当前位置：首页 > wzjs >正文

护肤品网站建设策划淮安网站建设

wzjs 2025/9/18 22:07:07

护肤品网站建设策划,淮安网站建设,西安招聘网站建设,医院网站建设策划案模板运维安全安全原则黄金法则密码学对称加密算法非对称加密算法散列算法身份认证对外认证对内认证单点登录 CASJWTOAuthOpenID小记 Web安全 XSS攻击SQL注入修改where子句执行任意语句安全原则机密性（Confidentiality）、完整性（I…

运维安全

安全原则
黄金法则
密码学

对称加密算法
非对称加密算法
散列算法

身份认证

对外认证
对内认证
单点登录

CAS
JWT
OAuth
OpenID
小记

Web安全

XSS攻击
SQL注入

修改where子句
执行任意语句

安全原则

机密性（Confidentiality）、完整性（Integrity）、可用性（Availability），简
称为 CIA 三元组，是安全的基本原则。理论上来说，一个完整的安全保障体系，应该充分
考虑到所有的 CIA 原则。当然，实际情况中，我们会根据企业需求，对安全在这三个方向
上的投入做取舍。我们平时在评判一个企业的安全水平时，也会分别从这三个方向进行考
量。

黄金法则

黄金法则：在用户操作的各个环节中，我们所需要采取的安全策略。黄金法则的核
心内容包括三部分：认证、授权、审计。大部分情况下，事前防御属于认证，事中防御属于
授权，事后防御属于审计。

密码学

建议：对称加密用 AES-CTR、非对称加密用 ECC、散列算法用 SHA256。

对称加密算法

发送方使用加密算法和密钥生成消息对应的密文；

接收方想要阅读消息，需要使用对应的解密算法和同样的密钥解密；

网络安全运维服务手册运维网络安全相关知识_运维安全

常见的经典对称加密算法有 DES、IDEA、AES、国密 SM1 和 SM4。

一般情况下，选取 AES128 进行加解密运算，就能获得较高的安全性和性能。

非对称加密算法

非对称加密中加密和解密使用不同的密钥。

发送方使用公钥对信息进行加密，接收方收到密文后，使用私钥进行解密。

网络安全运维服务手册运维网络安全相关知识_单点登录_02

常见的非对称加密算法：RSA（性能快，用的较多）、ECC 和国密 SM2

散列算法

常见算法：MD5 、SHA 算法计算一个唯一的 id
除了提供唯一的 id，其更大的利用价值还在于它的不可逆性。当用户注册，提交账号密码时，作为一个安全的应用，通常使用散列算法存储密码。

身份认证

对外认证

对外认证通常是用户直接访问业务，是单一场景认证。外部的通常使用密码结合手机短信等认证

对内认证

对内认证是指内部系统之间的访问，如git、mysql
等。为了防止多系统带来的账号切换和安全性问题，通常使用sso单点登录解决身份认证问题

单点登录

典型的单点登录方式：CAS （Central Authentication Service
，集中式认证服务）流程、JWT、OAuth 和 OpenID。

CAS

CAS 是一个开源的单点登录框架，它不属于某一种单点登录的实现方式，而是提供了一整套完整的落地方案。

网络安全运维服务手册运维网络安全相关知识_运维安全_03

JWT

JWT（JSON Web Token）是一种非常轻量级的单点登录流程。它会在客户端保存一个凭证信息，之后在你每一次登录的请求中都带上这个凭证，将其作为登录状态的依据。JWT的好处在于，不需要应用服务端去额外维护 Cookie 或者 Session 了。但是，正是因为它将登录状态落到了客户端，所以我们无法进行注销等操作了。

OAuth

OAuth（Open Authorization）的主要特点是授权，也是我们通常用 QQ、微信登录其他应用时所采用的协议。通过 OAuth，用户在完成了认证中心的登录之后，应用只能够验证用户确实在第三方登录了。但是，想要维持应用内的登录状态，应用还是得颁发自己的登录凭证。这也就是为什么 QQ 授权后，应用还需要绑定你的手机号码。这也就意味着，应用是基于 QQ 的信息创建了一个自身的账号。

OpenID

OpenID（Open Identity Document）和 OAuth 的功能基本一致。但是，OpenID 不提供授权的功能。最常见的，当我们需要在应用中使用微信支付的时候，应用只需要收集支付相关的信息即可，并不需要获取用户的微信头像。

小记

JWT 适用范围广，在单点登录的选取上面，如果想要将用户信息做统一管理，选择它最为简单；
如果认证中心只是被用来维护账号密码，由业务去维护用户所绑定的其他手机等信息，那么，采用 OAuth 更合适。

Web安全

XSS攻击

XSS工具的原理是诱导用户点击链接，执行js脚本，窃取用户信息，仿冒用户操作。

分类
反射型：浏览器–后端–浏览器
基于DOM：URL–浏览器
持久型：浏览器–后端–数据库–后端–浏览器

防护
CSP（Content Security Policy，内容安全策略）在服务端返回的 HTTP header 里面添加一个 Content-Security-Policy 选项，然后定义资源的白名单域名。浏览器就会识别这个字段，并限制对非白名单资源的访问。

SQL
注入

通过构造一些恶意的输入参数，在应用拼接 SQL 语句的时候，去篡改正常的 SQL 语意，从而执行黑客所控制的 SQL 查询功能。

修改where子句

如下列sql
select * from users where username='' and password = ''
修改为
select * from users where username='' and password = '' or password = ''
则pasword字段为True，即可绕过密码登录

执行任意语句

如下sql
insert into(username, password) values ('zzd', '111');
修改为
insert into users (username, password) values ('zzd', '111'); select * from users;
通过;号分割即可执行任意sql了

防护
使用ORM替代直接使用sql可以有效的防止此类问题

网络安全学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

需要网络安全学习路线和视频教程的可以在评论区留言哦~

最后

如果你确实想自学的话，我可以把我自己整理收藏的这些教程分享给你，里面不仅有web安全，还有渗透测试等等内容，包含电子书、面试题、pdf文档、视频以及相关的课件笔记，我都已经学过了，都可以免费分享给大家！

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果。

黑客工具&SRC技术文档&PDF书籍&web安全等（可分享）

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。