安全

web 安全

XSS

• 《xss攻击原理与解决方法》

CSRF

• 《CSRF原理及防范》

SQL 注入

• 《SQL注入》

Hash Dos

• 《邪恶的JAVA HASH DOS攻击》
  • 利用JsonObjet 上传大Json，JsonObject 底层使用HashMap；不同的数据产生相同的hash值，使得构建Hash速度变慢，耗尽CPU。
• 《一种高级的DoS攻击-Hash碰撞攻击》
• 《关于Hash Collision DoS漏洞：解析与解决方案》

脚本注入

• 《上传文件漏洞原理及防范》

漏洞扫描工具

• 《DVWA》
• W3af
• OpenVAS详解

验证码

• 《验证码原理分析及实现》
• 《详解滑动验证码的实现原理》
  • 滑动验证码是根据人在滑动滑块的响应时间，拖拽速度，时间，位置，轨迹，重试次数等来评估风险。
• 《淘宝滑动验证码研究》

DDoS 防范

• 《学习手册：DDoS的攻击方式及防御手段》
• 《免费DDoS攻击测试工具大合集》

用户隐私信息保护

1. 用户密码非明文保存，加动态salt。
2. 身份证号，手机号如果要显示，用 “*” 替代部分字符。
3. 联系方式在的显示与否由用户自己控制。
4. TODO

• 《个人隐私包括哪些》
• 《在互联网上，隐私的范围包括哪些？》
• 《用户密码保存》

序列化漏洞

• 《Lib之过？Java反序列化漏洞通用利用分析》

加密解密

对称加密

• 《常见对称加密算法》
  • DES、3DES、Blowfish、AES
  • DES 采用 56位秘钥，Blowfish 采用1到448位变长秘钥，AES 128，192和256位长度的秘钥。
  • DES 秘钥太短（只有56位）算法目前已经被 AES 取代，并且 AES 有硬件加速，性能很好。

哈希算法

• 《常用的哈希算法》
  • MD5 和 SHA-1 已经不再安全，已被弃用。
  • 目前 SHA-256 是比较安全的。
• 《基于Hash摘要签名的公网URL签名验证设计方案》

非对称加密

• 《常见非对称加密算法》

  • RSA、DSA、ECDSA(螺旋曲线加密算法)

  • 和 RSA 不同的是 DSA 仅能用于数字签名，不能进行数据加密解密，其安全性和RSA相当，但其性能要比RSA快。

  • 256位的ECC秘钥的安全性等同于3072位的RSA秘钥。

    《区块链的加密技术》

服务器安全

• 《Linux强化论：15步打造一个安全的Linux服务器》

数据安全

数据备份

TODO

网络隔离

内外网分离

TODO

登录跳板机

在内外环境中通过跳板机登录到线上主机。

• 《搭建简易堡垒机》

授权、认证

RBAC

• 《基于组织角色的权限设计》
• 《权限系统与RBAC模型概述》
• 《Spring整合Shiro做权限控制模块详细案例分析》

OAuth2.0

• 《理解OAuth 2.0》
• 《一张图搞定OAuth2.0》

双因素认证（2FA）

2FA - Two-factor authentication，用于加强登录验证

常用做法是 登录密码 + 手机验证码（或者令牌Key，类似于与网银的 USB key）

• 【《双因素认证（2FA）教程》】(http://www.ruanyifeng.com/blog/2017/11/2fa-tutorial.html)

单点登录(SSO)

• 《单点登录原理与简单实现》
• CAS单点登录框架

• Previous
  技术博客-大数据
• Next
  技术博客-并发并行