架构师训练营 week11 - 学习总结
安全架构
常见的攻击方式:
1.XSS攻击:
通过在请求中嵌入恶意脚本达到攻击的目的
预防措施:对用户输入的内容进行过滤和消毒处理,即对某些HTML危险字符进行转义。
2.SQL注入攻击
开源软件,直接可以获取公开的数据库结构。
如果网站开启错误回显,攻击者故意构造非法参数,导致服务器异常信息输出到浏览器端。
盲注:攻击者根据页面变化情况判断SQL语句的执行情况来猜测数据库表结构
预防措施:(1)对请求参数消毒,通过正则匹配,过滤请求数据中可能注入的SQL文
(2) SQL预编译参数绑定。
3.CSRF攻击
CSRF、重放攻击 的原理本质上都是一样的,恶意用户通过伪造表单请求、或者重复提交表单请求。
预防措施:(1)表单Token验证,阻止攻击者获得所有请求参数的可能。
(2)验证码:提交请求时,强制用户输入验证码
(3)Referer check: 验证HTTP请求头的referer域中的请求来源
4.其他
ErrCode回显、
Html注释、
文件上传攻击、
路径遍历攻击
其他防护手段
除了以上漏洞本身相对于的防护手段外,还有一些其他防护手段,比如:
利用开源的软防火墙如:Modsecurity 进行相应的安全过滤。
如果特有钱可以用阿里、腾讯、网易提供的云安全服务。
安全加解密
信息加密解密及密钥管理:
单向散列算法:常用作登陆密码验证
对称加密
非对称加密
高可用
引起系统故障的原因:
硬件故障
系统bug
系统发布升级
并发
外部网络攻击
其他
应对故障的策略也有很多:解耦、隔离、异步、备份、失败转移、幂等、事务补偿、重试、熔断、降级、限流、异地多活
高可用的系统运维工作同样不可忽视,而是重中之重。包括发布、验证、灰度、集成、监控、日志采集等。
评论