8 固若金湯:網站的安全架構
8.1 道高一尺魔高一丈的網站應用攻擊與防禦
8.1.1 XSS攻擊
8.1.2 注入攻擊
8.1.3 CSRF攻擊
8.1.4 其他攻擊和漏調
- Error Code
- HTML註釋
- 文件上傳
- 路徑遍歷
8.1.5 Web應用防火牆
ModSecurity
8.1.6 網站安全漏洞掃描
8.2 信息加密技術及密鑰安全管理
通常,爲了保護網站的敏感數據,應用需要對信息進行加密處理,信息加密技術可分爲三類:單向散列加密、對稱加密和非對稱加密
8.2.1 單向散列加密
單向散列加密是指通過對不同輸入長度的信息進行散列計算,得到固定長度的輸出,這個散列計算過程是單向的,即不能對固定長度的輸出進行計算從而獲得輸入信息。
常見的單向散列算法有MD5、SHA等。
8.2.2 對稱加密
所謂對稱加密是指加密和解密使用的密鑰是同一個密鑰。
對稱加密的常用算法有DES算法、RC算法等。
8.2.3 非對稱加密
非對稱加密和解密使用的密鑰不是同一密鑰,其中一個對外界公開,被稱作公鑰,另一個只有所有者知道,被稱爲私鑰。用公鑰加密的信息必須用私鑰才能解開,反之,用私鑰加密的信息只有公鑰才能解開。
非對稱加密的常用算法有RSA算法等。
8.2.4 密鑰安全管理
前述的幾種加密技術,能夠達到安全保密效果的一個重要前提是密鑰的安全。
實踐中,改善密鑰安全性的手段有兩種。
一種方案是把密鑰和算法放在一個獨立的服務器上,甚至做成一個專用的硬件設施,對外提供加密和解密服務,應用系統通過調用這個服務,實現數據的加密和解密。
另一種方案是將加密解密算法放在應用系統中,密鑰放在獨立服務器中,爲了提供密鑰的安全性,實際存儲時,密鑰被切分成數片,加密後分別保存在不同的存儲介質中,兼顧密鑰安全性的同時又改善性能。
8.3 信息過濾與反垃圾
8.3.1 文本匹配
8.3.2 分類算法
8.3.3 黑名單
8.4 電子商務風險控制
8.4.1 風險
- 賬戶風險
- 買家風險
- 賣家風險
- 交易風險
8.4.2 風控
- 規則引擎
- 統計模型