摘要:
1,在上传图片的时候,有些图片可能是木马文件,后缀改成了图片的后缀名。。。需要判断文件流,是否是图片 阅读全文
摘要:
黑客使用抓包工具分析Http请求,在忘记密码找回时,需要发送一套短信验证码,如果验证码数字比较短的话,很容易使用暴力破解方式攻击破。 防御手段: 忘记密码验证码最好在6-8位。 一旦频繁调用接口验证时,应该使用图形验证码拦截,防止机器模拟。 使用黑名单和白名单机制,防御攻击。 阅读全文
摘要:
1,CSRF (Cross Site Request Forgery, 跨站域请求伪造),也可以说是模拟请求。 2,黑客获取到了token 令牌,发送恶意模拟请求,攻击网站,防御方法可以参考api 接口幂等设计 3,防止伪造token,在一些特别需要注意的接口,如支付,转账等需要加上短信验证,或者人 阅读全文
摘要:
1,Api接口幂等设计,也就是要保证数据的唯一性,不允许有重复。 例如:rpc 远程调用,因为网络延迟,出现了调用了2次的情况。 表单连续点击,出现了重复提交。 接口暴露之后,会被模拟请求工具(Jemter等)进行攻击。 2,怎么样保证接口幂等设计呢? 可以使用Token方式,每次调用Api 接口( 阅读全文
摘要:
1,防盗链防止盗用自己服务上的东西。。。 2,XSS服务上有这么一张图: SatetyChain 服务上:<img src="http://127.0.0.1:8080/img/logo.PNG" alt=""> 直接把这张图片引用过来,属于盗图,怎么防止这种情况发生呢? 3,防盗链技术实现上面的需 阅读全文
摘要:
SQL注入:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作。在mybatis 中比较容易出现:${} 会发生sql 注入问题 #{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符,可以防止S 阅读全文
摘要:
1,XSS 攻击 因为浏览器默认支持脚本执行,提交表单时候,如果有脚本语言,可能就浏览器就直接执行了。 index.ftl: forward.ftl: controller: 当调用index 的方法,进入到index.ftl ,提交表单,进去到postIndex 的方法,找到forward 页面, 阅读全文
摘要:
1,传统架构访问服务器资源: www.aiyuesheng.com/page/logo.png 这是部署在服务器上的一张图片,因为服务器部署在上海,所以在上海或周边的人访问要稍微快一点,但是,若是云南,广州,因为受距离,网络传输等原因,访问的速度就可能慢很多。 2,通过CDN 加速 CDN:Cont 阅读全文