【第 11 周】安全稳定

用户头像
云龙
关注
发布于: 2020 年 12 月 06 日

安全架构



  • XXS攻击

  • 方式:

  • 



  • 防御手段:

  • 过滤和消毒: 对危险字符进行转义

  • SQL注入攻击

  • 方式:

  • 

  • 防御手段

  • 消毒: 通过正则匹配,过滤请求数据中可能注入的SQL文

  • SQL预编译参数绑定

  • CSRF攻击:

  • 方式:

  • 防御手段:

  • 表单中增加token,通过token验证

  • 关键页面可以通过验证码来验证

  • referer check: http请求头的Referer域中记录请求头来源, 通过请求来源验证合法性

  • 其他需要关注的攻击和漏洞:

  • 错误回显

  • HTML注释

  • 文件上传

  • 路径遍历



  • 信息加密技术

  • 单向散列加密

  • 对称加密

  • 非对称加密

  • 密钥安全管理与加解密服务系统

  • 

  • 反垃圾邮件

  • 

  • 布隆过滤器黑名单

  • 电子商务风险控制



高可用系统的度量



  • 可用性指标

  • 网站年度可用性指标=(1-网站不可用时间/年度总时间)×100%

  • 网站不可用时间(故障时间)=故障修复时间点-故障发现(报告)时间点

  • 引起故障的原因

  • 硬件故障

  • 软件bug

  • 系统发布

  • 并发压力

  • 网络攻击

  • 外部灾害



高可用系统的架构

  • 解耦

  • 高内聚、低耦合的组件设计原则

  • 面向对象基本设计原则

  • 面向对象设计模式

  • 领域驱动设计建模

  • 隔离

  • 业务与子系统隔离

  • 微服务与中台架构

  • 生产者消费者隔离

  • 虚拟机与容器隔离

  • 异步

  • 多线程编程

  • 反应式编程

  • 异步通信网络编程

  • 事件驱动异步架构

  • 备份

  • 集群设计

  • 数据库复制

  • CAP 原理

  • 失效转移

  • 数据库主主失效转移

  • 负载均衡失效转移

  • 设计无状态的服务

  • 幂等

  • 事务补偿

  • 通过执行业务逻辑逆操作,使事务回滚到事务前状态

  • 重试

  • 熔断

  • 限流

  • 降级

  • 异地多活



高可用系统运维



  • 发布

  • 自动化测试

  • 自动化部署

  • 持续部署

  • 持续集成

  • 持续交付

  • 持续部署

  • 预发布验证

  • 代码版本控制

  • 自动化发布

  • 灰度发布

  • 网站运行监控

  • 监控数据采集

  • 用户行为日志收集

  • 服务器性能监控

  • 监控管理



用户头像

云龙

关注

还未添加个人签名 2018.03.30 加入

还未添加个人简介

评论

发布
暂无评论
【第11周】安全稳定