全栈安全
安全性:
1.服务可用性
DOS、DDOS -- 肉机
攻击 (发送网站请求,占用网站资源,挤占真实用户) [ 大公司方案买带宽,买主机 ]
洪水(SYNC Flood) --
三次握手,攻击者一直不进行第三次握手,服务器端会认为包丢失(反复发包至客户端),消耗资源,简称 半连接
[限时半连接总数,重试次数减少,重试次数拉近]
程序缺陷引起的:
1.系统缺陷:芯片(硬件)
2.程序缺陷:
自增的ID,会被推断出前后的ID,是一种漏洞
随机ID
数据库注入攻击
插入数据 'blue; DELETE * FROM 表名',引起攻击
没有校验位数,引起数据超出范围,影响后面数据
2.数据安全
中间人攻击 -- 代理 VPN -- 通信被转发(敏感信息被获取)
智能路由器 -- 家 - 路由 - 小区 - 中国移动 (都有入侵的隐患)
DNS污染 -- DNS解析对方IP,给的攻击者IP,跳转代理,将数据拿过来 -- [https 全程保密,解决]
人:社会工程学 -- 破解密码生日,测试账号-- [生产环境,开发环境分离]
权限级别设置 --
针对web开发人员
前端--安全性一般
后端--安全性建议
1.上传文件(文件大小,不定时清理) -- 检查文件类型,限制文件大小
2.数据校验 (正则)
3.用户密码 (数字字母大小写强制使用,不能使用弱密码,二次密码输入),U盾,类似游戏密保额外验证
4.数据库数字ID,容易被推敲,收到攻击
5.数据所属是否为当前用户
优化
1.速度
带宽?程序
2.省钱
降低运营维护成本
3.抗压
负载怎么抗住
4.回退
系统不正常,如何回退至可用稳定版本
方式方法:
1.降低服务器请求数 - 合并 (webpack 降低服务器请求)
2.请求连接,放在一个字符串内,将系列请求,放到后台处理
3.文件体积,越小越好
4.合理缓存
5.图片懒加载 (部分页面结构 异步请求)
6.一个请求大概32KB(包括请求头),请求数据的话,尽量装满
//--关于请求的各种报文信息
https://blog.csdn.net/qq1042921106/article/details/74176296
优化工具:
阿里云的 PTS
网友评论