- 博客(6)
- 收藏
- 关注
RSS订阅原创 安全攻防六:SQL注入,明明设置了强密码,为什么还会被别人登录
在正文之前,让我们先来看一个案例。某天,当你在查看应用的管理后台时,发现有很多异常的操作。接着,你很快反应过来了,这应该是黑客成功登录了管理员账户。于是,你立刻找到管理员,责问他是不是设置了弱密码。管理员很无辜地表示,自己的密码非常复杂,不可能泄漏,但是为了安全起见,他还是立即修改了当前的密码。奇怪的是,第二天,黑客还是能够继续登录管理员账号。问题来了,黑客究竟是怎么做到的呢?你觉得这里面的问题究...
2020-04-11 10:54:38
1317
原创 安全攻防五:XSS,当你“被发送”了一条微博时,到底发生了什么
在前面的文章中,我们重点讲解了安全的一些基础知识,更多地是从宏观的层面上来谈论安全。但安全不是一个靠宏观指导就能够落地的东西。因此,接下来会结合真实案例中的各种安全问题,来介绍具体的安全防护手段和工具。今天,我们就先从最基础的 Web 安全开始。在 Web 安全这个模块中,我们所谈论的 Web,是指所有基于 HTTP 或者其他超文本传输协议(RPC 等)开发的应用,包括:网页、App、API ...
2020-04-10 09:15:36
459
原创 安全攻防四:访问控制,如何选取一个合适的数据保护方案
文末会有一份重点内容梳理图送给大家,是针对这几篇文章的内容!本文主要介绍几种常见授权机制的概念和原理,以及在实际工作中我们该如何去选取合适的保护机制。这些通用的机制看起来可能比较抽象,但“磨刀不误砍柴工”,理解了宏观上的知识基础,对我们以后学习各类具体的防御机制会有很大的帮助。其次我个人认为,“授权”和“访问控制”其实是同一个概念,都是允许或者禁止某个用户做某件事情。现在行业内普遍用“访问控制...
2020-04-09 17:14:57
845
原创 企业级安全攻防三:身份认证,只有账号密码吗?
本文开始前,我门可以先思考一下:除了账号密码,我们还能怎么做身份认证?我们前面详细讲解了密码学的三种算法:高效安全的对称加密算法,解决密钥分发难题的非对称加密算法,以及提供单向加密的散列算法。如果在面试中,在表达了你对密码学清晰的理解之后,面试官开始相信你具备安全方面的基础知识了。于是,他准备和你探讨一下安全落地的细节。基于你之前提出的“黄金法则”,面试官问道:“黄金法则的认证(Authent...
2020-04-08 12:12:05
1157
1
原创 企业级安全攻防2:密码学基础
在安全原则里面我们说了黄金法则的三部分核心内容:认证、授权、审计。它们描述了用户在使用应用的各个环节,我们需要采取的安全策略。在掌握了黄金法则之后,你就能以在安全发展规划上的宏观能力,赢得面试官的认可。接下来,他想考验一下你对安全具体知识的理解,以此来判断你能否将安全发展落地。于是,他问了一个非常基础的问题:你懂加解密吗?可以说,密码学是“黄金法则”的基础技术支撑。失去了密码学的保护,任何认证...
2020-04-07 16:22:43
461
1
原创 安全攻防1:安全的本质和安全原则
安全是什么?首先,我们来看,安全是什么?当你所在的企业内网被入侵,数据被窃取之后,你也许能知道,是某个业务漏洞导致黑客能够进入内网,但你是否意识到,数据安全保护机制上同样产生了问题?类似这种的问题有很多。当我们遇到某一个特定的攻击或者安全问题时,往往看到的都是表象的影响,而能否找到根本原因并进行修复,才是安全投入的关键。任何应用最本质的东西其实都是数据。用户使用产品的过程,就是在和企业进行数...
2020-04-07 00:39:31
1287
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人