《大型网站技术架构:核心原理与案例分析》-- 读书笔记 (2) : 大型网站核心架构要素(5) -- 安全性
1. 网站的攻击与防御
1.1 XSS攻击
防范:1)消毒 -- 对危险的HTLM进行转义
2)对敏感信息的cookie添加httpOnly属性
1.2 注入攻击
防范: 1)过滤请求参数可能注入的sql
2)对参数进行预编译
1.3 CSRF攻击
防范:1)表单Token
2)验证码
3)Referer Check -- HTTP请求头中的Referer域中记录了请求来源。很多网站的图片防盗链功能就是用此实现的
1.4 Web应用防火墙
ModSecurity 能够统一拦截请求,过滤恶意参数,自动消毒,添加Token,并且能够根据最新攻击和漏洞情报,不断升级对策。
2. 信息加密技术及密钥安全管理
2.1 单向散列加密 -- MD5、SHA
2.2 对称加密 -- DES算法、RC算法
2.3 非对称加密 -- RSA算法
3. 信息过滤与反垃圾
3.1 文本匹配 -- 双数组Trie算法
3.2 分类算法 -- 贝叶斯分类算法-->TAN算法-->ARCS算法
3.3 黑名单 -- 布隆过滤器
4. 电子商务风险控制
4.1 风险 -- 账户风险、买家风险、卖家风险、交易风险
4.2 风控 -- 规则引擎、统计模型