密码存储,存储在数据库中的帐户密码不能以纯文本存储,需要加密,md5转换、加盐(相邻
密码等)是常用的加密方法帐户盗窃的常见原因:密码太常见;密码太简单;拖库;撞库。
网络安全,防止sql注入攻击并验证任何外部输入数据的有效性,xss(跨站点脚本攻击)包括
两种类型:基于dom的和基于存储的。防止xss攻击的主要方法是检测用户提交的数据中是否
有可执行脚本,并将html标记转换为纯文本。csrf(跨站点请求伪造)实质上是一个不区分请
求是由用户自愿启动还是由其他站点模拟的浏览器。避免措施包括区分当前请求的源站点,
在表单中添加校验符等。 arp(地址解析协议)当主机ainlan使用arp协议获取主机b的ip和mac地址时,主机c可以模拟
主机b返回ip和mac地址以实现攻击或数据盗窃,arp攻击可能导致网络中断或中介攻击解决
方案:配置可信的ip/mac地址映射关系。 ddos攻击,通过向服务器发送大量无用的请求,服务器资源(cpu、memory等)耗尽,导致
服务不正常运行,正常请求不响应,两种实现方式:阻塞交通攻击;通过肉鸡构建僵尸网络
,使用命令发动攻击m,解决办法:增加资源负担;寻找专业的DDOS防护服务。 将应用下载下来后反编译,植入自己的代码后再二次打包和分发,实现自己所需的广告显示
设置是牛皮癣广告,从而带来非法收益,解决方案:校验签名;加固处理使得无法反编译或
者无法二次打包。病毒传播:伪造:假装并诱使用户打开源文件,发布主程序:病毒将主程
序发布到计算机中的其他目录,以防止病毒文件被删除。addboot:病毒将其信息添加到注
册表并从注册表中删除杀毒软件,自复制:病毒将可执行文件复制到每个硬盘的根目录,并
更改autoun.inf文件内容,允许用户在触发病毒运行时打开磁盘,beaking:在shell加载并作
为数据存储在文件中之后,病毒被压缩。当病毒开始时,shell加载到内存中,解密并解压sh
ell,最终释放到内存中运行,通信:通过网络共享、u磁盘等快速复制。 session(会话)解决了HTTP无状态的问题,相当于给每个用户分配身份,从而完成对用户
的识别,并将用户多次不同的操作关联在一起session机制指服务端记住用户的能力,同时
需要客户端cookie机制辅助实现. 生成唯一ID,数据库的ID自增长,UUID:32个十六进制的数字,以连字号分为五段;ID长
度长,重复概率低,不依赖于中央服务器,没有网络耗时,生成效率高,雪花算法:41bit
时间戳+10bit工作机器ID+12bit序列号;生成的ID长度短,更加节省空间。
还没有评论,来说两句吧...