《大型网站技术架构——核心原理与案例分析》读书笔记

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了《大型网站技术架构——核心原理与案例分析》读书笔记相关的知识,希望对你有一定的参考价值。

第八章 网站的安全性架构


一、网站攻击与预防

  1. XSS攻击

  (1)攻击方法:

  反射型:攻击者诱导用户点击一个包含恶意脚本的链接

  持久型:黑客提交含有恶意脚本的请求,并保存到了数据库,用户浏览网页时恶意脚本被包含到正常的页面中

  (2)防止手段:

  请求参数消毒:对请求中的特殊字符转义

  HttpOnly:对于敏感信息Cookie,可以设置HttpOnly来禁止js脚本获取Cookie。

  2. 注入攻击

  (1)攻击方法:

  SQL注入:

  OS注入:

  (2)防止手段:

  避免泄露表结构:

  请求参数消毒:

  使用预编译SQL绑定参数

  3. CSRF(Cross Site Request Forgery)跨站请求伪造

  (1)攻击方法

  利用浏览器Cookie和服务器Session盗用用户身份

  (2)防止手段:

  表单token

  验证码:用户体验差,仅在必要的时候使用

  Referer检查:

  4. 路径遍历攻击

  (1)攻击方法

  攻击者使用相对目录,遍历尚未发布的资源。

  (2)防止手段

  JS\CSS等静态资源部署在独立的服务器,使用独立的域名,其他文件不使用静态URL访问动态参数不包含文件路径。 

  5. 其他攻击和防御

  (1)配置错误跳转页面,并且任何页面不要打印异常信息,避免黑客恶意窥探系统信息。

  (2)发布前去除html注释

  (3)上传的文件类型设置白名单,避免上传可执行程序

  (4)使用Web应用防火墙

  (5)不定期对网站进行安全漏洞扫描


二、信息加密和密钥管理

  1. 使用单向散列加密加盐算法防止彩虹表破解

  2. 使用非对称加密传输密钥,使用对称加密加密大批量数据

  3. 密钥管理:

  (1)密钥和算法放到一个独立的服务器上提供加解密服务,但成本高,而且可能成为系统性能瓶颈

  (2)加密算法在应用服务器,但密钥分片存储在多个服务器


三、信息过滤与反垃圾

  1. 使用文本匹配算法过滤敏感词,算法有正则表达式匹配,双数组Trie、多级Hash表等,必要时需要先对原信息降噪处理。

  2. 使用分类算法过滤广告贴和垃圾邮件

  3. 使用黑名单过滤垃圾邮件和信息去重


四、电子商务风险控制

  1. 风险

  账户风险:如账户盗用,恶意注册

  买家风险:如黄牛,良品拒收

  卖家风险:如虚假发货,炒作信用

  交易风险:银行卡盗刷,洗钱套现等

  2. 风控

  机器自动风控和人工审核结合,机器自动风控的主要手段有规则引擎和统计模型两种。规则引擎将业务规则和规则处理分开,业务规则可配置,但规则较多时,容易出现规则冲突,难以维护。统计模型:基于机器学习和数据挖掘分类算法,经过充分训练的统计模型,实时性更好,并具有一定的预测性。


五、思维导图

来自:http://www.cnblogs.com/edisonchou/p/3874334.html

技术分享

技术分享

技术分享

技术分享


本文出自 “自强不息,厚德载物” 博客,请务必保留此出处http://wangzhichao.blog.51cto.com/2643325/1744374

以上是关于《大型网站技术架构——核心原理与案例分析》读书笔记的主要内容,如果未能解决你的问题,请参考以下文章

《大型网站技术架构:核心原理与案例分析》-- 读书笔记 : 大型网站核心架构要素 -- 性能

《大型网站技术架构——核心原理与案例分析》读书笔记

《大型网站技术架构——核心原理与案例分析》读书笔记

《大型网站技术架构 核心原理与案例分析》读书笔记

读书笔记:大型网站技术架构-核心原理与案例分析

读书笔记:大型网站技术架构-核心原理与案例分析