CSRF 攻击API 设计Redis微服务框架| Chat · 预告
Posted 架构之心
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CSRF 攻击API 设计Redis微服务框架| Chat · 预告相关的知识,希望对你有一定的参考价值。
1
Web 安全:CSRF 攻击深入浅出
作者简介:
蓬蒿,白帽子,信安从业者。2013-2016某杭州信息安全院安全研发部负责人,负责《网站安全监测服务平台》(Web漏洞、敏感词、挂马、暗链等)的架构、设计与实现,熟悉常见 web 漏洞的渗透方式与防御方式。
现为某财税平台的安全团队负责人,负责业务安全开发、安全体系建设、业务风控、API Gateway 等工作。熟悉常见 dubbo、hsf、spring cloud 等分布式服务架构设计与开发,有兴趣可带上简历。
Chat 简介:
CSRF(XSRF)中文名为跨站请求伪造,OWASP Top 10 常见 web 漏洞之一。与 XSS 不同的是,其攻击形式为:用户首先登录一正常网站(Normal Website),正常网站向用户浏览器响应 cookie 信息,此时用户还保持在会话连接状态未对登录状态进行注销。
默认情况下,用户关闭浏览器则 cookie 信息将被清除,不过可以通过修改 Cookie 的 expires 属性来设置其有效期。
然后用户又打开浏览器另一标签页(tab)访问了一个恶意网站(Malicious Website),Malicious Website 会自动构造指向 Normal Website 的恶意 HTTP 请求(增删改您的重要信息)。
在实际项目开发工作中,除了一些资深开发工程师,大部分程序员对 CSRF 的认识是有很大局限性的,究其原因主要还是对其具体攻击形式与原理理解还不够深入。
CSRF 攻击形式其实很简单,正因为它的简单反而容易被人忽视,因此它的危害非常巨大。本场 Chat 我将分享:
CSRF 原理
CSRF 攻击方式(案列分析)
CSRF 防御方式(前后端分离场景下)
CSRF 的 Token 安全性分析
CSRF 与 XSS 的区别
长按扫码报名
2
让你在 API 设计中少踩坑的实战分享
作者简介:
Chat 简介:
在项目开发中,实际的编码只占用了整个项目不到 30% 的时间,更多的时间都耗在了需求分析与接口设计上。
每一次的需求变更就可能涉及到多个 API 的修改,那么 API 设计书作为项目开发的核心文档,如何才能让前端和移动端开发人员更快的理解参数的意义和作用、适应版本更新,以及保障数据的安全性呢?本场 Chat 将从以下几个方面进行分析说明:
API 设计文档的规范,要怎么写清晰明了
API 如何命名
如何做好 API 的版本控制,如何应部分 API 版本更新
如何防止数据被篡改
token 方式的优缺点以及优化
JWT 加密方式的使用场景
为何推荐在过滤器层做权限校验,以及如何使用 shiro 作为权限校验
为何不推荐使用拦截器
权限拦截的白名单规则
长按扫码报名
3
如何基于 Redis 构建应用程序组件
作者简介:
阿福,于电商行业的一家独角兽公司任职,专注于代码,热衷于分享
Chat 简介:
Redis 是一个基于内存的开源存储系统,能够用作数据库、缓存和消息中间件。Redis 支持 5 种不同类型的数据结构:字符串、链表、集合、散列表、有序集合,并且为不同的数据结构提供了不同的命令,而这正是 Redis 能够解决诸多问题的关键因素之一。
本场 Chat 将主要讲述如何通过 Redis 构建常用的应用程序组件,包括:
计数器
日志记录 & 统计分析
分布式锁
信号量
消息队列
配置中心
此外,若读者对于 Redis 的数据结构和命令没有多少了解,本文亦将予以进行概述,并阐述 Redis 对于事务的支持。
后续还将推出 Redis 的进阶分享,重点阐述:Redis 持久化、分布式扩展、内存优化及 “存储过程”。
长按扫码报名
4
如何零基础搭建一套微服务框架
作者简介:
大闲人柴毛毛,上过舞台、演过话剧、拍过微电影、拉过小提琴的支付宝后端开发
Chat 简介:
你将学到什么?本场 Chat 将以原理+实战的方式,首先对“微服务”相关的概念进行知识点扫盲,然后开始手把手教你搭建这一整套的微服务系统。
这套微服务框架能干啥?
微服务架构
你的整个应用程序将会被拆分成一个个功能独立的子系统,独立运行,系统与系统之间通过 RPC 接口通信。这样这些系统之间的耦合度大大降低,你的系统将非常容易扩展,团队协作效率提升了N个档次。这种架构通过眼下流行的 SpringBoot 和阿里巴巴吊炸天的 Dubbo 框架来实现。
容器化部署
你的各个微服务将采用目前正处于浪潮之巅的 Docker 来实现容器化部署,避免一切因环境引起的各种问题,让你们团队的全部精力集中在业务开发上。
自动化构建
项目被微服务化后,各个服务之间的关系错中复杂,打包构建的工作量相当可怕。不过没关系,本文将借助Jenkins,帮助你一键自动化部署,从此你便告别了加班。
长按扫码报名
以上是关于CSRF 攻击API 设计Redis微服务框架| Chat · 预告的主要内容,如果未能解决你的问题,请参考以下文章