大型网站架构（五）固若金汤：网站的安全架构

最新推荐文章于 2021-02-21 20:35:16 发布

意大利AC米兰

最新推荐文章于 2021-02-21 20:35:16 发布

阅读量337

点赞数

分类专栏：大型网站技术架构

大型网站技术架构专栏收录该内容

7 篇文章 0 订阅

订阅专栏

本文仅供自己学习使用，本文参考自李智慧老师著的《大型网站技术架构：核心原理与案例分析》。

一、网站应用攻击与防御

1）XSS攻击

跨站点脚本攻击（Cross Site Script）

2）注入攻击

SQL注入攻击

OS注入攻击

3）CSRF攻击

跨站点请求伪造（Cross Site Request Forgery）

4）其他攻击和漏洞

Error Code（服务器端未处理的异常堆栈信息直接输出到客户端浏览器，黑客有可乘之机。应跳转至500页面）

HTML注释（页面中的HTML注释，会显示在客户端浏览器）

文件上传（如果上传可执行文件，攻击者可以在服务器上为所欲为）

路径遍历（攻击者在请求的URL中使用相对路径，遍历系统未开放的目录和文件。将JS、CSS等资源文件部署在单独的服务器，使用独立域名）

5）Web应用防火墙

6）网站安全漏洞扫描

二、信息加密技术

1）单向散列加密（MD5）

2）对称加密（加密和解密使用的秘钥是同一个秘钥）

3）非对称加密（加密和解密使用的秘钥是不相同的）

三、秘钥安全管理

可以将秘钥放在单独的秘钥服务器。知道的人越少（包括开发者），秘钥就越安全

四、信息过滤与反垃圾

1）文本匹配

2）分类算法

3）黑名单

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

意大利AC米兰

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
大型网站架构（五）固若金汤：网站的安全架构

网站的安全架构
复制链接

扫一扫

专栏目录

网站架构技术

10-09

固若金汤：网站的安全架构网站应用攻击与防御 XSS攻击反射型持久型防御方法消毒 httponly 注入攻击 SQL注入攻击攻击前提获取数据库结构的方法防御方法消毒 ...

大部分网站容易被入侵吗?

03-23

鉴于大量站长/网民普遍认为网站是“固若金汤” 　引子　这篇文章写起来还是蛮难的，难在不容易把整个网站安全体系全部写出来，或者文中应当添些真实案例让大家感觉笔力饱满，用墨充足。鉴于大量站长/网民普遍认为...

参与评论您还未登录，请先登录后发表或查看评论

常见的Web应用攻击手段

qq_43005544的博客

02-21

884

常见的Web应用攻击手段 1.XSS攻击 XSS攻击即跨站点脚本攻击（Cross Site Script），指黑客通过篡改网页，注入恶意HTML脚本，在用户浏览网页时，控制用户浏览器进行恶意操作的一种攻击方式。分类 1.1 反射型攻击者诱使用户点击一个嵌入恶意脚本的链接，达到攻击的目的 1.2 持久型黑客提交含有恶意脚本的请求，保存在被攻击的Web站点的数据库中，用户浏览网页时，恶意脚本被包含在正常页面中，达到攻击的目的防护手段 1.3消毒 XSS攻击者一般都是通过在请求中嵌入恶意脚

8 固若金汤：网络的安全架构

weixin_44991625的博客

12-23

139

【八】固若金汤：网站的安全架构

猪猪

10-01

252

【架构设计】————8、固若金汤：网站的安全架构

Fly_鹏程万里

03-11

540

8.1 道高一尺魔高一丈的网站 8.1.1 XSS攻击消毒 HTTPonly 8.1.2 注入攻击 8.1.3 CSRF攻击 8.1.4 其他攻击和漏洞 8.1.5 Web应用防火墙 8.1.6 网站安全漏洞扫描 8.2 信息加密技术及密钥安全管理 ...

大型网站技术架构-8 固若金汤：网站的安全架构

dkjkls的博客

04-21

1424

读书笔记摘自：《大型网站技术架构：核心原理与案例分析-李智慧》8 固若金汤：网站的安全架构8.1 道高一尺魔高一丈的网站应用攻击与防御攻击新浪微博的手段被称作XSS攻击，它和SQL注入攻击构成网站应用攻击最主要的两种手段，全球大约70%的Web应用攻击都来自XSS攻击和SQL注入攻击。此外，常用的Web应用还包括CSRF、Session劫持等手段。8.1.1 XSS攻击XSS攻击即跨站点脚本攻击（

8PHP网站克隆系统源码 v1.0

04-03

19. 固若金汤的安全防护程序采用文件作数据储存，后台登陆账号密码必须修改文件才能实现生效，天然防SQL注入，对相关敏感文件还有严格的权限控制； 20. 其他一些可以通过正则替换实现的功能就不一一介绍了，正则是...

8.固若金汤网站的安全架构

qq_41634872的博客

03-31

114

借用作者的话，“低耦合的系统更容易扩展，低耦合的系统更容易复用，低耦合的系统更容易开发和维护。软件架构师的价值在于将一个系统切分为n个低耦合的子系统的能力”。而各个模块的聚合方式可以依靠消息队列和分布式服务。利用消息队列生产者和消费者不必直接通信，新来的生产者和消费者只需要和消息队列打交道就好了，从而提高了扩展性。利用分布式服务分布式服务通过接口分解系统的耦合性，模块之间只需要调用定...

八、固若金汤：网站的安全架构

weixin_34405354的博客

04-10

110

为什么80%的码农都做不了架构师？>>> ...

Advanced Penetration Testing

08-22

此书是英文版《渗透测试高手：打造固若金汤的安全网络》。《Advanced Penetration Testing: Hacking the World's Most Secure Networks》 Build a better defense against motivated, organized, professional attacks Advanced Penetration Testing: Hacking the World's Most Secure Networks takes hacking far beyond Kali Linux and Metasploit to provide a more complex attack simulation. Featuring techniques not taught in any certification prep or covered by common defensive scanners, this book integrates social engineering, programming, and vulnerability exploits into a multidisciplinary approach for targeting and compromising high security environments. From discovering and creating attack vectors, and moving unseen through a target enterprise, to establishing command and exfiltrating data—even from organizations without a direct Internet connection—this guide contains the crucial techniques that provide a more accurate picture of your system's defense. Custom coding examples use VBA, Windows Scripting Host, C, Java, JavaScript, Flash, and more, with coverage of standard library applications and the use of scanning tools to bypass common defensive measures. Typical penetration testing consists of low-level hackers attacking a system with a list of known vulnerabilities, and defenders preventing those hacks using an equally well-known list of defensive scans. The professional hackers and nation states on the forefront of today's threats operate at a much more complex level—and this book shows you how to defend your high security network. Use targeted social engineering pretexts to create the initial compromise Leave a command and control structure in place for long-term access Escalate privilege and breach networks, operating systems, and trust structures Infiltrate further using harvested credentials while expanding control Today's threats are organized, professionally-run, and very much for-profit. Financial institutions, health care organizations, law enforcement, government agencies, and other high-value targets need to harden their IT infrastructure and human capital against targeted advanced attacks from motivated professionals. Advanced Penetration Testing goes beyond Kali linux and Metasploit and to provide you advanced pen testing for high security networks.

数据安全被篡改的风险分析解决方案

网站安全专家

08-04

6472

现代信息化系统越来越普遍，但对于数据安全方面却有很多问题，数据完整性风险不仅影响信息的有效性，还影响信息正确性的保证。一些政府条例特别注重确保数据的准确性。如果没有安全预警、授权或审计跟踪就可以更改信息，则无法确保信息的完整性。 1.错误计算机和存储故障可能损害数据和损害数据完整性。防御确保选定的存储基础设施是通过适当的raid冗余和将重要数据存档作为服务的一部分来构建的。建议使用完整性验证软件来验证和验证数据。由于数据本身的性质因素，威慑几乎没有什么作用。关于残余风险技术失败的数据可能导致操作或

网站安全公司生存发展趋势分析

网站安全专家

08-03

294

首先，年轻人，国家推广让你读一个专业，基本上意味着专业是个洞，如果专业很好，还需要推广吗？曾经，搜索引擎，证券/银行/基金，你什么时候看到国家大力推动年轻人学习何时赚到最多的钱？办公室级以上的公务员，你们什么时候见过国家大力推动年轻人去考试？国家的推广机器只会鼓励年轻人去创业。你有没有想过为什么？除了网络安全和计算机科学之外，网络安全严格地说是计算机科学的一个分支。你不能说网络安全和计算机科学之间的区别，就像你不能说电动汽车和特斯拉之间的区别一样。我假设你现在的问题是，互联网和其他计算机科学分支没有什么区别

集团信息化顶层规划.pdf

08-17

集团信息化顶层规划.pdf

敏捷制造与卓越服务业务模型设计（交付版）.pdf