.md .pdf

Contents

4.13. 安全

4.13.1. web 安全

XSS

• 《xss攻击原理与解决方法》

CSRF

• 《CSRF原理及防范》

SQL 注入

• 《SQL注入》

Hash Dos

• 《邪恶的JAVA HASH DOS攻击》

  • 利用JsonObject 上传大Json，JsonObject 底层使用HashMap；不同的数据产生相同的hash值，使得构建Hash速度变慢，耗尽CPU。

• 《一种高级的DoS攻击-Hash碰撞攻击》

• 《关于Hash Collision DoS漏洞：解析与解决方案》

脚本注入

• 《上传文件漏洞原理及防范》

漏洞扫描工具

• 《DVWA》

• W3af

• OpenVAS详解

验证码

• 《验证码原理分析及实现》

• 《详解滑动验证码的实现原理》

  • 滑动验证码是根据人在滑动滑块的响应时间，拖拽速度，时间，位置，轨迹，重试次数等来评估风险。

• 《淘宝滑动验证码研究》

4.13.2. DDoS 防范

• 《学习手册：DDoS的攻击方式及防御手段》

• 《免费DDoS攻击测试工具大合集》

4.13.3. 用户隐私信息保护

1. 用户密码非明文保存，加动态salt。

2. 身份证号，手机号如果要显示，用 “*” 替代部分字符。

3. 联系方式在的显示与否由用户自己控制。

4. TODO

• 《个人隐私包括哪些》

• 《在互联网上，隐私的范围包括哪些？》

• 《用户密码保存》

4.13.4. 序列化漏洞

• 《Lib之过？Java反序列化漏洞通用利用分析》

4.13.5. 加密解密

对称加密

• 《常见对称加密算法》

  • DES、3DES、Blowfish、AES

  • DES 采用 56位秘钥，Blowfish 采用1到448位变长秘钥，AES 128，192和256位长度的秘钥。

  • DES 秘钥太短（只有56位）算法目前已经被 AES 取代，并且 AES 有硬件加速，性能很好。

哈希算法

• 《常用的哈希算法》

  • MD5 和 SHA-1 已经不再安全，已被弃用。

  • 目前 SHA-256 是比较安全的。

• 《基于Hash摘要签名的公网URL签名验证设计方案》

非对称加密

• 《常见非对称加密算法》

  • RSA、DSA、ECDSA(螺旋曲线加密算法)

  • 和 RSA 不同的是 DSA 仅能用于数字签名，不能进行数据加密解密，其安全性和RSA相当，但其性能要比RSA快。

  • 256位的ECC秘钥的安全性等同于3072位的RSA秘钥。

    《区块链的加密技术》

4.13.6. 服务器安全

• 《Linux强化论：15步打造一个安全的Linux服务器》

4.13.7. 数据安全

数据备份

TODO

4.13.8. 网络隔离

内外网分离

TODO

登录跳板机

在内外环境中通过跳板机登录到线上主机。

• 《搭建简易堡垒机》

4.13.9. 授权、认证

• 授权认证知识库

RBAC

• 《基于组织角色的权限设计》

• 《权限系统与RBAC模型概述》

• 《Spring整合Shiro做权限控制模块详细案例分析》

OAuth2.0

• 《理解OAuth 2.0》

• 《一张图搞定OAuth2.0》

OIDC

• 理解 OIDC

SAML

• 理解 SAML

双因素认证（2FA）

2FA - Two-factor authentication，用于加强登录验证

常用做法是 登录密码 + 手机验证码（或者令牌Key，类似于与网银的 USB key）

• 【《双因素认证（2FA）教程》】(http://www.ruanyifeng.com/blog/2017/11/2fa-tutorial.html)

单点登录(SSO)

• 《单点登录原理与简单实现》

• CAS单点登录框架

• 使用 Authing 实现单点登录

previous

4.12. 大数据

next

4.14. 常用开源框架