项目中的网络安全策略取舍与总结

最新推荐文章于 2024-05-02 07:45:14 发布
最新推荐文章于 2024-05-02 07:45:14 发布
阅读量717 收藏 1
点赞数
文章标签: 身份验证 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26976669/article/details/88412301
版权

一、前言

web服务中,用户输入用户名密码登入之后,后续访问网站的其他功能就不用再输入用户名和密码了。因此,身份验证引起的网络安全在所有企业级项目中都是个必须去探讨的话题,并一定针对不同的安全隐患设置相应的防范策略。

下面分享几个我从项目中总结提炼出来的一些网络安全经验。

首先我们先来巩固一下两种常用的身份验证机制:

二、两种身份验证机制

1. cookie-session机制

传统的身份校验机制为cookie-session机制:

  • 用户浏览器访问web网站,输入用户名密码
  • 服务器校验用户名密码通过之后,生成sessonid并把sessionid和用户信息映射起来保存在服务器
  • 服务器将生成的sessionid返回给用户浏览器,浏览器将sessionid存入cookie
  • 此后用户对该网站发起的其他请求都将带上cookie中保存的sessionid
  • 服务端把用户传过来的sessionid和保存在服务器的sessionid做对比,如果服务器中有该sessionid则代表身份验证成功

这种方式存在以下几个问题:

  • 代码安全机制不完善,可能存在CSRF漏洞
  • 服务端需要保存sessionid与客户端传来的sessionid做对比,当服务器为集群多机的情况下,需要复制sessionid,在多台集群机器之间共享
  • 如果需要单点登入,则须将sess
最低0.47元/天 解锁文章
wsy-rock
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一位专科生面上网络安全的经验总结
jklbnm12的博客
07-07 2461
摘要 笔者作为网络安全的初识者,从求职者的角度总结了一点点关于渗透测试工程师求职面试的要点给即将毕业的大学生(实习生和应届生)予以参考,以便能更好更快地找到一份自己满意的工作。总结基于笔者本人的几次面试经历,都是自己投简历(广州的几家公司),没有校招。这里简单介绍一下:我自学web渗透和Android逆向半年有余,计算机网络专业的专科生,通过赛事接触web渗透,慢慢接触Android逆向,继而初识网络安全。没有什么值得吹嘘的事,O(∩_∩)O哈哈~,没事就学习研究。 现场面试准备 简历(打印3份以.
如何0基础自学网络安全技术,推荐一个非常稳的网络安全学习路线_网络安全入门学习路线(1)
m0_62673499的博客
04-12 696
为了帮助大家更好的学习Python,小给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以****************点击免费领取****************(如遇扫码问题,可以在评论区留言领取哦)~
网络安全】分享从零开始到入行网络安全工程师3年的经验总结
leah126的博客
01-09 1490
前面Web安全相关的攻击都是一些很多年的经典手法了,经过多年的发展已经相当成熟,相关的漏洞早已不如以前多,现在很多时候的攻击,都是依靠各种各样的第三方组件漏洞完成的,所以学习研究这些常见第三方组件的漏洞,一方面掌握这些攻击手法用于实战使用,另一方面触类旁通,对从事漏洞挖掘的工作也是非常有帮助的。随后引出更大的广域网、互联网,什么是网络通信协议,通信协议分层的问题,通过七层和四层模型快速建立起计算机网络的基础概念,各层协议的作用,分别有哪些协议,这些协议在当今的互联网具体是怎么应用的。
网络安全】分享从零开始到入行网络安全工程师3年的经验总结_网络安全工程师项目经验(5)
最新发布
2401_84239625的博客
05-02 28
*行为:**从程开始掌握,前端后端、通信协议、什么都学。**缺点:**花费时间太长、实际向安全过渡后可用到的关键知识并不多。很多安全函数知识甚至名词都不了解**行为:**疯狂搜索安全教程、加入各种小圈子,逢资源就下,逢视频就看,只要是黑客相关的。就算在考虑资源质量后的情况下,能学习到的知识点也非常分散,重复性极强。代码看不懂、讲解听不明白,一知半解的情况时而发生。在花费大量时间明白后,才发现这个视频讲的内容其实和自己看的其他知识点是一样的。
10年网安经验分享:一般人别瞎入网络安全行业
m0_71744960的博客
12-15 3776
很多小白刚开始的时候还没开始学会走就想着飞了,计算机功底都没学好就说要去渗透一个网站,要去学逆向破解一个APP,结果折腾了半天,技术书籍买了,视频教程也下载了,但是还没开始学,学了点皮毛就说太难了。觉得自己其实不太适合干这个,还是待在自己原来的行业比较好
网络安全没前途?8年网安经验的大佬这样说
QIANDXX的博客
04-14 669
网络安全未来就业前景好不好?怎么快速就业?
RAID10与RAID5的区别比较,利用率与安全的取舍
09-15
RAID10与RAID5的区别比较,利用率与安全的取舍 RAID10和RAID5都是常用的磁盘阵列技术,但它们在安全性、空间利用率、读写性能等方面存在明显的差异。 安全性方面的比较 在安全性方面,RAID10的安全性高于RAID5。...
项目管理之于安全开发.pdf
08-07
如何避免安全开发成为压死骆驼的最后一根稻草,如何顺利的将安全开发有机的融入到现有研发流程体系之,这是我们即将要探讨的议题。 安全漏洞的源 漏洞解决的轨迹 安全开发方法不断形成 微软漏洞的比重逐步降低 SQL...
JAVA工程师个人简历项目经验范文模板.doc
11-24
本文档旨在总结了一名 JAVA 工程师在多个项目的经验,涵盖了国产间件参考实现、轻量级数据持久框架、基于门户系统的单点登录工具、可视化快递追踪分析平台等多个领域。这些项目经验展示了 JAVA 工程师在项目开发...
大型网络安全项目
04-13
本文档详细介绍大型网络安全项目,包括局域网安全介绍,DHCP snooping,天融信网络卫士入侵防御系统TopIDP部署
网络工程师个人简历实例
10-07
对于急需要写份简历去找工作的朋友有很大的帮助,望大家都有一个美好的未来。
项目经验1
08-08
项目经验1
网络安全教育不在网络迷失.pptx
06-09
2017年网络安全教育 主题班会 2017.9.18 网络安全教育不在网络迷失全文共35页,当前为第1页。 随着现代科技的不断进步,电脑的普及。网络越来越成为人们日常生活不可缺少的工具。 网络安全教育不在网络迷失...
网络安全技术》-教学大纲-(修改).doc
06-18
在实施过程,教师根据学生的入门技能、学习时间与实验条件等实际情况,做出适当的教学与实践内容的取舍与调整。 五、课程教学评价 课程教学评价将根据学生的学习过程和最终考核结果进行。学生需要完成所有的教学...
网络安全经历总结
夜行者~@
01-07 1888
前天晚上,电脑突然半夜自动播放,电脑此时是待机状态,笔记本显示器已经盖住,当时觉得是电源的原因导致系统不正常,视频自动播放了(我用的是linux系统,视频在网页上看的电视剧,当时已经暂停),最后再仔细总结了一下,还有两种原因没总结进去,1、wifi,2、蓝牙; 我电脑的wifi一直是开着的,如果碰到新的wifi会自动连接的,所以这种情况最容易发生,因为我电脑ssh,telnet协议是开着的,虽然...
网络安全的学习方向和路线是怎么样的?
MachineGunJoe666
09-29 6209
大家好,我是周杰伦! 最近有同学问我,网络安全的学习路线是怎么样的? 废话不多说,先上一张图镇楼,看看网络安全有哪些方向,它们之间有什么关系和区别,各自需要学习哪些东西。 在这个圈子技术门类,工作岗位主要有以下三个方向: 安全研发 安全研究:二进制方向 安全研究:网络渗透方向 下面逐一说明一下。 下面的卡片可以免费领取网络安全相关的学习资料,帮助大家在学习的过程少走弯路: 【你要的网络安全知识,戳这里!!!】 ...
网络安全求职该怎么写简历?
热门推荐
一个安全研究员
03-23 1万+
金三银四,金三银四 之前在学校里投简历的时候其实对这句话的感受还不是特别深 直到最近看到身边的人一个个跑路,才不得不感叹,三四月份人员流动是真的大 不知道大家有没有留心观察,最近各大企业对安全人才的招聘也多了起来 就包括我们公司也在努力地招人 这不前段时间我帮团队发了个招聘贴嘛,也终于第一次看到如此多同行的简历 然后就发现一些小伙伴儿好像还不太注意修饰自己的简历,写得有些草率啊 然后现在不正好是招聘旺季嘛,也算是来凑凑热闹,来和大家聊聊我心目一份合格的简历是啥样式儿的 说不定还可以帮到一些在校的朋友们,岂
BP神经网络分类损失函数的取舍
05-21
BP神经网络分类问题的损失函数一般选择交叉熵损失函数。交叉熵损失函数可以度量模型输出的概率分布与真实标签概率分布之间的差异,是一种常用的分类损失函数。 在实际应用,有时可以根据实际情况选择其他的损失...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值