【CSRF 攻击】【API 设计】【Redis】【微服务框架】| Chat · 预告

最新推荐文章于 2024-06-07 13:28:14 发布
最新推荐文章于 2024-06-07 13:28:14 发布
阅读量855 收藏 1
点赞数

1

Web 安全:CSRF 攻击深入浅出

作者简介:

蓬蒿,白帽子,信安从业者。2013-2016某杭州信息安全院安全研发部负责人,负责《网站安全监测服务平台》(Web漏洞、敏感词、挂马、暗链等)的架构、设计与实现,熟悉常见 web 漏洞的渗透方式与防御方式。

现为某财税平台的安全团队负责人,负责业务安全开发、安全体系建设、业务风控、API Gateway 等工作。熟悉常见 dubbo、hsf、spring cloud 等分布式服务架构设计与开发,有兴趣可带上简历。

Chat 简介:

CSRF(XSRF)中文名为跨站请求伪造,OWASP Top 10 常见 web 漏洞之一。与 XSS 不同的是,其攻击形式为:用户首先登录一正常网站(Normal Website),正常网站向用户浏览器响应 cookie 信息,此时用户还保持在会话连接状态未对登录状态进行注销。

默认情况下,用户关闭浏览器则 cookie 信息将被清除,不过可以通过修改 Cookie 的 expires 属性来设置其有效期。

然后用户又打开浏览器另一标签页(tab)访问了一个恶意网站(Malicious Website),Malicious Website 会自动构造指向 Normal Website 的恶意 HTTP 请求(增删改您的重要信息)。

在实际项目开发工作中,除了一些资深开发工程师,大部分程序员对 CSRF 的认识是有很大局限性的,究其原因主要还是对其具体攻击形式与原理理解还不够深入。

CSRF 攻击形式其实很简单,正因为它的简单反而容易被人忽视,因此它的危害非常巨大。本场 Chat 我将分享:

  1. CSRF 原理

  2. CSRF 攻击方式(案列分析)

  3. CSRF 防御方式(前后端分离场景下)

  4. CSRF 的 Token 安全性分析

  5. CSRF 与 XSS 的区别

长按扫码报名


2

让你在 API 设计中少踩坑的实战分享

作者简介:

奔跑吧架构师,在互联网公司担任高级 Java 工程师、架构师、技术经理、技术负责人等职务。在工作期间,从零参与公司技术平台建设,组织平台进行过多次大架构升级。作为 CSDN 博客专家,平时爱写博客分享新的技术和收获,博客地址:http://blog.csdn.net/cml_blog

Chat 简介:

在项目开发中,实际的编码只占用了整个项目不到 30% 的时间,更多的时间都耗在了需求分析与接口设计上。

每一次的需求变更就可能涉及到多个 API 的修改,那么 API 设计书作为项目开发的核心文档,如何才能让前端和移动端开发人员更快的理解参数的意义和作用、适应版本更新,以及保障数据的安全性呢?本场 Chat 将从以下几个方面进行分析说明:

  1. API 设计文档的规范,要怎么写清晰明了

  2. API 如何命名

  3. 如何做好 API 的版本控制,如何应部分 API 版本更新

  4. 如何防止数据被篡改

  5. token 方式的优缺点以及优化

  6. JWT 加密方式的使用场景

  7. 为何推荐在过滤器层做权限校验,以及如何使用 shiro 作为权限校验

  8. 为何不推荐使用拦截器

  9. 权限拦截的白名单规则

长按扫码报名



3

如何基于 Redis 构建应用程序组件

作者简介:

阿福,于电商行业的一家独角兽公司任职,专注于代码,热衷于分享

Chat 简介:

Redis 是一个基于内存的开源存储系统,能够用作数据库、缓存和消息中间件。Redis 支持 5 种不同类型的数据结构:字符串、链表、集合、散列表、有序集合,并且为不同的数据结构提供了不同的命令,而这正是 Redis 能够解决诸多问题的关键因素之一。

本场 Chat 将主要讲述如何通过 Redis 构建常用的应用程序组件,包括:

  1. 计数器

  2. 日志记录 & 统计分析

  3. 分布式锁

  4. 信号量

  5. 消息队列

  6. 配置中心

此外,若读者对于 Redis 的数据结构和命令没有多少了解,本文亦将予以进行概述,并阐述 Redis 对于事务的支持。

后续还将推出 Redis 的进阶分享,重点阐述:Redis 持久化、分布式扩展、内存优化及 “存储过程”。

长按扫码报名


4

如何零基础搭建一套微服务框架

作者简介:

大闲人柴毛毛,上过舞台、演过话剧、拍过微电影、拉过小提琴的支付宝后端开发

Chat 简介:

你将学到什么?本场 Chat 将以原理+实战的方式,首先对“微服务”相关的概念进行知识点扫盲,然后开始手把手教你搭建这一整套的微服务系统。

这套微服务框架能干啥?

  • 微服务架构

    你的整个应用程序将会被拆分成一个个功能独立的子系统,独立运行,系统与系统之间通过 RPC 接口通信。这样这些系统之间的耦合度大大降低,你的系统将非常容易扩展,团队协作效率提升了N个档次。这种架构通过眼下流行的 SpringBoot 和阿里巴巴吊炸天的 Dubbo 框架来实现。

  • 容器化部署

    你的各个微服务将采用目前正处于浪潮之巅的 Docker 来实现容器化部署,避免一切因环境引起的各种问题,让你们团队的全部精力集中在业务开发上。

  • 自动化构建

    项目被微服务化后,各个服务之间的关系错中复杂,打包构建的工作量相当可怕。不过没关系,本文将借助Jenkins,帮助你一键自动化部署,从此你便告别了加班。

长按扫码报名


软件供应链安全
关注
redis微服务搭建
snailisBigbull的博客
10-23 817
#### 二.缓存微服务的搭建 1.搭建项目结构 hrm-redis-parent hrm-redis-client hrm-redis-service-2030 2.搭建 hrm-redis-service-2030 导入依赖 <dependencies> <!--引入swagger支持--> <dependency> ...
微服务Redis
咖啡有点苦的博客
04-01 655
微服务Redis
【2016-08-09】{[Csrf token],[Redis]}
SilenceCarrot的专栏
08-09 1189
什么是CSRFCSRF又叫“跨站点请求伪造(Cross-Site Request Forgeries,CSRF)”,CSRF攻击是指攻击者通过设置好的陷阱,前置对已完成认证的用户进行非预期的个人信息或者设定信息等某些状态的更新,属于被动攻击。 跨站点请求伪造可能会造成一下影响:   利用已通过认证的用户权限更新设定信息等;   利用已通过认证的用户权限购买商品;   利用已通过
Redis CSRF漏洞分析及云Redis安全措施介绍
weixin_34015566的博客
02-02 287
Redis CSRF漏洞分析 近日有网友暴漏了RedisCSRF漏洞,同时Redis作者在最新发布的3.2.7也进行了修复,本文将对CSRF攻击及如何安全使用Redis进行介绍。阿里云云数据库Redis版强制需要密码访问,不受该漏洞影响,而对于自建Redis用户可以根据后续的一个建议措施进行修复。 CSRF介绍 CSRF(Cross-site requ...
SpringBoot构建微服务实战 之 整合Redis
Dusty丶one的博客
05-09 1344
redis微服务领域的贡献
gp16674213804的博客
10-18 142
前言 说到 redis,可能大家的脑海中蹦出的关键词是:NoSQL、KV、高性能、缓存等。但今天的文章从另一个角度——微服务来展开。 这篇文章的起因也是源自一次面试经历,在面试一位来自陌陌的候选人(就是那个交友的陌陌)时,他提到一点让我觉得很有意思,他说 redis 在陌陌被使用的非常广泛,除了常规的缓存外,某些场景下也当 NoSQL 数据库来使用,还用 redis 作为微服务的注册中心,甚至连 RPC 的调用协议都用了 redis 协议。 注册中心 最早了解到 redis 可以作为注册中心是从 d
Python Django框架防御CSRF攻击的方法分析
09-18
在Python的Web开发框架Django中,CSRF(Cross-site request forgery,跨站请求伪造)是一种常见的安全威胁,它允许攻击者通过受害者在已登录的网站上的合法身份执行恶意操作。为了保护用户免受此类攻击,Django提供...
Yii框架防止sql注入,xss攻击csrf攻击的方法
10-21
总体而言,Yii框架通过提供内置的API和一系列的防护措施,帮助开发者有效防范SQL注入、XSS攻击CSRF攻击。开发者在使用Yii框架进行Web应用开发时,应充分理解并利用这些内置功能,配合良好的编程习惯,确保应用的...
cpp-一个CSRF演示窃取本地Redis数据并加密本地网络上的所有Redis实例
08-16
一个CSRF演示,窃取本地Redis数据,并加密本地网络上的所有Redis实例
Laravel5.3+框架定义API路径取消CSRF保护方法详解
12-18
我们绝大多数的路径其实都会在web.php中定义,因为在web.php中定义的路径默认有CSRF保护,而API路径默认没有CSRF保护。在Laravel官网文档中写到:/p> Any HTML forms pointing to POST, PUT, or DELETE routes that...
微服务中使用redis
a18792721831的博客
08-04 2701
微服务中使用redis1. 微服务集成redis2. 配置3. String4. Hash5. List6. Set7. Sorted Set 1. 微服务集成redis 2. 配置 spring: # redis 服务器配置 redis: host: 10.0.228.117 port: 6379 password: "" timeout: 60000 database: 0 # 连接池属性配置 lettuce: pool:
【新年安全第一弹】Redis CSRF漏洞分析及防范措施
weixin_34336526的博客
02-03 78
2019独角兽企业重金招聘Python工程师标准>>> ...
微服务架构模式中Redis的应用
最新发布
m0_66294774的博客
06-07 953
Redis是一种开源的内存数据库,也被称为数据结构服务器,它支持多种数据类型,如字符串、哈希表、列表、集合和有序集合。Redis具有快速、高效的特点,可以在内存中存储数据,并通过持久化机制将数据写入磁盘,保证数据的持久性。Redis还提供了丰富的功能,如事务、发布订阅、Lua脚本等,使其成为一个强大的缓存和消息队列工具。由于其高性能和灵活性,Redis被广泛应用于Web开发、分布式系统和云计算等领域。
微服务分布式架构之redis
OneMoreWhy的博客
10-04 663
本篇主要总结redis相关
微服务】分布式缓存Redis
東三城的博客
02-02 803
Redis持久化(RDB持久化,AOF持久化),Redis主从,Redis哨兵,Redis分片集群
你的微服务在用 OAuth2 却不知道 CSRF 和 PKCE ?
Innocence_0的博客
12-30 1080
微服务实战:基于Spring Cloud Gateway + AWS Cognito 的BFF案例一文中, 介绍了基于Amazon Cognito的OAuth授权码模式的认证流程。本文中,我们将研究可能针对此流程的恶意攻击以及如何防止它们。你将了解如何使用状态随机数(state nonce)来防止可能的CSRF攻击,以及 OAuth 推荐的用于防止重定向拦截攻击的PKCE(Proof Key for Code Exchange)机制。最后将附上基于Spring Security的代码实现。
微服务整合redis
liuerchong的博客
08-07 1742
redis综述 Redis 是一个开源(BSD许可)的,内存中的数据结构存储系统,它可以用作数据库、缓存和消息中间件。 它支持多种类型的数据结构,如 字符串(strings), 散列(hashes), 列表(lists), 集合(sets), 有序集合(sorted sets) 与范围查询, bitmaps, hyperloglogs 和 地理空间(geospatial) 索引半径查询。 Redis 内置了 复制(replication),LUA脚本(Lua scripting), LRU驱动事件(LRU
理解并防范CSRF攻击:Python Web框架中的实战教程
CSRF(跨站请求伪造)是一种常见的Web安全威胁,它利用用户的已登录状态,通过恶意网站或第三方应用伪造用户的请求,执行未经授权的操作,例如发送邮件、盗取账户信息或进行金融交易。这种攻击主要依赖于攻击者能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值