2019-11-28小公司,遭遇过一次30G 流量的ddos ,直接被机房叫去约谈,各种理由停我们的服务。
那次后,果断上云了。作者回复: 👍
2019-11-26这例子想当给劲了,没想到老师也去V2摸鱼。作者回复: :) V2 这张图是个巧合。我想找一张 HTTP 劫持的图片,搜了一些,大多数都不太适合,这张算是相对来说比较适合的。
2019-11-20XSS和CSRF都和身份有关系,前者是劫持了某个身份,后者是假冒了某个身份。而手工输入验证码实在鉴权之前发生的,一个验证码正确不能说明任何身份信息,只能说明在网站活动的实体是一个具有识别验证码的对象,这个对象可能是人。好像叫“图灵测试”还是什么来着。
提交信用卡信息,有两个方面需要考虑,一个是信息的保密性,这个应该要依靠加解密来实现;第二个是要实现不可抵赖性,即确保这个行为是真实的用户发出的真实的请求,即第一要防止XSS,即身份被冒用;第二要防止CSRF,即行为被仿造。像老师课里讲到的,利用TOKEN信息,这个TOKEN也可以来自永和的电子令牌或U盾,做到防抵赖等。
最后,用户也要验证服务提供者的身份,这就需要HTTPS了。但是如果DNS被劫持,确实不好办,最近我们另外一个项目遇到了这个问题,但是客户端也不支持HTTP-DNS。展开作者回复: 👍
2019-11-20这块刚好是欠缺的关于安全方面的。下面是对于今天2个问题的个人理解
1.短信验证:短信验证应当是防范了XSS攻击。
2.支付系统:多种攻击都应当要防范,支付可能是直接的网络密码支付或者密码支付;我觉得以下几种方式都要防御;XSS、SQL注入、DNS以及DDOS攻击。
如果可以的话希望老师可以适当补充这块的知识或书籍资料;其实在现在而言 ,这个大概是每个IT人员都应当有的常识。谢谢老师今天的分享,期待老师后续的分享。作者回复: 你讲的短信验证是验证码中的特殊一种,它不但能确定对方“是真实的”,而不是机器,还能验证对方的身份,它比普通的验证码要麻烦,但是可以防范更多的攻击方式,所以你可以多想一想,再补充。
对于扩展阅读,因为这篇已经有 4 条了,考虑接受程度和需要的时间成本,除非有我认为特别好的材料,一般就不再增加了。但是安全方面的学习材料互联网上很多,我相信你也可以找得到。