网站应用攻击与防御
xss攻击
存储型 反射型
- 消毒
- httponly 避免窃取cookie
注入攻击
容易发生
- 开源
- 错误回显
- 盲注
防御
- 消毒
- 参数绑定
csrf 攻击 跨站点请求伪造
利用cookie或者服务器session盗取用户身份
防范
- 表单token
- 验证码
- referer check
其它攻击手段
- error code
- 注释
- 文件上传
- 路径遍历 web应用防火墙 mode security
扫描工具
信息加密技术以及秘钥管理工具
单向散列加密
对称加密
非对称加密
签名 是私钥加密公钥解密
密钥安全管理
- salt
- 独立部署
- 分片维护
信息过滤与反垃圾
- 文本匹配 trie算法
- 分类算法 贝叶斯算法
- 黑名单
电子商务风险控制
风险
- 账户风险
- 买家风险
- 卖家风险
- 交易风险
风控
- 规则引擎 一定规则则触发
统计模型
训练之后 发现相似则触发