一、网站应用攻击与防御
1、XSS攻击
(1)跨站点脚本攻击
1)反射型:攻击者诱使用户点击一个嵌入恶意脚本的连接,达到攻击的目的。
2)持久型:黑客提交含有恶意脚本的请求,保存在被攻击的web站点数据库中,用户浏览网页时,恶意脚本被包含在
正常页面中,达到攻击的目的。
(2)防御手段
1)消毒:对输入文本过滤和消毒
2)HttpOnly:
2、注入攻击
(1)SQL注入攻击:SQL注入攻击需要攻击者对数据库有所了解才能进行,攻击者获取数据库表结构信息的手段有如下几种:
1)开源
2)错误回显
3)盲注
(2)防御方式:
1)消毒过滤
2)参数绑定
3、CSRF攻击
(1)跨站点请求伪造:核心是利用浏览器cookie或服务器的session策略,盗取用户身份。
(2)防御手段:识别请求者身份
1)表单Token
2)验证码
3)Referer check
4、其他攻击和漏洞
(1)ErrorCode
(2)HTML注释
(3)文件上传
(4)路径遍历
5、web应用防火墙
6、网站安全漏洞扫描
二、信息加密技术及秘钥安全管理
1、单项散列加密
2、对称加密
3、非对称加密
4、秘钥安全管理
三、信息过滤与反垃圾
1、文本匹配
2、分类算法
3、黑名单
(1)Hash表
(2)布隆过滤器
四、电子商务风险控制:交易安全是电子商务的底线
1、风险
2、风控:机器自动风控的技术手段有规则引擎和统计模型