U盘PE| w764位旗舰版下载 | U盘装win7系统 | U盘启动 |win7pe | win10下载 |加入收藏土豆PE官网U盘PE,U盘装win7系统,win7pe,U盘启动,U盘装系统,w764位旗舰版下载站!
当前位置:主页 > 帮助中心 > 常见问题解答 >

概述典型安全关切和应对方案后方发展概况

来源:http://www.tudoupe.com时间:2021-11-17

前言

本报告借鉴了该公司在两年多的时间里参与团队后端的工作,以评估在创建的项目中发现的安全问题和解决办法。
我们的后端团队仍主要使用Sprin 添加图片描述技术。
目前, gBoot + Mysql + Redis 组合不包括 SpringBoot Cloud,其余部分主要基于小组现有的技术框架。
一般而言,人们可能更加注重业务一级的发展,随后认识到对产品的需求,同时忽视产品安全脆弱性的后果。
以下是过去发生的一些重大发展问题(具有高频率和严重影响)及其破坏性后果的清单:

安全问题 影响
操作系统、SpringBoot及相关服务 攻击者利用缺陷的变种进入服务器!
被ddos攻击 服务器仍然无法进入,影响到正常用户的使用。
弱口令密码 登录类型界面上的显示,以及 redis、 Mysql 和其他数据库的连接信息
短信接口以及文件消费界面下载被窃和刷刷。 这越来越普遍,短信被吞噬,下载流量被他人消耗,公司的钱也丢失了!
充值业务问题 这很重要,在公司成长的时候,我们必须谨慎行事,保重!
服务器带宽的溢流是一个问题的例子。 同被攻击的常见
22端口开放 重要港口和暴力裂缝应列入白名单!

因为互联网产品存在于互联网上,所以如果在设计开始时不将安全设计代码和服务器安全防护程序纳入创建程序,那一定是危险的。 请记住!
无论是自我研究还是模仿竞争对手, 越来越多的人在你上线后使用你的产品, 这一事实表明,你的产品越来越有价值 越来越有趣,越来越有趣, 特别是当老板说 你为我生产了这个产品的时候.. 有个竞争对手想吃这块肉, 也许有人要强奸你,
总之,你根本不知道 你建造的软件在哪里 突然出现安全漏洞, 如果攻击者发现, 有可能出现安全漏洞!
我们有一个基于一个过时版本的SpringBoot+Shiro框架的测试项目,例如,没有升级为最新的Shiro框架,而安全小组的测试发现,利用这一缺陷实现了服务器根访问。
CVE 2016-44337:阿帕奇 " 阿帕奇 " 长龙 " 执行命令缺陷的默认密钥

开发者不必担心在安全设计上浪费时间。 我和我的团队在过去两年里在公司建造的后端项目中遇到了许多安全困难(经验损失惨重 ), 因此,今天的总结基于上述内容,可以将生产错误的发生限制在一定水平上。
因此,本条的主要目标是防止在创建新项目时重犯以往的错误,将过去的一些传统处理方法编成每日发展守则,培养发展过程中的安全感,并保证每个接口的制作始终对每一行守则都有一定程度的安全和问责。

讨论如此之多,重要的是要为大家提供一个清晰的形象,然后是文本,它主要涉及分享经验和解决问题方案,涉及一些技术,其中一些技术根据特定公司的条件通过链接重复使用。
感谢那些能在这里看到你的 小小的合伙人,我很荣幸 如果后面有什么可以帮助你的, 如果有什么错误或建议, 请尽快联系我, 尽快和你谈谈!
对后端发展安全采取双管齐下的办法如下:

1 《发展安全设计准则》

一.1. 接口安全设计:

(1) 任何开放式接口建议均应经过适当程序。

先决条件:除了登录登记外,后台管理系统无疑需要进入基本的后台接口,特别是第三方开放的接口,这些接口将直接和公开提供!
救救
互联网上有许多优秀的博客,
重印链接 1: 为了保护您的界面不裸体运行, 打开 API 界面签名 。
链接2:API 安保接口安全设计(重印)
最好的部分是 公司有一个单一的参考点服务, 所有的界面都在这个服务中, 我们在一个单一的项目上做, 我正在做, 我们已经建了一个单一的点, 我们可以总结和分享它。

(2) 所有接口查询应采用流动办法。

我不确定你每天创建的界面是否被一起处理过。有些新的界面,有些新的界面,有些新的界面, 可能是一个基本和共同测试的界面, 特别是你创建的界面, 展示了某些问题。
我们不需要开发像宝藏那样高高的界面, 京都,我们只需要做一个满足实际商业界面需求(基于公司的业务)的界面, 我们需要做一些事情。
这里的洋流实际上与共存有关, 这里没有讨论高度同步的技术会谈。 它太大了。 让我们继续处理它们:
简单地说,你们的系统如何处理10次或10次以上的例行请求?
换句话说, 标准测试是您在一个服务器上有300个梳子的限值, 如果在一个特定的时间突然出现 30,601,00个梳子, 您如何处理?
以下是一个可以理解的基本例子:
如果在定义的X-核XG带宽设置中使用登录界面测试300个同时登录,如果突然将3,00个同时编辑出来,服务器将停止使用。
单一的物理机器总是有一个业绩指标门槛,但我们能做些什么来维持服务稳定性:接口限流量是一种计划。
面对访问量的快速激增,我们可以拒绝部分请求,确保服务器的稳定性 — — 类似摩托车设计的概念。 恶意请求也是如此,但这是一把双刃剑,其缺点是合法用户的请求被筛选。
接口限流的对象:

  • IP
  • 接口路径
  • 扩展至用户, 目标( 任务) 限制..

在我们的项目中,我们现在使用两个方案:

  1. 使用 SpringBoot 的截击器+redis 和注解:

我道歉,csdn。这篇文章是我们特别报导全球之声的一部分。 net/qq_22167989/article/ details/107341080。

  1. 我们使用 nginx 代理, 而 nginx 级别也可以执行一个转移程序 :

参考转载链接: https://www.cnblogs.com/xinzhao/p/11465297.html?utm_source=tuicool&utm_medium=referral

如果你有更好的策略,请分享!

(3) 充电模块接口设计

一个例子:
在创造全价值业务方面,我记得一位初级程序员同事(不是我)犯了一个常见错误:
业务函数是,在后台有一个充电按钮,当一个用户在充电按钮上选择和点击时,该数量被添加到用户,相应数额被降低。
这就像一个基本功能, 但它是一个银行收钱的例子, 假设我的余额是200个电汇, 常规程序是: 我拿了100美元, 我收到100美元, 我拿到100美元, 我拿到100美元, 我有一个接口来做商业逻辑 当我拿到钱,
这是真正的商业情景, 羊毛被别人粘了起来, 所以日志记录将用户行动的所有记录都归还给他, 最终纠正错误、锁、服务和目前的限制。
然后,他因此受到惩罚,并被处以罚款。
这里再举例一个反例,不要这么设计:比如 /api/recharge?userId=100&amount=100, 请求访问后就可以给用户id为100的用户充值100块,相信大家不会这么去设计接口,真这么设计怕是要着锤的,这么看也太不专业了,我觉得以后面试人可以增加这个充值接口方案设计题,真有人这么来搞就可以下一个了。

总结:
回归充值业务的设计,作为负责这块写代码的你可得打起十二分精神,特别是设计到钱的问题,头脑应该马上有一个安全意识,结合上面(1)(2)点的接口安全设计方案,我们也不说啥高大上的设计,该加锁的加,加事务,即使你的代码冗余,也要安全 > 性能!!!当然我不希望你做团队写代码最笨的人,要不断去优化自己的代码,去学习别人优秀的支付架构设计方案!(这个话也是对自己说的)
此外,对完整的价值也需要日志,问题在于分析在哪里得到支持。 在这里,我认为我还应该加强企业的开发程序,描述它,并学会创造进步!

一.2 利用第三方服务(接口)处理:

(1)短信接口

您如何在企业中设计包含文本、文件下载等内容的举措?
请允许我首先谈谈原文:
XX系统包括一个外部移动电话登记页,如果发送代码接口的结构如下:/api/getVerificationCodeByPhone?"Phone 号码:1234567890,标准用户登记需要一个接口来传输手机认证代码。
张三也知道,除了正式检查手机号码之外,别无其他设计,你在这里看到手机号码可能会觉得有趣。 当客户反馈一天不足时,上司打电话给休假的张三,调查正在发生的事情,他发现服务器的短信接口缺乏正确的平衡。
在文本信息界面设计方面:

  • 1. 参考上一段。 接口安全的设计
  • 增加发送验证码
  • 它不仅是电话号码格式, 也是数据库中的电话号码。

短信管理系统接口只是许多可比接口的一个例子,在使用之前必须填入这些接口。
谷歌翻译接口
百度地图API
邮箱发送验证接口
公司将使用的第三方证交单应同样对待!

(2)对象存储

“目标存储”一词是指使用 Ali Cloud 对象存储 OS 或 云 对象存储 OBS 或其他平台以类似的方式存储 OBS 或其他平台存储对象。 平台的使用应该让被利用的小伙伴看得很清楚, 他们可以理解与单个文件服务器分离, 以及您安装的 SpringBoot 服务器, 而文件的上传和下载将进入这个单独的文件服务器, 没有单一服务器集中所有 s
为什么要创建这个网站?在这种情况下,我提议建立一个由一位亲爱的朋友撰写的博客:开发大型网站架构。
我们的项目目前的结构相似(内鬼集群部署):
在这里插入图片描述

因为公司的业务涉及大量文件上载和下载, 所有服务器都会阴云化, 对象会以直截了当的方式存储, SDK 以相应的语言访问, 我们就能通过 API 上载和下载文件。
以下是使用问题:
问题1:保持客户手中的钥匙。
在开始时,有一个项目将最高权利钥匙放在客户身上,这显然是最危险的做法,客户已经公开,而具有特别反向能力的程序员可以通过转换APK获得钥匙,这相当于能够利用我们所有文件服务器的能力。
通过秘密密钥查阅所有文件,或列入任何类似删除的文件,是极其危险的,这个问题会立即从这个密钥中消失,并审查设计文件储存战略。
问题2:水桶的下载连接可供他人取用和使用。
构造一个对象文件夹, 只有一个选择, 桶保单: 开放或私有, 例如, 下图中的云 。
在这里插入图片描述

当我们建造一个鼓时,如果是打开的,上传下载链接可以立即进入,而且下载流量有可能被计费使用;如果有公开的文件,恶意攻击者可以得到开放文件的下载链接,并可能建造循环下载脚本,恶意消耗你的带宽,账户余额很快耗尽。
关于这一危险,考虑以下各点:

  1. 秘钥的保存
  • 密钥应该加密并保存在服务器上!
  • 永远也救不了客户!
  1. 桶应该由私人拥有,所有外部上载和下载都应经过仔细检查,频率应加以限制。

除非你比我有钱 尽量避免公共文件下载链接
在私人鼓的情况下,官方网络提供类似的API,可以根据文件路径为客户建立一个临时上传、下载和url计划:
我不确定你在说什么,哈威库鲁德。这篇文章是我们全球之声在线特别报导的一部分。com/sdk-java-devg-obs/bs_21_0901.html。
基于这一选择,1.1还配合设计一个接口,在服务结束时返回一个临时电流。
承认的目的和频率限制有若干种可能性:

  • 通过登录随时限制每个用户的下载量。
  • IP, 限制某些 IP 的下载次数, 更严格地限制 IP 登录后 的下载次数 。
  • 业务介质,同上
  • 等等

总的说来,思想权、尽量减少需求频率的必要性以及学会灵活,是设计思维的核心。

一.3 框架安全关切发展:

(1)版本问题

我们在后端开发中使用了以下技术:SpringBoot、Reis、Mysql、Shiro、nginx,等等,这些技术并非全部都包含在这里。文章开头强调的Shiro安全关切是典型的,即拥有杰出的安全专家,可以分析你所使用的应用程序、框架和版本,如果你没有专门的安保服务,你可以在自己的网站上阅读框架的适当版本。

  1. org. No, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no
  2. Aliyun或Yakami偶尔会宣布一些漏洞:

com/notice.com/notice.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.notic.com/notic.notic.com/notic.notic.com/notic.com/notic.notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/ nottic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.com/notic.
Aliun: https://help. com/I'm sorry, Aliyun。这篇文章是叙利亚2011年抗议活动的一部分。

  1. Jdk、Gitlab、Redis和Nginx等服务人员网络将有自己的虫子来修理信息。

如果您遇到与当前版本的框架有关的问题,请尽快更新,同时密切注意各组成部分的兼容性,以防止问题解决前出现的重大影响。

(2) 保存项目配置文件

以下描述 Yml 配置文件信息, 如 Springbout, 如数据库连接, 和 redis 连接的账户代码, 这表明它应该加密 。
第二,公司应该有自己的互联网Git服务器,不要向公众公布公司的项目,否则你可能会面临法律后果!
二.1 命令行加密(建议)办法

(3)秘钥的保存

“钥匙”一词指关键信息,如对象的钥匙和用于解码系统接口的公用钥匙。
我们的项目界面现在用参数加密, 服务器以内存保存密钥为基础, 精确的密钥计划在项目细节中不在此描述, 如果保存一个像样的计划, 您可以分享一些密钥!

1.4 弱口令密码

我敢肯定,每个人都创造了我的sql Reis等等, 我们经常用演示运行它 当我们建立它, 并使用密码123456, 然后你的服务器突然挖掘 地雷病毒, 或者 Mysql 的数据被清空。
此编码程序很容易被暴力破坏, 中间服务器完成, 大多数发行服务器首先验证您的密码 。
如果您不记得密码, 请尝试一个密码生成器或任何类似的东西 https:// 1password.org 。 本文是全球之声Online.com/zh- cn/password-generator/com/zh- cn/password-generator/com/zh- cn/password-generator/com/zh- cn/password-generator/com/zh- cn/password-generator/com/zh- cn/password-generator/com/zh- cn/password-generator 。
创建最安全的 Java 代码!

  1. Mysql 和 Redis 密码
  2. 你的服务器登录密码
  3. 后台管理系统的密码

2个服务器利用和安全保卫方案

(1) 创建服务器端口白列表

任何关键云端服务端口, 特别是22个只能从您的办公室 IP 进入, 应该被添加到白色列表中!

(2) 外部交通攻击,如拒绝服役(DDOS)攻击

了解DDOS

互联网上有很多关于 DDOS 攻击是什么的材料, 这里有一个重印 后端开发商应该知道, 所以点击 DDOS 攻击假设。
简短的版本是, 大量流量(数百 Gs 或更多)进入服务器, 使得服务器无法管理, 只要攻击持续,
只要该公司的项目仍在生产中,它们就基本上成为ddos(过于艰难)的目标。

高防服务器

最容易和最成功的选择是获取和安装高安全服务器,因为需要更多的资金。 现在不是考虑如何优化代码的时候。 它必须从外部处理。 市场上有许多高安全服务器,没有广告建议,小伙伴遭到袭击,不知道如何与我联系。
高安全服务器作为服务器的屏蔽;所有请求都通过高安全服务器处理,高安全服务器将请求解释为良好或有害,并传送到我们的源服务器。
高度安全后处理问题:

  • 如果您的公司有IP地址,您必须确定获取该地址的参数。

当然,拥有高安全服务器并不意味着你完全安全,山比山高,攻击流动超过防御性交通流动,你必须继续优化战术反应。

其他攻击

六个最普遍的网上安全漏洞是重印链接。

  • XSS(Cross-Site 脚本),通常称为备用脚本攻击
  • 典型的网络攻击是CSRF(Cross站点请求伪造),这是跨站点请求伪造。
  • SQL注入

除了ddos攻击外,日常的后台界面服务器也更加脆弱,如果本组织开发了一个基本框架模板(已经处理上述问题的危险),就没有必要关注这些关切。 毕竟,我们需要专注于业务发展。

(3) 使用域名,避免披露源服务器IP地址。

与第(2)点一起, ddos 攻击是由您的服务器的暴露引起的,即攻击者直接攻击源服务器,再加上使用域名避免暴露于您的源服务器IP的强大安全性。

摘要:当项目正式启动时,应评估 ddos 攻击的危险和反应,并应事先计划部署高度安全的服务器,以确保后续服务器的继续运行。

3 安全环境的增长

(1) 使用内联网安装服务

它主要用于开办中小型企业,对发展环境的控制很少,例如使用外联网Gitlab、Comb或GitHub来管理研发项目。
为何要创建内联网服务? 如前所述,服务存在缺陷和渗透的可能性。 比如,Gitlab的网站正在不断更新,而我们的团队目前是Gitlab,这是整个研发团队和本组织最宝贵的资产。

  • 首先,在互联网上公布项目代码很冒险!
  • 如果代码因公共网络或服务泄漏而泄漏,

虽然在内联网环境中泄漏的危险最小化,但管理人员还监督每个开发商的日常行为(人为因素)。
以下是内联网的服务和使用地点清单:

内网搭建 使用范围
Gitlab 管理项目代码仓库
禅道 项目管理

(2) 非窗口操作系统开发

由于Windows操作系统的普遍性和软件适当性(与Linux相比),大多数中小型公司研究和建设小组可能以Windows为基础,但Windows太“成熟”,无法以廉价开发,开业是一系列病毒、木马、广告、计算机中毒,同时间接破坏内部网络环境。
因此,我们小组目前使用的操作系统是Ubuntu20.04, 同一图形界面,超过一年的实践,未影响后端开发,与Windows一样,强烈建议用ubuntu或mac取代仍在开发Windows系统的小型伙伴,但Mac需要以更高的成本购买苹果笔记本。

PS:写完之后,我发现了一系列文件,这些文件可能来源于我,我会不断更新..

  1. 要开始, 请创建一个安全的登录界面 。
  2. 为企业内部验证中心开发模块实例(待启动)
  3. 首先,下文是开发物体储存模块的一个实例。

Copyright © 2012-2014 Www.tudoupe.Com. 土豆启动 版权所有 意见建议:tdsky@tudoupe.com

土豆系统,土豆PE,win7系统下载,win7 64位旗舰版下载,u盘启动,u盘装系统,win10下载,win10正式版下载,win10 RTM正式版下载,win8下载,电脑蓝屏,IE11修复,网络受限,4K对齐,双系统,隐藏分区,系统安装不了,U盘装系统,笔记本装系统,台式机装系统,diskgenius运用,GHSOT装系统,U盘修复,U盘技巧,U盘速度,U盘不能格式化,U盘复制发生错误,U盘加密,U盘选购,开机黑屏,蓝屏,进不了系统,上不了网,打不开程序,点击无反应,系统设置,PE个性化,PE添加网络,PE维护系统

点击这里给我发消息