2023年6月14日 星期五(吳翰清web安全)

2021-09-24 15:15:07 字數 1578 閱讀 2445

到底是買蘋果筆記本還是thinkpad到今天為止還沒有乙個合適的定論,暫時先這樣吧,暫時先不買吧

安全工程師的核心競爭力不在於他能擁有多少個 0day,掌握多少種安全技術,而是在於對安全理解的深度,以及由此引申的看待安全問題的角度和高度

黑客精神所代表的 open、free、share。

一、關於設定密碼和使用者密碼的儲存建議

儲存在資料庫中的密碼應該為= 設定密碼的複雜度+多因素認證+不可逆加密演算法+salt鹽值

1、設定密碼複雜度

密碼長度為6位或者8位以上

密碼區分大小寫

密碼為大寫字母、小寫字母、數字、特殊符號中兩種以上組合

不要有連續性的組合例如12345 abcdef

盡量避免重複的自服務aaaa 11111

2、多因素認證

乙個憑證被用於認證則是「單因素認證」

兩個或者兩個以上的憑證被用於認證則稱為「多因素認證」

手機動態口令、數字證書、寶令、支付盾、第三方證書都可以

3、不可逆加密演算法

md5sha-1

4、salt鹽值

為了避免雜湊值被彩虹表破解,在明文密碼增加乙個字串鹽值

salt應儲存在專案的配置檔案中

二、sessionid

每次使用者登入後伺服器端通常會建立乙個session已跟蹤使用者的狀態,每個session對應乙個識別符號sessionid

sessionid可以儲存在cookie中也可以儲存在url中,作為請求的乙個引數。

在生成sessionid時,要保證足夠的隨機性,可以使用框架中的足夠強的偽隨機數生成演算法。

當瀏覽器訪問**時會自動的帶上cookie

如果使用者的ip或者useragent發生變化時,伺服器強制銷毀session並要求使用者重新登入

三、單點登入

sso:single sign on只需要使用者登入一次就可以訪問所有的系統。目前網際網路最開放和流行的單點登入系統是openid。

一、垂直許可權管理

基於角色的訪問控制role-based access control(rbac)

二、水平許可權管理

基於資料的訪問控制

三、oauth管理

oauth是乙個在不提供使用者名稱和密碼的情況下,授權第三方應用訪問web資源的安全協議

oauth1.0在2023年12月公布,並迅速成為了行業標準(解決不同**之間互通的的問題)

oauth和openid都致力於讓網際網路更加的開放。openid是解決認證的問題,oauth更注重的是授權的問題

oauth委員會實際上是從openid委員會中分離出來的(2023年12月),oauth的設計本來是想彌補openid中的一些缺陷和不方便的地方後來發現需要設計乙個全新的協議

oauth中涉及諸多的加密演算法、偽隨機數演算法。

2023年年底oauth2.0為oauth較為穩定的乙個版本。需要用到oauth的地方有桌面應用、手機裝置、web應用但是oauth1.0只提供對web應用的支援所有oauth2.0應運而生

四、最小許可權原則是許可權管理的**法則

一、設計出安全完美的方案

2023年6月10日 星期五 晴

事業單位考試成績出來了。我進面試了,還是很開心的。之前並沒有把握,只是覺得有可能。隨之而來的是,更多的焦慮伴隨的心情低落。可能是想的太多了吧。明明知道往前走,是必須去面對的更大的困難。可還是必須往前衝!面試培訓班不知道為什麼會 炒的那麼高,幾千幾萬的。我當然很想最終上岸,所以,只是第二名的成績不報班...

2023年9月13日星期五

為什麼老是會和他吵架,發脾氣 兩人已經夠無奈的了,為什麼我們還要這樣?晚上好好的吃完 因為爸媽發簡訊問我身份證拿到了沒有,我沒給他看,便又吵了起來,他認為我有什麼瞞著他,當我願意給他看時,他又說我把他要看的東西刪掉了。老天!誰還會理我這張憔悴蠟黃的臉!或許以前,我還很可愛,漂亮,有活力,會有男生來追...

2023年4月4日 星期五

上午就兩節課,老師講的微機原理與接 術,糊里糊塗的就上完。其中的一節課不小心讓我就睡過去了,餘下的一節課思想拋錨,直到同學們都迫不及待的想下課,老師才宣布今天的課就上到這裡。老袁是個很有耐心的老師,本來很難理解的知識,他給我們講述的很簡單,很容易就讓我們理解了。當然,他再怎麼有激情的講授課程,坐在下...