作为面试者如何做一场完美面试?作为面试官如何识别面试者真实能力和缺陷?
中间人劫持风险
HTTPS+HSTS+includeSubDomains+HSTS Preload List+浏览器侧阻止第三方Cookie+Cookie Secure Cookie Secure(HTTPS和HTTP的Cookie共享,恶意站点引用即可拿到Cookie,当配置HSTS后,可以使用不存在的子域名,并通过DNS污染使其随便指向某个IP,即可获取其Cookie) 运营商劫持案例 你曾经是否发现自己的微博突然多关注了几个人,甚至发布了几条广告微博?QQ突然被加入陌生群组?也许就是因为黑灰产团伙已经控制了你的账户,曾经绍兴警方就成功侦破过一件大案。 一家数百人的黑灰产集团,由近十家公司组成。并且还上市了,年营收达到上千万。该团伙创始人原本在运营商体系工作,后开始创业。由于当时各大网站和App都还是使用HTTP协议,导致在传输层毫无防护能力。...
Equifax遭入侵导致1.47亿用户数据泄露的安全分析
如何在网络上抢银行:开曼国家银行入侵启示
API安全
应用间HTTP接口互相调用非常常见,期间会存在哪些安全风险?如何保证API接口调用时的安全性,防止数据窃取、未授权访问、请求被篡改以及请求被重放等风险? API安全风险与解决方案 传输窃取 -> HTTPS 接口需要通过HTTPS防止请求在传输过程中被窃取。 让HTTP无法直接访问,会强制跳转到HTTPS。 除了公网,办公网内嗅探窃取数据更为容易,也应该全站HTTPS。 未授权访问 -> API密钥(Access/Secret Key) API接口没有做任何安全措施的话,能够被任何人调用到存在未授权访问风险。因此需要给每一个调用此API的应用在发起请求时带上一个事先约定好不容易被猜到的密钥(Secret Key),如果是多个调用方,还需要是谁调用的,因此还需要约定一个调用方的唯一标示(Access Key或App ID)。...
研发安全检查项DevSecChecklist
研发安全检查项(DevSecChecklist,Development Security Checklist) 开发人员视角如何研发出安全的应用? 服务开放(包含域名、IP、端口、服务、接口等) 原则:仅暴露所需访问范围(服务暴露面的收窄,能有效减少被攻击面) 禁止向互联网暴露除443/80以外的端口,禁止出现HTTP[S]以外的协议,能极大降低各类服务被攻击的情况。 建议全站使用HTTPS协议,避免信息在传输过程中泄露。 建议HTTPS开启HSTS,防止中间人攻击。 建议修改服务器配置禁用TLS1.2。 禁止将管理后台开放到互联网可访问,建议限制只能固定来源IP可访问,能最大降低后台的被攻击面。 禁止公网域名与内网域名混用,建议分开使用不同域名或不同后缀。 建议已不再使用的域名、IP、端口、API接口,需要及时下线。 认证鉴权(包括注册、登录、密码等)...