网站的安全架构

网站应用攻击与防御

xss攻击

存储型 反射型

  • 消毒
  • httponly 避免窃取cookie

注入攻击

容易发生

  • 开源
  • 错误回显
  • 盲注

防御

  • 消毒
  • 参数绑定

csrf 攻击 跨站点请求伪造

利用cookie或者服务器session盗取用户身份
防范

  • 表单token
  • 验证码
  • referer check

其它攻击手段

  • error code
  • 注释
  • 文件上传
  • 路径遍历 web应用防火墙 mode security
    扫描工具

信息加密技术以及秘钥管理工具

单向散列加密

对称加密

非对称加密

签名 是私钥加密公钥解密

密钥安全管理

  • salt
  • 独立部署
  • 分片维护

信息过滤与反垃圾

  • 文本匹配 trie算法
  • 分类算法 贝叶斯算法
  • 黑名单

电子商务风险控制

风险

  • 账户风险
  • 买家风险
  • 卖家风险
  • 交易风险

风控

  • 规则引擎 一定规则则触发

统计模型

训练之后 发现相似则触发

posted @ 2017-09-19 10:17  爱你爱自己  阅读(231)  评论(0编辑  收藏  举报