CSRF 攻击API 设计Redis微服务框架| Chat · 预告

Posted 架构之心

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CSRF 攻击API 设计Redis微服务框架| Chat · 预告相关的知识,希望对你有一定的参考价值。

1

Web 安全:CSRF 攻击深入浅出

作者简介:

蓬蒿,白帽子,信安从业者。2013-2016某杭州信息安全院安全研发部负责人,负责《网站安全监测服务平台》(Web漏洞、敏感词、挂马、暗链等)的架构、设计与实现,熟悉常见 web 漏洞的渗透方式与防御方式。

现为某财税平台的安全团队负责人,负责业务安全开发、安全体系建设、业务风控、API Gateway 等工作。熟悉常见 dubbo、hsf、spring cloud 等分布式服务架构设计与开发,有兴趣可带上简历。

Chat 简介:

CSRF(XSRF)中文名为跨站请求伪造,OWASP Top 10 常见 web 漏洞之一。与 XSS 不同的是,其攻击形式为:用户首先登录一正常网站(Normal Website),正常网站向用户浏览器响应 cookie 信息,此时用户还保持在会话连接状态未对登录状态进行注销。

默认情况下,用户关闭浏览器则 cookie 信息将被清除,不过可以通过修改 Cookie 的 expires 属性来设置其有效期。

然后用户又打开浏览器另一标签页(tab)访问了一个恶意网站(Malicious Website),Malicious Website 会自动构造指向 Normal Website 的恶意 HTTP 请求(增删改您的重要信息)。

在实际项目开发工作中,除了一些资深开发工程师,大部分程序员对 CSRF 的认识是有很大局限性的,究其原因主要还是对其具体攻击形式与原理理解还不够深入。

CSRF 攻击形式其实很简单,正因为它的简单反而容易被人忽视,因此它的危害非常巨大。本场 Chat 我将分享:

  1. CSRF 原理

  2. CSRF 攻击方式(案列分析)

  3. CSRF 防御方式(前后端分离场景下)

  4. CSRF 的 Token 安全性分析

  5. CSRF 与 XSS 的区别

长按扫码报名


2

让你在 API 设计中少踩坑的实战分享

作者简介:

Chat 简介:

在项目开发中,实际的编码只占用了整个项目不到 30% 的时间,更多的时间都耗在了需求分析与接口设计上。

每一次的需求变更就可能涉及到多个 API 的修改,那么 API 设计书作为项目开发的核心文档,如何才能让前端和移动端开发人员更快的理解参数的意义和作用、适应版本更新,以及保障数据的安全性呢?本场 Chat 将从以下几个方面进行分析说明:

  1. API 设计文档的规范,要怎么写清晰明了

  2. API 如何命名

  3. 如何做好 API 的版本控制,如何应部分 API 版本更新

  4. 如何防止数据被篡改

  5. token 方式的优缺点以及优化

  6. JWT 加密方式的使用场景

  7. 为何推荐在过滤器层做权限校验,以及如何使用 shiro 作为权限校验

  8. 为何不推荐使用拦截器

  9. 权限拦截的白名单规则

长按扫码报名

【CSRF 攻击】【API 设计】【Redis】【微服务框架】| Chat · 预告



3

如何基于 Redis 构建应用程序组件

作者简介:

阿福,于电商行业的一家独角兽公司任职,专注于代码,热衷于分享

Chat 简介:

Redis 是一个基于内存的开源存储系统,能够用作数据库、缓存和消息中间件。Redis 支持 5 种不同类型的数据结构:字符串、链表、集合、散列表、有序集合,并且为不同的数据结构提供了不同的命令,而这正是 Redis 能够解决诸多问题的关键因素之一。

本场 Chat 将主要讲述如何通过 Redis 构建常用的应用程序组件,包括:

  1. 计数器

  2. 日志记录 & 统计分析

  3. 分布式锁

  4. 信号量

  5. 消息队列

  6. 配置中心

此外,若读者对于 Redis 的数据结构和命令没有多少了解,本文亦将予以进行概述,并阐述 Redis 对于事务的支持。

后续还将推出 Redis 的进阶分享,重点阐述:Redis 持久化、分布式扩展、内存优化及 “存储过程”。

长按扫码报名


4

如何零基础搭建一套微服务框架

作者简介:

大闲人柴毛毛,上过舞台、演过话剧、拍过微电影、拉过小提琴的支付宝后端开发

Chat 简介:

你将学到什么?本场 Chat 将以原理+实战的方式,首先对“微服务”相关的概念进行知识点扫盲,然后开始手把手教你搭建这一整套的微服务系统。

这套微服务框架能干啥?

  • 微服务架构

    你的整个应用程序将会被拆分成一个个功能独立的子系统,独立运行,系统与系统之间通过 RPC 接口通信。这样这些系统之间的耦合度大大降低,你的系统将非常容易扩展,团队协作效率提升了N个档次。这种架构通过眼下流行的 SpringBoot 和阿里巴巴吊炸天的 Dubbo 框架来实现。

  • 容器化部署

    你的各个微服务将采用目前正处于浪潮之巅的 Docker 来实现容器化部署,避免一切因环境引起的各种问题,让你们团队的全部精力集中在业务开发上。

  • 自动化构建

    项目被微服务化后,各个服务之间的关系错中复杂,打包构建的工作量相当可怕。不过没关系,本文将借助Jenkins,帮助你一键自动化部署,从此你便告别了加班。

长按扫码报名


以上是关于CSRF 攻击API 设计Redis微服务框架| Chat · 预告的主要内容,如果未能解决你的问题,请参考以下文章

新浪微博 CSRF & ClickJacking 蠕虫

web安全与性能优化(web 攻击)

Spring Cloud微服务架构实现+Guava缓存+redis+数据库设计+微服务原理改造房产销售

精华汇总

Spring-Security对CSRF攻击的支持

Spring Cloud Zuul微服务网关的API限流