一、网站应用攻击与防御
(1)XSS攻击:恶意注入HTML脚本
防御方式:消毒(转码)、httpOnly(禁止js访问带有httpOnly属性的cookie)
(2)注入攻击:SQL注入和OS注入。
防御方式;错误回显关闭、参数绑定(让注入SQL预编译为参数)。
(3)CSRF攻击:跨域请求,核心是利用浏览器Cookie或服务器session策略,盗取用户信息。
防御方式:表单Token验证、验证码、Referer check(验证身份来源,大多数用于图片被盗用)
(4)其他攻击和漏洞
错误回显、HTML注释、文件上传(上传了可执行程序)、路径遍历(使用相对路径)。
(5)web应用防火墙:拦截请求、过滤恶意参数、自动消毒、添加Token。
如:ModSecurity、HiHTTPS、GOODWAF、Cloudflare。
(6)网站安全漏洞扫描
二、信息加密技术及密钥安全管理
信息加密技术:
(1)单向散列加密:单向计算,不能回显原始值。防止彩虹表(崇勇密码和对应的蜜文关系表)手段破解,应给散列算法加入密钥,增加破解难度。
(2)对称加密:算法简单、加密解密效率高,系统开销小,适合对大量数据加密。缺点是加密解密使用同一个密钥,交换或更换密钥是个难题。
(3)非对称加密:共钥对外公开,私钥所有者保存。共钥加密的信息必须用私钥才能解开,反之,私钥加密的信息只有共钥才能解开。
应用场景:信息安全传输,数字签名等。
密钥安全管理:
(1)硬件管理(U盾)
(2)密钥分片放在不同的服务器上,不同管理者管理其中一个机器。
三、信息过滤与反垃圾
文本匹配:Trie树算法、多级Hash进行匹配;多数要进行文本降噪处理。
分类算法(信息分类):贝叶斯分类算法、ARCS算法。
黑名单:布隆过滤器
四、电子商务风险控制
风险:账户风险、买家风险、卖家风险、交易风险。
风控:规则引擎、统计模型。