AuthorFeei

应用间HTTP接口互相调用非常常见，期间会存在哪些安全风险？如何保证API接口调用时的安全性，防止数据窃取、未授权访问、请求被篡改以及请求被重放等风险？ API安全风险与解决方案 传输窃取 -> HTTPS 接口需要通过HTTPS防止请求在传输过程中被窃取。 让HTTP无法直接访问，会强制跳转到HTTPS。 除了公网，办公网内嗅探窃取数据更为容易，也应该全站HTTPS。 未授权访问 -> API密钥（Access/Secret Key） API接口没有做任何安全措施的话，能够被任何人调用到存在未授权访问风险。因此需要给每一个调用此API的应用在发起请求时带上一个事先约定好不容易被猜到的密钥（Secret Key），如果是多个调用方，还需要是谁调用的，因此还需要约定一个调用方的唯一标示（Access Key或App ID）。...

研发安全检查项（DevSecChecklist，Development Security Checklist） 开发人员视角如何研发出安全的应用？ 服务开放（包含域名、IP、端口、服务、接口等） 原则：仅暴露所需访问范围（服务暴露面的收窄，能有效减少被攻击面） 禁止向互联网暴露除443/80以外的端口，禁止出现HTTP[S]以外的协议，能极大降低各类服务被攻击的情况。 建议全站使用HTTPS协议，避免信息在传输过程中泄露。 建议HTTPS开启HSTS，防止中间人攻击。 建议修改服务器配置禁用TLS1.2。 禁止将管理后台开放到互联网可访问，建议限制只能固定来源IP可访问，能最大降低后台的被攻击面。 禁止公网域名与内网域名混用，建议分开使用不同域名或不同后缀。 建议已不再使用的域名、IP、端口、API接口，需要及时下线。 认证鉴权（包括注册、登录、密码等）...

邮箱邮件安全如何做？从邮件伪造原理和常见的钓鱼邮件入手，看看如何来伪造邮件并提供伪造邮件代码工具。通过SPF、DKIM、DMARC、PTR等方法来组织伪造邮件，并提供一些方法来加固邮件以及提升使用邮件过程中的安全意识。