获课地址：xingkeit.top/8017/

以下为您整理的《后端开发必看：2021 软考信息安全工程师核心考点 + 代码层防护实战》。这篇文章结合了软考的理论考点与后端开发的实际防御策略，帮助您不仅通过考试，更能在实际工作中写出安全的代码。

后端开发必看：2021 软考信息安全工程师核心考点 + 代码层防护实战

对于后端开发人员而言，2021 年软考“信息安全工程师”的考纲不仅仅是一张证书的门槛，更是一份详尽的“安全避坑指南”。在微服务架构和云原生普及的今天，安全不再是防火墙的单独责任，而是每一个 Controller 和 Service 层的必修课。

本文将结合软考核心考点，深入剖析后端开发中的代码层防护实战策略。

第一部分：核心考点梳理——应用安全与攻防逻辑

软考信安考点中，与后端开发结合最紧密的是“应用安全”章节。这部分理论直接对应着开发中的漏洞。

1. Web 应用安全漏洞 Top 3

• SQL 注入：这是最常见的漏洞。攻击者通过在输入字段中恶意的 SQL 命令，欺骗后端数据库执行非授权操作。
  • *考点关键*：由于应用程序未对用户输入进行过滤或过滤不严，导致输入被当作 SQL 语句执行。
• XSS（跨站脚本攻击）：攻击者往 Web 页面里插入恶意 Script 代码，当用户浏览该页之时，嵌入其中 Web 里面的 Script 代码会被执行。
  • *考点关键*：分为反射型、存储型 和 DOM 型。
• CSRF（跨站请求伪造）：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。
  • *考点关键*：利用了用户在浏览器中已登录的身份状态。

2. 认证与会话管理

• 考点：认证是“你是谁”，授权是“你能干什么”。会话 ID 必须具备不可预测性、长随机性。
• 痛点：弱口令、会话固定攻击、会话超时设置不当。

3. 加密与编码

• 考点：
  • 对称加密：速度快，适合大量数据加密（如 AES、DES）。
  • 非对称加密：安全性高，速度慢，用于密钥交换和数字签名（如 RSA）。
  • Hash（散列）：不可逆，用于完整性校验和密码存储（如 MD5、SHA-256，但 MD5 已不安全）。

第二部分：代码层防护实战——从理论到代码

作为后端开发，如何将上述考点转化为代码中的防御措施？以下是具体的实战策略。

1. SQL 注入防御：从拼接走向预编译

在软考中，防御 SQL 注入的标准答案是“输入验证”和“参数化查询”。

• 错误做法：使用字符串拼接构建 SQL 语句。这是最危险的编码习惯，因为用户输入直接混入了指令流。
• 实战策略：
  • 强制使用预编译语句：这是防御 SQL 注入的最有效手段。数据库会将参数视为数据而非可执行代码。无论用户输入什么内容，数据库只把它当作纯文本处理。
  • ORM 框架的正确使用：虽然 MyBatis、Hibernate 等 ORM 框架自带防护，但如果在 XML 中使用了 ${} 拼接（而不是 #{}），依然存在风险。开发时严禁在动态 SQL 中使用直接拼接。
  • 最小权限原则：连接数据库的账号不应是 root 或 dbadmin，仅赋予业务所需的 SELECT/INSERT/UPDATE 权限，避免 DROP TABLE 等灾难性操作。

2. XSS 防御：输入输出双重清洗

XSS 的本质是“浏览器把恶意数据当成了代码”。

• 输入端（过滤）：
  • 虽然输入过滤不能 100% 阻挡 XSS，但必须做。在 Controller 层拦截 <、>、"、' 等特殊字符。
  • 白名单机制：对于特定字段（如年龄、ID），只允许输入数字或字母，直接拒绝其他所有字符。
• 输出端（转义）：
  • 这是防御 XSS 的核心。在将数据渲染到 HTML 页面时，必须对特殊字符进行 HTML 实体编码。
  • 例如：将 < 转义为 <，将 > 转义为 >。这样浏览器在解析时，看到的只是文本符号，而不是 HTML 标签。
• 实战策略：现代后端模板引擎（如 Thymeleaf、FreeMarker）通常默认开启输出转义，切勿为了“省事”手动关闭此功能。

3. CSRF 防御：令牌与同源策略

CSRF 利用的 Cookie 随请求自动发送的特性。

• 实战策略：
  • 使用 Anti-CSRF Token（同步令牌模式）：
    • 服务器生成一个随机 Token，放入用户的 Session 中。
    • 在渲染表单时，将 Token 作为一个隐藏字段放入 HTML。
    • 表单提交时，后端校验请求参数中的 Token 是否与 Session 中的一致。攻击者无法伪造这个 Token，从而无法完成攻击。
  • 验证 SameSite 属性：在设置 Cookie 时，指定 SameSite 属性为 Strict 或 Lax，禁止浏览器在跨站请求中发送 Cookie。

4. 密码存储：加盐哈希

根据软考考点，Hash 是单向的，适合存密码。但单纯的 Hash（如 MD5(password)）容易被彩虹表破解。

• 实战策略：
  • 严禁明文存储。
  • 加盐：在原始密码中加入一段随机字符串，再进行 Hash 运算。这样即使两个用户密码相同（都是 “123456”），由于盐不同，数据库中的 Hash 值也完全不同。
  • 算法选择：使用专门设计用于密码存储的慢哈希算法，如 PBKDF2、bcrypt 或 Argon2。这些算法故意设计得很慢，以增加暴力破解的难度。

第三部分：业务逻辑安全与认证授权

除了 Web 漏洞，软考还强调业务逻辑的安全，这往往是代码中最容易被忽视的环节。

1. 越权漏洞

• 水平越权：用户 A 可以操作用户 B 的数据（例如：A 修改 URL 中的 ID，查看 B 的订单）。
  • *防御*：在查询数据时，强制校验当前登录 ID 与数据归属 ID 是否一致。
• 垂直越权：普通用户通过猜 URL，执行了管理员的功能（如访问 /admin/deleteUser）。
  • *防御*：在方法执行前，必须进行角色权限校验，而不是只在前端隐藏按钮。后端必须使用 RBAC（基于角色的访问控制）模型进行鉴权。

2. 敏感信息泄露

• 实战策略：
  • 日志脱敏：不要在日志中直接打印用户的身份证号、密码、银行卡号。
  • 错误信息模糊化：当发生异常（如 SQL 报错）时，不要直接将数据库堆栈信息返回给前端。应返回自定义的“服务器内部错误”，将详细错误记录在后端日志中供运维排查，防止泄露数据库表结构。

第四部分：软考备考与开发实战的结合建议

对于正在备考软考的后端开发者，建议在复习时建立以下映射关系：

1. 复习“密码学”时：检查项目中是否还在用 MD5 存密码，是否使用了 HTTPS 传输敏感数据。
2. 复习“网络安全协议”时：检查项目中 Cookie 的 Secure 和 HttpOnly 属性是否开启（防止 XSS 窃取 Cookie）。
3. 复习“访问控制”时：检查代码中是否存在“硬编码”的权限判断，是否实现了统一的拦截器进行鉴权。

总结
软考信息安全工程师的考点，实际上是构建安全系统的最小公约数。对于后端开发者而言，将“不信任用户输入”、“最小权限原则”和“深度防御”这三个核心思想融入到每一行代码中，就是最好的代码层防护。