随笔分类 -  互联网安全架构

摘要:1,Https 协议,超文本安全传输协议,通俗的说就是更加安全的http协议。因为http 协议是明文的,所以不安全,容易被抓包工具抓包,篡改数据 2,Https 协议,Http + SSL SSL:安全套接字(Secure Socket Layer,SSL)协议是Web浏览器与Web服务器之间安全 阅读全文
posted @ 2019-08-01 19:02 Chris,Cai 阅读(587) 评论(0) 推荐(0) 编辑
摘要:1,https://github.com/Netflix/zuul zuul 网关文档 2,什么是网关 网关就是客户端进行访问的时候,先经过网关服务器,再由网关服务器进行转发到真实的服务器。类似于Nginx Nginx也可以搭建网关,但是由于Nginx是C语言开发的,在网关上添加一些功能比较麻烦。 阅读全文
posted @ 2019-08-01 17:35 Chris,Cai 阅读(331) 评论(0) 推荐(0) 编辑
摘要:1,案例 1 分钱买带电脑。购买电脑,在调用支付接口之前,利用类似Fiddler等抓包工具,定位到支付接口,将参数(金额)修改为0.01元。结果是:电脑购买成功,一个月之后成功入狱。 2,怎么避免让别人用抓包工具修改参数呢? 基于token 方式隐藏参数。 3,代码实现 阅读全文
posted @ 2019-08-01 11:11 Chris,Cai 阅读(5269) 评论(1) 推荐(0) 编辑
摘要:1,非对称加密: 会生成一对密钥,公钥和私钥,公钥可以加密解密,私钥也可以加密解密 2,过程: 3,优点:难破解 缺点: 加密速度慢 常用算法: RSA、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法) 阅读全文
posted @ 2019-08-01 10:06 Chris,Cai 阅读(386) 评论(0) 推荐(0) 编辑
摘要:1,对称加密 对称密码技术:发件人和收件人使用其共同拥有的单个密钥 ,这种密钥既用于加密,也用于解密,叫做机密密钥(也称为对称密钥或会话密钥)。 2,常见的对称式加密技术 DES(数据加密标准):分组式加密,算法源于Lucifer,作为NIST对称式加密标准;64位(有效位56位、校验8位),分组算 阅读全文
posted @ 2019-08-01 09:33 Chris,Cai 阅读(961) 评论(0) 推荐(0) 编辑
摘要:单向散列函数一般用于产生消息摘要,密钥加密等,常见的有:1、MD5(Message Digest Algorithm 5):是RSA数据安全公司开发的一种单向散列算法,非可逆,相同的明文产生相同的密文。2、SHA(Secure Hash Algorithm):可以对任意长度的数据运算生成一个160位 阅读全文
posted @ 2019-08-01 09:23 Chris,Cai 阅读(394) 评论(0) 推荐(0) 编辑
摘要:1,简介OAuth http://www.ruanyifeng.com/blog/2019/04/oauth_design.html OAuth 是什么? http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html OAuth的四种授权 阅读全文
posted @ 2019-07-30 17:42 Chris,Cai 阅读(2766) 评论(0) 推荐(0) 编辑
摘要:不管是以何种方式传递url时,如果要传递的url中包含特殊字符,如想要传递一个+,但是这个+会被url会被编码成空格,想要传递&,被url处理成分隔符。 尤其是当传递的url是经过Base64加密或者RSA加密后的,存在特殊字符时,这里的特殊字符一旦被url处理,就不是原先你加密的结果了。 url特 阅读全文
posted @ 2019-07-30 15:51 Chris,Cai 阅读(3571) 评论(0) 推荐(0) 编辑
摘要:1.需求:现在A公司与B公司进行合作,B公司需要调用A公司开放的外网接口获取数据,如何保证外网开放接口的安全性? 2,使用令牌方式 比如支付宝对外提供支付的接口,爱乐生公司需要调用支付宝的接口。在爱乐生调用支付宝接口的时候,支付宝进行过滤器拦截,查看参数中的accessToken信息,是否能在red 阅读全文
posted @ 2019-07-30 15:23 Chris,Cai 阅读(2563) 评论(0) 推荐(0) 编辑
摘要:1,在上传图片的时候,有些图片可能是木马文件,后缀改成了图片的后缀名。。。需要判断文件流,是否是图片 阅读全文
posted @ 2019-07-29 21:52 Chris,Cai 阅读(284) 评论(0) 推荐(0) 编辑
摘要:黑客使用抓包工具分析Http请求,在忘记密码找回时,需要发送一套短信验证码,如果验证码数字比较短的话,很容易使用暴力破解方式攻击破。 防御手段: 忘记密码验证码最好在6-8位。 一旦频繁调用接口验证时,应该使用图形验证码拦截,防止机器模拟。 使用黑名单和白名单机制,防御攻击。 阅读全文
posted @ 2019-07-29 21:46 Chris,Cai 阅读(313) 评论(0) 推荐(0) 编辑
摘要:1,CSRF (Cross Site Request Forgery, 跨站域请求伪造),也可以说是模拟请求。 2,黑客获取到了token 令牌,发送恶意模拟请求,攻击网站,防御方法可以参考api 接口幂等设计 3,防止伪造token,在一些特别需要注意的接口,如支付,转账等需要加上短信验证,或者人 阅读全文
posted @ 2019-07-29 21:43 Chris,Cai 阅读(238) 评论(0) 推荐(0) 编辑
摘要:1,Api接口幂等设计,也就是要保证数据的唯一性,不允许有重复。 例如:rpc 远程调用,因为网络延迟,出现了调用了2次的情况。 表单连续点击,出现了重复提交。 接口暴露之后,会被模拟请求工具(Jemter等)进行攻击。 2,怎么样保证接口幂等设计呢? 可以使用Token方式,每次调用Api 接口( 阅读全文
posted @ 2019-07-29 21:36 Chris,Cai 阅读(1040) 评论(0) 推荐(0) 编辑
摘要:1,防盗链防止盗用自己服务上的东西。。。 2,XSS服务上有这么一张图: SatetyChain 服务上:<img src="http://127.0.0.1:8080/img/logo.PNG" alt=""> 直接把这张图片引用过来,属于盗图,怎么防止这种情况发生呢? 3,防盗链技术实现上面的需 阅读全文
posted @ 2019-07-29 18:51 Chris,Cai 阅读(483) 评论(0) 推荐(0) 编辑
摘要:SQL注入:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作。在mybatis 中比较容易出现:${} 会发生sql 注入问题 #{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符,可以防止S 阅读全文
posted @ 2019-07-29 16:59 Chris,Cai 阅读(271) 评论(0) 推荐(0) 编辑
摘要:1,XSS 攻击 因为浏览器默认支持脚本执行,提交表单时候,如果有脚本语言,可能就浏览器就直接执行了。 index.ftl: forward.ftl: controller: 当调用index 的方法,进入到index.ftl ,提交表单,进去到postIndex 的方法,找到forward 页面, 阅读全文
posted @ 2019-07-29 14:56 Chris,Cai 阅读(531) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示