1,道高一尺魔高一丈的网站应用攻击与防御
1)XSS攻击
XSS攻击即跨站点脚本攻击(Cross Site Script),指黑客通过篡改网页,注入恶意代码,在用户浏览网页时候控制用户浏览器进行恶意操作的一种攻击方式。
2)注入攻击
注入攻击主要有两种:sql注入、os注入
防御:
消毒
参数绑定
3)CSRF攻击
CSRF(Cross Site Request Forgery,跨站点请求伪造),攻击者通过跨站请求,以合法用户的身份进行非法操作,如转账交易、发布评论等
防御:
表单token
验证码
referer check
4)其他攻击和漏调
Error Code
HTML注释
文件上传
路径遍历
5)Web应用防火墙
ModSecurity
2,信息加密技术及密钥安全管理
通常,为了保护网站的敏感数据,应用需要对信息进行加密处理,信息加密技术可分为三类:单向散列加密、对称加密和非对称加密
1)单向散列加密
单向散列加密是指通过对不同输入长度的信息进行散列计算,得到固定长度的输出,这个散列计算过程是单向的,即不能对固定长度的输出进行计算从而获得输入信息。
常见的单向散列算法有MD5、SHA等。
2)对称加密
所谓对称加密是指加密和解密使用的密钥是同一个密钥。
对称加密的常用算法有DES算法、RC算法、AES等。
3)非对称加密
非对称加密和解密使用的密钥不是同一密钥,其中一个对外界公开,被称作公钥,另一个只有所有者知道,被称为私钥。用公钥加密的信息必须用私钥才能解开,反之,用私钥加密的信息只有公钥才能解开。
非对称加密的常用算法有RSA算法等。
4)密钥安全管理
前述的几种加密技术,能够达到安全保密效果的一个重要前提是密钥的安全。
实践中,改善密钥安全性的手段有两种。
一种方案是把密钥和算法放在一个独立的服务器上,甚至做成一个专用的硬件设施,对外提供加密和解密服务,应用系统通过调用这个服务,实现数据的加密和解密。
另一种方案是将加密解密算法放在应用系统中,密钥放在独立服务器中,为了提供密钥的安全性,实际存储时,密钥被切分成数片,加密后分别保存在不同的存储介质中,兼顾密钥安全性的同时又改善性能。
3,信息过滤与反垃圾
1)文本匹配
2)分类算法
3)黑名单
4,电子商务风险控制
1)风险
账户风险
买家风险
卖家风险
交易风险
2)风控
规则引擎
统计模型
1)XSS攻击
XSS攻击即跨站点脚本攻击(Cross Site Script),指黑客通过篡改网页,注入恶意代码,在用户浏览网页时候控制用户浏览器进行恶意操作的一种攻击方式。
2)注入攻击
注入攻击主要有两种:sql注入、os注入
防御:
消毒
参数绑定
3)CSRF攻击
CSRF(Cross Site Request Forgery,跨站点请求伪造),攻击者通过跨站请求,以合法用户的身份进行非法操作,如转账交易、发布评论等
防御:
表单token
验证码
referer check
4)其他攻击和漏调
Error Code
HTML注释
文件上传
路径遍历
5)Web应用防火墙
ModSecurity
2,信息加密技术及密钥安全管理
通常,为了保护网站的敏感数据,应用需要对信息进行加密处理,信息加密技术可分为三类:单向散列加密、对称加密和非对称加密
1)单向散列加密
单向散列加密是指通过对不同输入长度的信息进行散列计算,得到固定长度的输出,这个散列计算过程是单向的,即不能对固定长度的输出进行计算从而获得输入信息。
常见的单向散列算法有MD5、SHA等。
2)对称加密
所谓对称加密是指加密和解密使用的密钥是同一个密钥。
对称加密的常用算法有DES算法、RC算法、AES等。
3)非对称加密
非对称加密和解密使用的密钥不是同一密钥,其中一个对外界公开,被称作公钥,另一个只有所有者知道,被称为私钥。用公钥加密的信息必须用私钥才能解开,反之,用私钥加密的信息只有公钥才能解开。
非对称加密的常用算法有RSA算法等。
4)密钥安全管理
前述的几种加密技术,能够达到安全保密效果的一个重要前提是密钥的安全。
实践中,改善密钥安全性的手段有两种。
一种方案是把密钥和算法放在一个独立的服务器上,甚至做成一个专用的硬件设施,对外提供加密和解密服务,应用系统通过调用这个服务,实现数据的加密和解密。
另一种方案是将加密解密算法放在应用系统中,密钥放在独立服务器中,为了提供密钥的安全性,实际存储时,密钥被切分成数片,加密后分别保存在不同的存储介质中,兼顾密钥安全性的同时又改善性能。
3,信息过滤与反垃圾
1)文本匹配
2)分类算法
3)黑名单
4,电子商务风险控制
1)风险
账户风险
买家风险
卖家风险
交易风险
2)风控
规则引擎
统计模型
389
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
