《大型网站技术架构》-读书笔记七：安全架构

一、网站应用攻击与防御

　　1、XSS攻击

　　（1）跨站点脚本攻击

　　

　　　　1）反射型：攻击者诱使用户点击一个嵌入恶意脚本的连接，达到攻击的目的。

　　　　2）持久型：黑客提交含有恶意脚本的请求，保存在被攻击的web站点数据库中，用户浏览网页时，恶意脚本被包含在

　　　　　正常页面中，达到攻击的目的。

　　（2）防御手段

　　　　1）消毒：对输入文本过滤和消毒

　　　　2）HttpOnly:

　　　　

　　2、注入攻击

　　（1）SQL注入攻击：SQL注入攻击需要攻击者对数据库有所了解才能进行，攻击者获取数据库表结构信息的手段有如下几种：

　　　　1）开源

　　　　2）错误回显

　　　　3）盲注

　　（2）防御方式：

　　　　1）消毒过滤

　　　　2）参数绑定

　　3、CSRF攻击

　　（1）跨站点请求伪造：核心是利用浏览器cookie或服务器的session策略，盗取用户身份。

　　（2）防御手段：识别请求者身份

　　　　1）表单Token

　　　　

　　　　2）验证码

　　　　3）Referer check

　　　　

　　4、其他攻击和漏洞

　　　（1）ErrorCode

　　　（2）HTML注释

　　　（3）文件上传

　　　（4）路径遍历

　　5、web应用防火墙

　　

　　 

　　6、网站安全漏洞扫描

二、信息加密技术及秘钥安全管理

　　1、单项散列加密

　　

       

　　2、对称加密

　　

　　

　　3、非对称加密

　　

　　

　　

　　4、秘钥安全管理

三、信息过滤与反垃圾

　　1、文本匹配

　　

　　

 

 

　　2、分类算法

　　

      

　　3、黑名单

　　（1）Hash表

　　（2）布隆过滤器

四、电子商务风险控制：交易安全是电子商务的底线

　　1、风险

　　

　　2、风控：机器自动风控的技术手段有规则引擎和统计模型