网站的核心要素之安全性篇

从互联网开始发展的那一天,安全问题一直伴随在其左右,世界各地每时每刻不停地上演着各种web攻击和信息泄露。

一、道高一尺魔高一丈的网站攻击与防御

1、攻击

a、XSS攻击

b、CSRF攻击

c、SQL注入

2、防御

a、Web防火墙

b、网站安全漏洞扫描

二、信息加密技术

1、hash散列加密

通过对不同长度的信息进行计算,得出对应长度的输出。为了防止“彩虹表”,所以一般情况,都会撒盐。

特点:输入信息任何微小的变化都会导致解密结果不同。加密结果不可逆,所以不怕“拖库”。

常见:MD5、SHA

2、对称加密

所谓对称加密是指,加密和解密使用同一个秘钥。

特点:算法简单,加密/解密效率高,适合大量数据的加密。缺点是使用同一个秘钥,远程通信秘钥的传输是一个大麻烦,可参考:Https的实现原理

常见:DES、RC

3、非对称加密

加密者准备一对秘钥(一个叫做公钥、一个叫做私钥),公钥是通过私钥计算出来的,单反过来不行,感兴趣的可以百度具体的数学算法。加密者把自己的公钥公开出去,私钥自己保留。公钥加密的信息只能用私钥才能解开,反之,私钥加密的信息也只能用公钥才能解开。

特点:麻烦(看起来都麻烦,又是私钥又是公钥的,远程通信还得考虑如何传送公钥),在实际应用中可能会更加复杂化(比如单项对称加密、双向对称加密)可参考:Https的实现原理

常见:RSA

三、信息过滤与反垃圾

1、文本匹配

2、分类算法

3、黑名单

四、电商的风险与风控

1、风险

账户风险:被盗、恶意注册。

买家风险:同行恶意下单占用库存、黄牛利用促销抢购商品、欺诈退款、良品拒收等

卖家风险:虚假发货、虚假描述、炒作信用、违禁违法商品等等

支付风险:盗刷、违禁链接、洗钱等

2、风控

a、规则引擎方式:

当满足某些指标的时候,认定为“风险交易”。比如用户来自于“诈骗高发地区”,交易金额超限,登录地址差距太大,登录地址与收货地址大区域不符合等等。

网站前期可以采用if...else...来处理。但是随着业务不断发展,代码量,风险种类量越来越多的时候,处理起来就很麻烦了。所以我们通常把“风险验证”整个模块拿出来,单独开发一个系统,叫做“规则引擎”。我们可以在规则引擎后台进行风控规则管理。对外提供“验证风险”的接口 让 应用业务调用,返回风控验证结果。

这种方式优点缺点都很明显:比如理解性好,方便管理,技术好实现。但也有缺点,规则越来越多,验证方式就会越来越麻烦。

 

b、统计模型方式:

待...

 

结语

世界上没有绝对的安全,就像没有绝对的只有一样。网站的相对安全是提高攻击者门槛,让他们进行攻击的时候,付出更多的带价,比如时间成本等等,让他们感觉得不偿失,望而却步。

评论 (2) -

  • 你的首页主题样式要改一下,根本看不清哇。。。。太暗了
    • 可以,回头闲了写个换肤的小功能,那种能切换出大美女当背景的~~

添加评论

Loading