《Web 前端黑客技術(shù)揭秘》有獎(jiǎng)圖書(shū)試讀活動(dòng)

fengyun530

既然都坐了板凳了。一定要參與一下！ 發(fā)表一下我的個(gè)人看法！

1，如何正確地保護(hù)信息的機(jī)密性？

     WEB開(kāi)發(fā)里需要注意的東西很多，B/S架構(gòu)里的常見(jiàn)信息傳輸包括：驗(yàn)證碼、用戶登陸、會(huì)員信息傳遞等很多領(lǐng)域。同樣是信息傳輸，也分主次，根據(jù)應(yīng)用場(chǎng)景不同，有些信息傳輸可以是明文，有些需要加密保護(hù)等。CSDN明文傳輸用戶信息就導(dǎo)致大批帳號(hào)暴露的隱患。大家應(yīng)該引以為戒。
   
      現(xiàn)在結(jié)合開(kāi)源系統(tǒng)的做法，要正確保護(hù)信息的機(jī)密性，一般都要結(jié)合一些特別的機(jī)制。比如跨站傳輸信息，這個(gè)是比較典型的信息安全問(wèn)題，大家應(yīng)該都知道DISCUZ的UCenter.它能整合不同站點(diǎn)的用戶，即一個(gè)站點(diǎn)注冊(cè)的用戶，可以在設(shè)置了UC關(guān)聯(lián)的另一個(gè)站點(diǎn)登陸。也就是人們常說(shuō)的單點(diǎn)登陸SSO。它的實(shí)現(xiàn)原理大概是：借用COOKIE的P3P性質(zhì)，對(duì)用戶信息進(jìn)行二次加密， 具體算法開(kāi)源系統(tǒng)里面有，它是一個(gè)隨機(jī)變換的字符串，每次傳輸?shù)闹刀疾灰粯�！解密需要根�?jù)KEY和SALT同時(shí)進(jìn)行。也就是說(shuō)，你即使截獲了其傳輸?shù)男畔�。沒(méi)有對(duì)應(yīng)的KEY和SALT.你也不知道這個(gè)傳輸?shù)男畔⒌降资鞘裁�，這樣就達(dá)到多站點(diǎn)共享登陸的便利性，又能保證一定的安全性。
  
       還有比較普遍的驗(yàn)證碼部分。一般人都是對(duì)系統(tǒng)產(chǎn)生的指定長(zhǎng)度的隨機(jī)驗(yàn)證碼字符串直接傳輸。而比較好的做法是進(jìn)行MD5不可逆加密。然后用base64再加密一次。比對(duì)的時(shí)候也是同理。比較加密后的驗(yàn)證碼字符串和加密后的用戶輸入的字符串。當(dāng)然不一定非得這樣加密。你也可以有自己的加密算法，組成更安全的驗(yàn)證碼信息。

2，信息在傳輸過(guò)程中，要注意哪些問(wèn)題？

    我個(gè)人認(rèn)為，信息傳輸過(guò)程，最應(yīng)該注意的有2點(diǎn)：1、傳輸機(jī)制。2、信息的加密算法
    1、一個(gè)好的傳輸機(jī)制，本身就是不容易被破解。比如HTTPS傳輸肯定比HTTP安全。
    2、好的加密算法。即使第一條做不到，算法好無(wú)形增加了破解者難度。
    不過(guò)最終該注意哪些，還是得看具體應(yīng)用場(chǎng)景。如果是普通資訊類站點(diǎn)。就沒(méi)必要用HTTPS傳輸機(jī)制。做到第2點(diǎn)即可。銀行、金融比較重要的領(lǐng)域。就必須做到第1點(diǎn)了。我想這個(gè)大家經(jīng)常用網(wǎng)銀都應(yīng)該知道的。

3，說(shuō)說(shuō)讀完試讀章節(jié)后你的感想

    書(shū)本涉及到的細(xì)節(jié)很多，講解得不錯(cuò)、挺詳細(xì)的，包括了常見(jiàn)的SQL前端注入、XSS、跨站攻擊等。其中我還測(cè)試了一個(gè)傳輸超長(zhǎng)COOKIE的問(wèn)題。導(dǎo)致結(jié)果是本地訪問(wèn)服務(wù)器是500錯(cuò)誤。呵呵。這個(gè)挺好玩的。這里SQL前端注入，目前的網(wǎng)站已經(jīng)非常少見(jiàn)這種漏洞了。這點(diǎn)還得歸功于現(xiàn)在開(kāi)源系統(tǒng)的成熟。也就是說(shuō)一般普通方法已經(jīng)很難達(dá)到破解系統(tǒng)的目的。

  以上是個(gè)人的一些淺見(jiàn)看法，歡迎指正！

heritrix

感謝CU舉辦的這個(gè)活動(dòng)，希望這種活動(dòng)能夠更多一些，也希望cu越辦越好