《大型网站技术架构:核心原理与案例分析》-- 读书笔记 (2) : 大型网站核心架构要素(5) -- 安全性

1. 网站的攻击与防御

    1.1 XSS攻击

        防范:1)消毒 -- 对危险的HTLM进行转义

                2)对敏感信息的cookie添加httpOnly属性

    1.2 注入攻击

        防范: 1)过滤请求参数可能注入的sql

                 2)对参数进行预编译

    1.3 CSRF攻击

        防范:1)表单Token

                2)验证码

                3)Referer Check -- HTTP请求头中的Referer域中记录了请求来源。很多网站的图片防盗链功能就是用此实现的

    1.4 Web应用防火墙

        ModSecurity 能够统一拦截请求,过滤恶意参数,自动消毒,添加Token,并且能够根据最新攻击和漏洞情报,不断升级对策。

2. 信息加密技术及密钥安全管理

    2.1 单向散列加密 -- MD5、SHA

    2.2 对称加密 -- DES算法、RC算法

    2.3 非对称加密 -- RSA算法

3. 信息过滤与反垃圾

    3.1 文本匹配 -- 双数组Trie算法

    3.2 分类算法 -- 贝叶斯分类算法-->TAN算法-->ARCS算法

    3.3 黑名单 -- 布隆过滤器

4. 电子商务风险控制

    4.1 风险 -- 账户风险、买家风险、卖家风险、交易风险

    4.2 风控 -- 规则引擎、统计模型

 

posted @ 2017-05-03 20:35  一剑侵心  阅读(160)  评论(0编辑  收藏  举报