8 固若金汤:网站的安全架构
8.1 道高一尺魔高一丈的网站应用攻击与防御
8.1.1 XSS攻击
8.1.2 注入攻击
8.1.3 CSRF攻击
8.1.4 其他攻击和漏调
- Error Code
- HTML注释
- 文件上传
- 路径遍历
8.1.5 Web应用防火墙
ModSecurity
8.1.6 网站安全漏洞扫描
8.2 信息加密技术及密钥安全管理
通常,为了保护网站的敏感数据,应用需要对信息进行加密处理,信息加密技术可分为三类:单向散列加密、对称加密和非对称加密
8.2.1 单向散列加密
单向散列加密是指通过对不同输入长度的信息进行散列计算,得到固定长度的输出,这个散列计算过程是单向的,即不能对固定长度的输出进行计算从而获得输入信息。
常见的单向散列算法有MD5、SHA等。
8.2.2 对称加密
所谓对称加密是指加密和解密使用的密钥是同一个密钥。
对称加密的常用算法有DES算法、RC算法等。
8.2.3 非对称加密
非对称加密和解密使用的密钥不是同一密钥,其中一个对外界公开,被称作公钥,另一个只有所有者知道,被称为私钥。用公钥加密的信息必须用私钥才能解开,反之,用私钥加密的信息只有公钥才能解开。
非对称加密的常用算法有RSA算法等。
8.2.4 密钥安全管理
前述的几种加密技术,能够达到安全保密效果的一个重要前提是密钥的安全。
实践中,改善密钥安全性的手段有两种。
一种方案是把密钥和算法放在一个独立的服务器上,甚至做成一个专用的硬件设施,对外提供加密和解密服务,应用系统通过调用这个服务,实现数据的加密和解密。
另一种方案是将加密解密算法放在应用系统中,密钥放在独立服务器中,为了提供密钥的安全性,实际存储时,密钥被切分成数片,加密后分别保存在不同的存储介质中,兼顾密钥安全性的同时又改善性能。
8.3 信息过滤与反垃圾
8.3.1 文本匹配
8.3.2 分类算法
8.3.3 黑名单
8.4 电子商务风险控制
8.4.1 风险
- 账户风险
- 买家风险
- 卖家风险
- 交易风险
8.4.2 风控
- 规则引擎
- 统计模型