文件 |
恶意命令执行 | 低 |
export HISTCONTROL = ignorespace |
在命令前面插入空格,这条命令会被 shell 忽略,也就意味着它不会出现在历史记录中。但是这种方法有个前提,只有在你的环境变量 HISTCONTROL 设置为 “ignorespace” 或者 “ignoreboth” 才会起作用。在大多数情况下,这个是默认值,我们无需设置这个环境变量。 | 隐藏命令 | 低 |
ln -s /dev/null ~/.bash_history |
history 记录存放在 ~/.bash_history 文件中,把写入 ~/.bash_history 使用软连接转移写入到其他的地方可以隐藏命令历史 |
隐藏命令 | 低 |
^foo^bar |
该命令用来编辑先前运行的命令而无需重打整个命令,如果用户没有彻底检查命令,可能调用不符合预期的命令 | 隐式调用 | 低 |
正式环境禁用调试-无限debug
前端的代码包括js文件、html文件和css文件都是需要发送给浏览器客户端的,在一定程度上,我们的代码是完全“开源”给了用户,但难免有恶意用户通过调试我们的代码发现系统的漏洞,从而对我们的网站进行攻击,或者盗用我们的代码,与我们进行竞争。这时就需要采取一定的手段,禁止恶意用户盗取代码的行为,或者加大恶意用户使用调试我们代码的成本。现如今,已经有多种成熟的方案可以达到这些目的,比如压缩代码、混淆代码、控制流平坦化等。
这里我们提一种禁止开发者工具调试的方法,基本原理就是让开发者工具一直处于断点调试的状态,从而无法查看真正的代码。
DDoS攻击
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DoS 攻击,从而成倍地提高拒绝服务攻击威力的一种攻击方式。
CSRF攻击
CSRF(Cross-site request forgery)跨站请求伪造,也被称为 One Click Attack 或者 Session Riding ,通常缩写为 CSRF 或者 XSRF ,是一种通过伪造用户请求破坏网站的攻击方式。
XSS攻击
XSS, 即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的攻击方式,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。
⬆️支付宝
⬆️微信