最近参加了答辩,虽然最后评委说了一些优点和缺点,但是自己始终觉得还是没有表现好,估计不通过的几率要偏大一些了,暂时先不管这些了。整个答辩过程中关于安全的问题是挑战的最多的,下面具体看看了。
材料中安全的引入
因为答辩选择的材料是开放平台项目,里面提供了一个客户端SDK,那么自然而然就涉及安全方面的问题,说到安全就自然会有下述内容
1. 蓝方
1. 窃听
也就是偷听,你在互联网上传输的内容有人能够看到,能够知悉。
2. 篡改
篡改就是更改了原来的内容,换成了篡改人自己想要添加的内容。比如电视剧中男一会交给女一些重要的东西,但是女二在偶然的情况下接触到了这些东西,然后把它替换了,最后造成了男一和女一的误会。
3. 伪造
伪造的意思就是,不合法的伪装成合法的,就比如最近网上比较火的伪造老干妈的公章骗取腾讯公司的广告资源
4. 试、猜、碰
场景的比如猜密码、撞库等
5. 资源消耗
比如DDOS攻击,你的服务能力是有限的,那就让你瘫痪不具备服务能力
6. 黑产
这个涉及的内容比较多,养号等。
2. 红方
2.1 加密
我们都知道如果在互联网上传输明文数据的话,那么就很容易被窃听,所以就有必要对其进行加密。其中加密分为对称加密和非对称加密。
- 对称加密算法 DES 3DES AES
- 非对称加密算法 RSA DSA ECDH ECDSA
2.2 签名
签名了就知道数据在中途有没有被修改过。
- MD4
- MD5
- SHA-1
- SHA-2
2.3 复杂口令
现在基本上设置密码对长度和字符都有一定的要求
2.4 不同产品不同密码
防止撞库
2.5 敏感信息加密存储
防止脱库导致的敏感信息泄露
3. 常见的安全风险
- sql注入
- xss
- crsf
- DDOS
- 并发请求
- 刷量
