免规则采集器列表算法(SQL注入主要手段开源错误盲注防御手段有消毒参数绑定)

　　免规则采集器列表算法(SQL注入主要手段开源错误盲注防御手段有消毒参数绑定)

　　SQL注入的主要手段

　　开源

　　错误回声

　　百叶窗

　　防御是

　　消毒

　　参数绑定

　　CSRF（Cross Site Request Forgery，跨站请求）

　　主要防御是识别请求者

　　表单令牌

　　验证码

　　推荐人检查

　　其他攻击和漏洞

　　错误代码错误回显

　　HTML 注释

　　上传文件

　　最有效的方法是设置上传白名单，只允许上传可靠的文件类型。另外，可以修改文件名，

　　使用专门的存储手段来保护服务器免受上传文件攻击。

　　路径遍历

　　攻击者使用请求 URL 中的相对路径来遍历系统上未打开的目录和文件。防御方法主要是转换JS、CSS等资源文件

　　部署在独立服务器上，使用独立域名，其他文件不使用静态URL访问，动态参数不收录文件路径等信息。

　　ModSecurity 是一个开源的网络应用防火墙。

　　ModSecurity 采用一种架构模式，其中处理逻辑与攻击规则集分离。

　　NEC 的 SiteShell

　　信息加密技术可分为三类：

　　1：单向哈希加密 2：对称加密 3：非对称加密

　　虽然单向哈希密文无法通过算法逆计算得到明文，但由于人们将密码设置为具有一定的模式，

　　因此，猜测破解可以通过彩虹表（人们常用的密码和对应的密文关系）等手段进行。

　　可以在哈希算法中加盐，相当于加密密钥，增加破解难度。

　　对称加密意味着加密和解密使用相同的密钥。

　　非对称加密是指加密和解密使用不同的密钥。其中，公钥称为公钥，它所拥有的就是秘钥。

　　RSA是一种非对称加密算法。

　　一种是将密钥和算法放在同一台服务器上，甚至制作专用的硬件设施，对外提供加解密服务。

　　应用系统通过调用该服务来实现数据的加解密。

　　另一种解决方案是将加解密算法放在应用系统中，秘钥放在独立的服务器中。为了提供密钥的安全性，在实际存储过程中，

　　密钥被分成若干份，加密后存储在不同的存储介质中，既考虑了密钥的安全性，又提高了性能。

　　信息过滤和反垃圾邮件

　　文本匹配

　　有很多公共算法，基本上都是 Trie 树的变种。

　　另一个更简单的实现是为文本匹配构建一个多级哈希表。先做降噪，再做文字匹配。如“A_La_Bo”

　　分类算法

　　贝叶斯分类算法

　　除了反垃圾邮件，分类算法还可以用来自动分类信息。门户网站可以使用该算法自动分类和分发来自采集的新闻文章

　　到不同的频道。电子邮件服务提供商基于电子邮件内容推送的个性化广告也可以使用分类算法来提供传递相关性。

　　黑名单，可用于信息去重，可使用布隆过滤器代替哈希表

　　规则引擎是一种分离业务规则和规则处理逻辑的技术。业务规则文件由运维人员通过容器管理界面进行编辑。

　　修改规则时，可以实时使用新规则，而无需更改代码发布者。规则处理逻辑调用规则来处理输入数据。

　　统计模型

　　目前，大型网站倾向于使用统计模型进行风险控制。

　　统计模式包括分类算法或更复杂的智能统计机器学习算法

　　这个世界没有绝对的安全，就像有绝对的自由一样。

　　秒杀系统对应的策略

　　1：秒杀系统独立部署

　　2：秒杀产品页面是静态的

　　3：租赁秒杀活动网络宽带

　　4：动态生成随机订单页面URL

　　软件设计有两种风格

　　一种是将软件设计得复杂，使缺陷不那么明显

　　一是软件设计得简单到没有明显的缺陷。