架构第十一周总结
常见架构安全问题
SQL注入
SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。
csrf(跨站请求伪造)攻击
CSRF(Cross-site request forgery):跨站请求伪造。利用用户对网站的信任
方法一: Token 验证:(1)服务器发送给客户端一个token;(2)客户端提交的表单中带着这个token。(3)如果这个 token 不合法,那么服务器拒绝这个请求。
方法二:隐藏令牌:把 token 隐藏在 http 的 head头中。 方法三: Referer 验证:Referer 指的是页面请求来源。意思是,只接受本站的请求,服务器才做响应;如果不是,就拦截。
xss(跨站脚本)攻击
不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击
是向网站 注入 JS代码,然后执行 JS 里的代码,达到篡改网站的内容目的。
安全架构
安全架构包含哪些方面
权限控制
信息加密及秘钥管理
设置web防火墙
网站漏洞扫描
规则引擎
高可用架构度量
度量指标
业界通常用多少个9来衡量网站的可用性,如 QQ 的可用性是4个9,即 QQ 服务99.99%可用,这意味着 QQ 服务要保证其在所有运行时间中,只有0.01%的时间不可用,也就是一年中大约53分钟不可用。网站年度可用性指标=(1-网站不可用时间/年度总时间)×100%。网站不可用时间(故障时间)=故障修复时间点-故障发现(报告)时间点。
评论