47-互联网安全架构-Web常用攻击手段之上传文件漏洞&忘记密码漏洞&其他漏洞

最新推荐文章于 2020-01-09 18:14:03 发布
最新推荐文章于 2020-01-09 18:14:03 发布
阅读量163 收藏 1
点赞数
分类专栏: 笔记 文章标签: 互联网安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43594483/article/details/102910285
版权

文章目录

1.忘记密码漏洞案例分析

使用短信验证码,在忘记密码短信找回中有一个短信验证码
破解思路(暴力破解):假设验证码为4位数字
使用java程序 HttpClient技术开启多线程技术调用找回密码接口 暴力破解生成
对应的4位数字以内验证码进行验证,如果一旦验证成成,破解ok
如何防止暴力破解找回密码?

  1. 找回验证码最好不要单纯全部是数字(数字+字母组合)
  2. 如果找回密码接口重试五次以上还是错误(出现图形验证码)
  3. 配置防止DDOS,限流,限制IP访问,黑名单和白名单
2.上传文件漏洞防御手段
  1. 如何防御上传文件漏洞(在上传图片的时候,一定要使用判断文件流方式确定它一定是一张图片,不要判断后缀)
  2. 静态资源与动态资源分开服务器执行(Nginx+Tomcat实现动静分离)
  3. 前端应该做后缀限制
3.Web常见攻击手段总结
  1. 你们项目安全架构是怎样的
    Web常见攻击手段与防御
    XSS、CSRF、上传漏洞、SQL注入、忘记密码漏洞、其他漏洞
  2. 如何保证接口幂等性
    使用令牌方式+图形验证码+限流
  3. 如何防止模拟请求|如果抓包分析到token
    图形验证码+如果在调用核心业务(支付转账、下单),最好使用短信验证码或者是人脸识别技术
4. 互联网API接口幂等设计
@Aspect
@Component
public class ExtApiAopIdempotent {
	@Autowired
	private RedisTokenUtils redisTokenUtils;

	@Pointcut("execution(public * com.itmayiedu.controller.*.*(..))")
	public void rlAop() {
	}

	@Around("rlAop()")
	public Object doBefore(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {
		MethodSignature signature = (MethodSignature) proceedingJoinPoint.getSignature();
		ExtApiIdempotent extApiIdempotent = signature.getMethod().getDeclaredAnnotation(ExtApiIdempotent.class);
		if (extApiIdempotent == null) {
			// 直接执行程序
			Object proceed = proceedingJoinPoint.proceed();
			return proceed;
		}
		// 代码步骤:
		// 1.获取令牌 存放在请求头中
		HttpServletRequest request = getRequest();
		String token = request.getHeader("token");
		if (StringUtils.isEmpty(token)) {
			response("参数错误!");
			return null;
		}
		// 2.判断令牌是否在缓存中有对应的令牌
		// 3.如何缓存没有该令牌的话,直接报错(请勿重复提交)
		// 4.如何缓存有该令牌的话,直接执行该业务逻辑
		// 5.执行完业务逻辑之后,直接删除该令牌。
		if (!redisTokenUtils.findToken(token)) {
			response("请勿重复提交!");
			return null;
		}
		Object proceed = proceedingJoinPoint.proceed();
		return proceed;
	}

	public HttpServletRequest getRequest() {
		ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
		HttpServletRequest request = attributes.getRequest();
		return request;
	}

	public void response(String msg) throws IOException {
		ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
		HttpServletResponse response = attributes.getResponse();
		response.setHeader("Content-type", "text/html;charset=UTF-8");
		PrintWriter writer = response.getWriter();
		try {
			writer.println(msg);
		} catch (Exception e) {

		} finally {
			writer.close();
		}

	}

}
老周老笨
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件的上传与下载三层架构
12-22
项目采用企业三层架构,和Ajax局部刷新技术,主要实现的功能是简单的单个项目的上传,主要以二进制流将数据保存到数据库,以及下载,主要适用于学习文件上传下载的初学者
互联网安全架构(3)-Web常用攻击手段上传文件漏洞&忘记密码漏洞&其他漏洞
红烧咸鱼的博客
10-22 137
忘记密码漏洞 黑客使用抓包工具分析Http请求,在忘记密码找回的时候,需要发送一套短信验证码,如果验证码的数字比较短的时候,很容易使用暴力破解的方式攻击 防御手段: (1)找回密码最好不要是单纯全部都是数字 (2)建议验证码用数字+其他字符混合 (3)如果找回密码接口重试5次以上还是错误,加上图形验证码,避免是机器 (4)配置防止DDOS,限流,限制IP访问,黑名单和白名单 在做值的传递的时候,...
WEB安全之忘记密码漏洞上传文件漏洞
枸杞泡茶的博客
10-27 241
忘记密码漏洞 黑客使用抓包工具分析Http请求,在忘记密码找回时,需要发送一套短信验证码,如果验证码数字比较短的话,很容易使用暴力破解方式攻击破。 例如说A网站有一个忘记密码的功能,此功能支持手机验证码修改密码,一旦我们知道忘记密码这个接口后,我们就可以使用程序循环模拟请求,如果验证码是四位数,我们就可以从0000到9999依次循环,暴力破解该验证码,已达到修改密码的目的. ...
互联网高并发系统下的安全认证架构设计
Java高级部落
05-12 1198

 
 
 
 
 
 
 使用的工具是Wireshark,这是一个网络封包分析软件,用于撷取网络封包,并尽可能显示出最为详细的...
Web应用安全开发规范-V2.0.doc
08-03
Web应用安全开发规范-V2.0》是针对Web应用安全开发的重要指南,旨在提供一套系统性的安全开发标准,防止常见的网络安全威胁。本规范详细涵盖了背景介绍、技术框架、使用对象、适用范围以及用词约定等多个方面,并...
信息安全_数据安全_First Do No Harm.pdf
08-22
**Web安全、漏洞管理、安全体系、安全测试和定向攻击**这些标签反映了当前信息技术安全领域的热点问题。Web安全涉及到保护Web应用程序和服务器免受黑客攻击漏洞管理则包括发现、分类和修复软件中的安全漏洞;安全...
计算机网络安全漏洞分析研究.pdf
09-20
TCP/IP协议是全球互联网通信的基础,它定义了数据包如何在网络上传输,但由于其设计上的缺陷,例如无法有效判断IP的真实来源,使得攻击者能够发起各种网络攻击,如网络监听、电子邮件攻击Web欺骗、IP电子欺骗以及...
信息安全_数据安全_How_to_Apply_a_Zero-Trust_Model_.pdf
08-22
挑战之一是安全网关过多,如Web网关、互联网/野生Web、SaaS、API、CASB、IaaS/私有云和SDP等。零信任模型推动了网关的融合,旨在统一保护Web应用、SaaS、工作负载/容器/无服务器架构,并通过Web安全和SDP保护传统...
浅析四种Web漏洞扫描技术.txt
02-22
其中,Web漏洞扫描是确保Web系统安全的重要措施之一。本文将详细介绍四种常用Web漏洞扫描技术及其原理。 #### 一、基于签名的扫描 **定义**:基于签名的扫描技术是最常见的一种Web漏洞扫描方式。它依赖于预设的...
大型电商架构亿级流量电商详情页系统实战-缓存架构+高可用服务架构+微服务架构(七)
weixin_43594483的博客
08-14 2424
文章目录八十九、高并发场景下恐怖的缓存雪崩现象以及导致系统全盘崩溃的后果九十、缓存雪崩的基于事前+事中+事后三个层次的完美解决方案九十一、基于hystrix完成对redis访问的资源隔离以避免缓存服务被拖垮 八十九、高并发场景下恐怖的缓存雪崩现象以及导致系统全盘崩溃的后果 缓存雪崩这种场景,缓存架构中非常重要的一个环节,应对缓存雪崩的解决方案,避免缓存雪崩的时候,造成整个系统崩溃,带来巨大的经济损...
大型电商架构亿级流量电商详情页系统实战-缓存架构+高可用服务架构+微服务架构(六)
weixin_43594483的博客
08-13 1369
文章目录七十五、深入理解hystrix的短路器执行原理以及模拟接口异常时的短路实验七十六、深入理解线程池隔离技术的设计原则以及动手实战接口限流实验七十七、基于timeout机制来为商品服务接口的调用超时提供安全保护七十八、基于hystrix的高可用分布式系统架构项目实战课程的总结七十九、基于request collapser请求合并技术进一步优化批量查询八十、hystirx的fail-fast与f...
React
weixin_43594483的博客
07-11 936
文章目录第一章、React介绍第一节、React介绍第二节、React脚手架、Yarn介绍 第一章、React介绍 第一节、React介绍 Facebook开源的一个JavaScript库 React结合生态库构成一个MV*框架 React特点 - Declarative(声明式编码) - Component-Based(组件化编码) - 高效的DOM Diff算法,最小化页面重绘 - 单向数据...
101- zookeeper-1
weixin_43594483的博客
01-09 780
文章目录分布式环境特点分布性并发性无序性分布式环境下面临的问题网络通信网络分区(脑裂)三态分布式事务中心化和去中心化经典的CAP/BASE理论CAPBASE初步认识zookeeperzookeeper是什么zookeeper能做什么zookeeper的特性顺序一致性原子性可靠性实时性zookeeper安装单机环境安装集群环境zookeeper中的一些概念数据模型节点特性会话WatcherACLzo...
CDN内容分发
weixin_43594483的博客
11-04 748
文章目录1. Web前端优化方案2. CDN加速部署整个原理3. CDN内容分发 1. Web前端优化方案 网站动静分离 动态资源和静态资源分别部署到不同的服务器上,使用nginx实现静态服务器, 因为nginx实现静态服务器访问速度比tomcat实现景台服务器访问效果好很多 使用浏览器缓存 客户端(浏览器)内置缓存技术,只要访问一次静态资源请求,都会缓存到本地,304状态码表示客户端缓存 ...
51-互联网API开放平台安全设计-接口安全加密传输对称加密与非对称加密
weixin_43594483的博客
11-05 589
文章目录1. URL特殊字符转码2. 为什么接口需要加密传输3. 对称加密4. 移动APP接口安全性设计 1. URL特殊字符转码 什么是URL转码 不管是以何种方式传递url时,如果要传递的url中包含特殊字符,如想要传递一个+,但是这个+会被url会被编码成空格,想要传递&,被url处理成分隔符。 尤其是当传递的url是经过Base64加密或者RSA加密后的,存在特殊字符时,这里的特殊...
52-互联网安全架构-互联网API开放平台安全设计-APIGateway-网关
weixin_43594483的博客
11-06 582
文章目录1.企业网关架构流程图2.API网关设计3.网关的应用场景4.Nginx实现网关5. rpc通讯架构原理6. zuul实现网关 1.企业网关架构流程图 zuul框架使用java语言编写,Nginx使用C语言写 nginx功能比zuul功能更加强大,Nginx实现反向代理功能比zuul要好 SpringCloud 注册中心,生产者消费者 断路器 zuul(网关) 分布式配置中心 Zuul框...
86-彻底解决分布式事务-集成LCN框架解决分布式事务
weixin_43594483的博客
11-08 377
文章目录1. LCN框架解决分布式事务原理_ 1. LCN框架解决分布式事务原理_ LCN客户端(发起方和参与方都必须要注册到事务协调者中)建立一个长连接 订单服务(发起方)调用库存服务接口(参与方)之前会向TxManager事务协调者创建一个事务分组id 订单服务(发起方)调用库存服务接口(参与方)的时候,会在请求头中存放该事务的分组id给库存服务 如果库存服务获取到请求头中对应的事务分组id...
49-互联网安全架构-互联网API开放平台安全设计-基于AccessToken方式实现API设计
weixin_43594483的博客
11-05 375
文章目录1. 互联网API开放平台安全设计概述2. 编写拦截器拦截请求,验证accessToken 1. 互联网API开放平台安全设计概述 需求:现在A公司与B公司进行合作,B公司需要调用A公司开放的外网接口获取数据, 如何保证外网开放接口安全性。 搭建API网关控制接口访问权限 开放平台设计oauth2.0协议(安全认证) 采用https加密传输协议 API接口数字签名 基于令牌方式实现API...
100-分布式日志收集-ELK
weixin_43594483的博客
11-13 365
文章目录1. Elasticsearch版本控制2. 9200与9300的区别3. 倒排索引 1. Elasticsearch版本控制 索引(Index) ⇒ 类型(type) ⇒ 文档(Docments) ⇒ 字段(Fields) 1.为什么要进行版本控制 为了保证数据再多线程操作下的准确性 2.悲观锁和乐观锁 悲观锁:假设会发生并发冲突,屏蔽一切可能违反数据准确性的操作 悲观锁:假设不...
Web应用安全:从WAF到WAAP的演变与API攻击挑战
"Web应用安全正经历从传统的WAF(Web应用防火墙)向WAAP(Web应用程序和API保护)的转变,以应对日益严峻的网络安全挑战,包括API攻击、复杂的爬虫攻击以及DDoS攻击的增加。Akamai作为全球知名的安全防御提供商,其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值