给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
不要在浏览器中明文保存用户名、密码,md5 加密也不行。如果要自动登录,可以保存 RSA 加密后的密文,通过 cookie 提交密文进行解析来自动登录。md5 或者 md5(md5) 在今天已经不安全了,黑客的彩虹表可能已经覆盖了大多数数据了。
保护好用户
密码落库必须加密。CSDN当年使用明文存储密码导致被脱裤后完全公开了用户密码,给用户和网站带来了极大的风险。基于彩虹表能够很方便地破解 md5、sha1 等古老算法的密文,建议至少使用 sha256 及以后的算法,并且加密过程加盐。盐的长度最好也要在 64 位以上。如果条件允许,给每个用户设计一个独有的盐值,将极大提升安全性。
数据库要保留用户的历史密码,修改密码时,不能和前几次一样。如果黑客掌握了某个历史密码,也可能在用户改回后恰好就对上了。参考 Google 账号登录,修改密码和 6 个月前的一样都是不行的。
保留用户的登录记录。时间、ip 都需要。如果本次 ip 和以前的有较大的差别,可以通过邮箱、短信、站内信等向用户提示,建议用户修改密码。用户长时间没有登录,后续再登录的时候最好强制修改密码,并且和历史密码不重复。
短时间内登录失败,要锁定用户。比如失败 5 次可以锁定 1 小时,再次失败锁定 8 小时,又失败锁定 24 小时。锁定后,用户可以通过注册邮箱或手机短信实现解锁,但一天内也要限制解锁次数。
即使在用户登录后,进行重要操作的时候,也要求用户重新输入一次密码。比如修改密码、修改绑定邮箱、修改密码保护问题、有消费行为等,可以防止用户被 XSS 攻击后黑客修改重要数据。
总结
本文梳理了设计登录流程需要考虑的一些关键点。世界上没有绝对安全的系统,有价值的网站和应用都是黑客攻击的重点对象。工作中务必重视安全问题,发现漏洞及时修复。也要考虑网站数据的重要程度,采取合适的防护措施。
最后
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~
😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
2️⃣视频配套资料&国内外网安书籍、文档
① 文档和书籍资料
② 黑客技术
因篇幅有限,仅展示部分资料
3️⃣网络安全源码合集+工具包
4️⃣网络安全面试题
学习路线:
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
401
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
