怎么保证接口数据的传输安全?,2024大厂网络安全面试经历

最新推荐文章于 2024-08-24 22:16:54 发布
最新推荐文章于 2024-08-24 22:16:54 发布
阅读量937 收藏 17
点赞数 21
分类专栏: 2024年程序员学习 文章标签: 安全 web安全 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83621541/article/details/137740649
版权

如何防止数据篡改?

这里通过签名参数中包含原有请求的所有参数,改动任意参数,sign值都会不同,因此无法篡改。

如何防止重放攻击?

由于签名算法中还有imei(设备唯一Id)、timestamp参数,且签名算法为不可逆算法(如md5或sha1),因而对于正常的每个请求sign值不会重复。此时服务端可以存储5分钟的sign值,来做重放攻击时的验证过滤,超过5分钟的请求则直接被timestamp校验过滤。

2、对敏感数据进行加密(数据加密)

数据加密一直是保密数据的重要部分,常见的加密算法有可逆加密算法和不可逆加密算法,可逆加密算法又分为对称加密算法和非对称加密算法。

比如用户名密码,我们需要加密,这样即使被抓包监听,他们也不知道原始数据是什么(如果简单的md5,是可以暴力破解),所以加密方法越复杂越安全,根据需要,常见的是 md5(不可逆),aes(可逆),自由组合吧,你还可以自己定义一些特殊字符啊,没有做不到只有想不到, 举例:username = aes(username), pwd = MD5(pwd + username)。

这时候在截获数据时,得到的将是一串密文,显然,即使要破解,也需要相当时间。

但这样,有一个明显问题,就是接口吞吐量下降,明显,加密情况下,由于需要解密数据,接口的响应速度会下降。

对于一些重要数据,我们这样牺牲系统性能换取来的安全是可以接受的。

3、session、token机制

session(cookie)和 token 机制的出现是为了校验用户状态的。

比如不法分子知道了我们的后台接口,恶意伪造大量数据攻击,即使这些数据不正确,而服务器每次都需要校验这些数据的正确性,显然带来大量性能消耗。

我们当然可以进行一些优化操作,如对于同一个IP,短时间大量请求则封掉该IP一段时间,但这不是太合理的。

设想,如果用户登陆后,保存状态,只有登陆的用户可以访问这些接口,每次请求到来,均先校验用户登陆状态,对于session,如果没有sessionid或者sessionid错误或者过期则直接返回登陆界面。对于token,与session同理,没有token或者token错误或者过期的直接返回登陆页面。

这样,我们开始校验token或者session,就可以拒绝大量伪造请求。

4、HTTPS(数字证书机制)

上面,无论数据加密还是签名,我们发现最重要的就是加密方法和加密密钥。

对于两台服务器交互,可能不用太担心,但是如果是webapp或者原生app,不法分子反编译前端代码后,就有可能拿到加密方法和加密key,怎么办呢?

这就属于HTTPS要解决的事情:

在加密算法中,有一种叫做非对称加密的算法,有公钥和私钥组成,他有个特点:公钥加密的数据,只有私钥能解密;私钥加密的数据,只有公钥能解密。

HTTPS 就是需要让客户端与服务器端安全地协商出一个对称加密算法。剩下的就是通信时双方使用这个对称加密算法进行加密解密。

①客户端启动,发送请求到服务端,服务端通过非对称加密算法(如RSA)生成公钥pubkey1和私钥prikey1。

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
img

留言领取哦)~

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-GUHC2nVQ-1713066246694)]

2401_83621541
关注
  • 21
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C# API接口安全设计全攻略:从入门到进阶再到精通
java专栏
04-21 1570
通过本篇深度解析,读者从零开始学习了C# API接口设计的安全原则、实现方法、进阶技巧及最佳实践,涵盖了身份验证、授权、数据加密、输入验证、错误处理、版本控制等多个关键领域。结合丰富的代码示例与注释,读者应能设计和实现安全可靠的C# API接口,并在实际工作中持续优化与监控,确保API接口安全性。遵循REST(Representational State Transfer)原则设计API,使用HTTP动词(GET、POST、PUT、DELETE等)表示操作,URI表示资源,状态码传达结果。
2024网络安全最全TLS、运输层安全协议
2301_82257383的博客
05-01 135
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。主密钥被分割成 4 个不同的密钥。·s 代表 security,表明现在使用的是提供安全服务的 HTTP 协议(TCP 的 HTTPS 端口号是 443,而不是平时使用的端口号 80)。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
接口如何设计才能保证安全,防止攻击
微信公众号:一颗向上的草莓
06-03 1759
说明:在实际的业务中,难免会跟第三方系统进行数据的交互与传递,那么如何保证数据传输过程中的安全呢(防窃取)?除了https的协议之外,能不能加上通用的一套算法以及规范来保证传输安全性呢? 下面我们就来讨论下常用的一些API设计的安全方法,可能不一定是最好的,有更牛逼的实现方式,但是这篇是我自己的经验分享. 本章目录: 1. token简介 2.timestamp 简介 3.sign 简介 4.防止重复提交 5. 使用流程 6. 代码分享 一:toke...
【计算机网络】http协议的原理与应用,https是如何保证安全传输
景天科技苑
03-29 1万+
超文本传输协议(英文:HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议。HTTP是万维网的数据通信的基础。 HTTP的发展是由蒂姆·伯纳斯-李于1989年在欧洲核子研究组织(CERN)所发起。 HTTP的标准制定由万维网协会(World Wide Web Consortium,W3C)和互联网工程任务组(Internet Engineering Task Force,IETF)进行协调, 最终发布了一系列的RFC。
2021年10月份大厂网络工程师面试笔试题题【推荐收藏】
热门推荐
03-09 1万+
大家好,我是薄荷!临近毕业,正值春招风起云涌之际,薄荷其实也偷偷面试了几家实习公司,面试结果还算理想,但是还在纠结之中,(谁让本“成功人士”那么优秀,想要将本人纳入囊中的公司太多了,咳咳,谦虚)。
2024年网络基础『发展 ‖ 协议 ‖ 传输 ‖ 地址』(3),2024网络安全高频精选面试题讲解
2401_84247760的博客
05-06 853
协议是一种约定,也是一种标准,比如著名的IEEE 754标准,就规定了浮点数如何在内存中存储;再比如投资者往往会与被投资者签订一份对赌协议,确保投资顺利进行协议制定后,参与者都必须遵守该协议不同行业中的协议往往由该行业中的翘楚制定,比如在通信标准领域,华为就担任了重要角色,并作为5G标准的主导者之一一流企业定标准,二流企业做品牌,三流企业做产品在当前互联网时代,有众多计算机生产商、计算机操作系统和多样化的计算机网络硬件设备。那么,如何实现这些不同设备之间的互相连接呢?答案是制定出被大家都认可的协议,当。
2024年深信服、奇安信、360等大厂网络安全校招面试真题合集(附答案)_深信服安服类校招面试(1)
2401_84254011的博客
04-28 515
给你一个网站你是如何来渗透测试的?渗透测试流程SQL注入的原理如何进行SQL注入的防御sqlmap,怎么对一个注入点注入?判断出网站的CMS对渗透有什么意义?后台修改管理员密码处,原密码显示为*。你觉得该怎样实现读出这个用户的密码?并且我把这份完整版的面试笔记上传给了CSDN,有需要可前往免费获取!介绍一下自认为有趣的挖洞经历(或CTF经历)CSRF的成因及防御措施(不用token如何解决)SSRF如何探测非HTTP协议简述一下SSRF的绕过手法。
2024大厂Android面试经历,快速上手
2401_85319265的博客
05-30 739
其实Android开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。下面分享的腾讯、头条、阿里、美团、字节跳动等公司2019-2021年的高频面试题全套解析,博主还把这些技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,下面只是以图片的形式给大家展示一部分。知识不体系?这里还有整理出来的Android进阶学习的思维脑图,给大家参考一个方向。
现在2024网络安全真实情况还好就业吗?_2024网络安全专业到底行不行了
2401_84618514的博客
07-16 801
基于最新的kali讲解,循序渐进地对黑客攻防剖析。适合不同层次的粉丝。我希望能为大家提供切实的帮助,讲解通俗易懂,风趣幽默,风格清新活泼,学起来轻松自如,酣畅淋漓!
大厂网络安全面试
07-13
360 几率大的网络安全面试题(含答案).pdf 百度【搞定网络协议】之网络安全面试题.pdf 京东护网面试题总结+DD安全工程师笔试问题.pdf 渗透测试初级面试题.pdf 渗透测试面试题2019版.pdf 天融信 网络安全面试题及...
网络安全大厂面试常见问题总结.docx
05-18
这份总结不仅涵盖了具体的面试经历分享,还涉及了诸多网络安全领域的基础知识和技术细节,对于准备进入网络安全行业的求职者而言极具参考价值。 ### 网络安全大厂面试常见问题总结 #### 深信服 - **SQL注入原理...
大厂数据仓库面试题.docx
12-18
大厂数据仓库面试题 本文档总结了大厂数据仓库面试题,涵盖了Hadoop、Hive、Spark、HBase、Flink、数仓业务方面的知识点,旨在帮助读者理解和掌握大厂数据仓库的知识和技术。 Hadoop * Secondary NameNode的作用...
2024最新阿里、京东、蚂蚁等大厂面试
06-19
根据给定文件的信息,我们可以提炼出一系列针对2024年阿里、京东、蚂蚁等大厂面试的关键知识点。这些知识点涵盖了Java基础知识、JVM、并发编程、框架使用等多个方面,对于准备进入这些顶级企业的求职者来说,是非常...
信创环境下得数据安全落地解决方案白皮书
09-28
《信创环境下的数据安全落地解决方案白皮书》详尽阐述了在信息技术应用创新(信创)产业背景下,如何确保数据安全的有效措施。信创产业旨在打破海外技术垄断,实现核心技术的自主可控,以保障国家的信息安全。在这个...
第135天:内网安全-横向移动&非约束委派&约束委派&数据库攻防
最新发布
weixin_71529930的博客
08-24 295
非约束委派存在不安全性,所以微软在Windows server 2003中引入了约束委派,约束委派攻击主要利用被控主机设置了域控的CIFS服务的约束委派,则攻击者可以先使用S4u2seflt申请域管用户访问被控主机的ST1,然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管。利用该身份就可以访问域控,记得用主机名去访问。(域控)访问具有非约束委派权限的机器。
【办公软件】安全风险 Microsoft 已阻止宏运行,因为此文件的来源不受信任
一点硬件
08-20 351
安全风险 Microsoft 已阻止宏运行 因为此文件的来源不受信任
SD-WAN安全:在灵活性与安全性之间找到平衡
A526847的博客
08-21 444
随着企业业务的不断扩展和数字化转型的加速,网络架构的灵活性和安全性成为了企业关注的重点。SD-WAN(软件定义广域网)作为一种新兴的网络架构,通过软件定义和虚拟化技术,为企业提供了更灵活、可靠、经济高效的广域网连接方案。然而,在追求灵活性的同时,如何确保网络的安全性,成为了SD-WAN应用中的一大挑战。本文将探讨SD-WAN如何在灵活性与安全性之间找到平衡。
车辆电子围栏系统:守护爱车安全的智能新防线
2301_81759256的博客
08-20 470
在未来,随着技术的不断进步和应用的持续深化,我们有理由相信,车辆电子围栏系统将会为更多车主带来安心与便捷,共同守护每一段旅程的平安与美好。车主可以根据自己的实际需求,自由设定围栏的范围大小、形状及预警方式,无论是家庭住址、公司停车位还是孩子的学校周边,都能成为保护爱车的安全区域。一旦车辆跨越这个预设的“围栏”,系统便会立即触发警报,通过手机APP、短信或电话等多种方式通知车主,实现对车辆位置的实时监控与异常行为的即时响应。其中,车辆电子围栏系统作为一项创新的安全技术,正悄然成为车主们守护爱车安全的新宠。
信息安全面试经验分享:涵盖天融信、漏洞盒子等大厂
面试涉及的主要话题有个人在HW活动中的经历、溯源和应急响应能力、网络攻防技能、漏洞挖掘和提交经验,以及对内网流量监控和系统安全维护的理解。" 在网络安全领域,面试者可能需要面对以下知识点: 1. **硬件经历...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值