《大型网站技术架构——核心原理与案例分析》读书笔记
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了《大型网站技术架构——核心原理与案例分析》读书笔记相关的知识,希望对你有一定的参考价值。
第八章 网站的安全性架构
一、网站攻击与预防
1. XSS攻击
(1)攻击方法:
反射型:攻击者诱导用户点击一个包含恶意脚本的链接
持久型:黑客提交含有恶意脚本的请求,并保存到了数据库,用户浏览网页时恶意脚本被包含到正常的页面中
(2)防止手段:
请求参数消毒:对请求中的特殊字符转义
HttpOnly:对于敏感信息Cookie,可以设置HttpOnly来禁止js脚本获取Cookie。
2. 注入攻击
(1)攻击方法:
SQL注入:
OS注入:
(2)防止手段:
避免泄露表结构:
请求参数消毒:
使用预编译SQL绑定参数
3. CSRF(Cross Site Request Forgery)跨站请求伪造
(1)攻击方法
利用浏览器Cookie和服务器Session盗用用户身份
(2)防止手段:
表单token
验证码:用户体验差,仅在必要的时候使用
Referer检查:
4. 路径遍历攻击
(1)攻击方法
攻击者使用相对目录,遍历尚未发布的资源。
(2)防止手段
JS\CSS等静态资源部署在独立的服务器,使用独立的域名,其他文件不使用静态URL访问动态参数不包含文件路径。
5. 其他攻击和防御
(1)配置错误跳转页面,并且任何页面不要打印异常信息,避免黑客恶意窥探系统信息。
(2)发布前去除html注释
(3)上传的文件类型设置白名单,避免上传可执行程序
(4)使用Web应用防火墙
(5)不定期对网站进行安全漏洞扫描
二、信息加密和密钥管理
1. 使用单向散列加密加盐算法防止彩虹表破解
2. 使用非对称加密传输密钥,使用对称加密加密大批量数据
3. 密钥管理:
(1)密钥和算法放到一个独立的服务器上提供加解密服务,但成本高,而且可能成为系统性能瓶颈
(2)加密算法在应用服务器,但密钥分片存储在多个服务器
三、信息过滤与反垃圾
1. 使用文本匹配算法过滤敏感词,算法有正则表达式匹配,双数组Trie、多级Hash表等,必要时需要先对原信息降噪处理。
2. 使用分类算法过滤广告贴和垃圾邮件
3. 使用黑名单过滤垃圾邮件和信息去重
四、电子商务风险控制
1. 风险
账户风险:如账户盗用,恶意注册
买家风险:如黄牛,良品拒收
卖家风险:如虚假发货,炒作信用
交易风险:银行卡盗刷,洗钱套现等
2. 风控
机器自动风控和人工审核结合,机器自动风控的主要手段有规则引擎和统计模型两种。规则引擎将业务规则和规则处理分开,业务规则可配置,但规则较多时,容易出现规则冲突,难以维护。统计模型:基于机器学习和数据挖掘分类算法,经过充分训练的统计模型,实时性更好,并具有一定的预测性。
五、思维导图
来自:http://www.cnblogs.com/edisonchou/p/3874334.html
本文出自 “自强不息,厚德载物” 博客,请务必保留此出处http://wangzhichao.blog.51cto.com/2643325/1744374
以上是关于《大型网站技术架构——核心原理与案例分析》读书笔记的主要内容,如果未能解决你的问题,请参考以下文章