怎样设计一个安全的对外接口,总结了这几点,网络安全高级架构进阶之数据传
public Response allExceptionHandler(HttpServletRequest request,Exception exception) throws Exception
{
logger.error(“拦截到异常:”, exception);
Response response = new Response();
response.setData(null);
response.getResult().setResultCode(9999);
response.getResult().setResultMsg(“系统繁忙”);
return response;
}
}
6.拦截器链设置:合作方访问接口的时候,会根据你接口界说好的传参访问你的接口服务器,但是会存在接口参数类型错误大概格式不对,必传参数没传的问题,以致一些恶意哀求,都可以通过拦截器链进行前期拦截,避免造成接口服务的压力。
学习资料:Java进阶视频资源
还有很重要的一点,加签验签也可以在拦截器设置。继续WebMvcConfigurerAdapter实现springboot的拦截器链。实现HandlerInterceptor方法编写业务拦截器。
package com.caiex.vb.interceptor;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.lang3.StringUtils;
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import com.alibaba.fastjson.JSON;
import com.caiex.redis.service.api.RedisApi;
import com.caiex.vb.model.Response;
import com.caiex.vb.utils.CaiexCheckUtils;
@Component
public class SignInterceptor extends BaseValidator implements
HandlerInterceptor{
private Logger logger = LogManager.getLogger(this.getClass());
@Resource
private RedisApi redisApi;
public void afterCompletion(HttpServletRequest arg0,
HttpServletResponse arg1, Object arg2, Exception arg3)
throws Exception {
// TODO Auto-generated method stub
}
public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1,
Object arg2, ModelAndView arg3) throws Exception {
// TODO Auto-generated method stub
}
public boolean preHandle(HttpServletRequest arg0, HttpServletResponse arg1,
Object arg2) throws Exception {
if(isTestIpAddr(arg0)){
return true;
}
String securityKey = redisApi.hGet(“securityKey”,
arg0.getParameter(“agentid”));
if(StringUtils.isEmpty(securityKey)){
Response response = new Response();
response.setData(null);
response.getResult().setResultCode(8001);
response.getResult().setResultMsg(“缺少私钥, 渠道号:” +
arg0.getParameter(“agentid”));
logger.error(“缺少私钥, 渠道号:” + arg0.getParameter(“agentid”));
InterceptorResp.printJson(arg1, response);
return false;
}
if(StringUtils.isEmpty(arg0.getParameter(“sign”)) ||
!arg0.getParameter(“sign”).equals(CaiexCheckUtils.getSign(arg0.getParameterMap(),
securityKey))){
Response response = new Response();
response.setData(null);
response.getResult().setResultCode(3203);
response.getResult().setResultMsg(“参数署名认证失败”);
logger.error(“参数署名认证失败:” + JSON.toJSONString(arg0.getParameterMap()) + "
securityKey = " + securityKey);
InterceptorResp.printJson(arg1, response);
return false;
}else{
return true;
}
}
}
package com.caiex.oltp.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import
org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
import com.caiex.oltp.interceptor.APILimitRateValidator;
import com.caiex.oltp.interceptor.CommonValidator;
import com.caiex.oltp.interceptor.DDSAuthValidator;
import com.caiex.oltp.interceptor.QueryPriceParamsValidator;
import com.caiex.oltp.interceptor.TradeParamsValidator;
@EnableWebMvc
@Configuration
@ComponentScan
public class WebAppConfigurer extends WebMvcConfigurerAdapter {
@Bean
CommonValidator commonInterceptor() {
return new CommonValidator();
}
@Bean
DDSAuthValidator ddsAuthInterceptor() {
return new DDSAuthValidator();
}
@Bean
QueryPriceParamsValidator queryPriceParamsInterceptor() {
return new QueryPriceParamsValidator();
}
@Bean
TradeParamsValidator tradeParamsInterceptor() {
return new TradeParamsValidator();
}
@Bean
APILimitRateValidator aPILimitRateInterceptor() {
return new APILimitRateValidator();
}
@Override
public void addInterceptors(InterceptorRegistry registry) {
//访问速率限定
registry.addInterceptor(aPILimitRateInterceptor())
.addPathPatterns(“// ”);
//.addPathPatterns(“/price/getPriceParam”);
//参数署名认证
registry.addInterceptor(ddsAuthInterceptor())
.addPathPatterns(“/tradeState/*”)
.addPathPatterns(“/recycle/*”)
.addPathPatterns(“/matchInfo/*”)
.addPathPatterns(“/price/tradeTicketParam”);
//公共参数查抄
registry.addInterceptor(commonInterceptor())
.addPathPatterns(“/price/tradeTicketParam”)
.addPathPatterns(“/tradeState/*”)
.addPathPatterns(“/recycle/*”);
//询价参数校验
registry.addInterceptor(queryPriceParamsInterceptor())
.addPathPatterns(“/price/getPriceParam”);
//生意业务参数查抄
registry.addInterceptor(tradeParamsInterceptor())
.addPathPatterns(“/price/tradeTicketParam”);
super.addInterceptors(registry);
}
}
7.token令牌和sign数字署名实现数据保密性。
创建令牌(Token)
===========
为包管哀求的正当性,我们提供第三方创建令牌接口,某些接口必要通过token验证消息的正当性,以免遭受非法攻击。
token过期时间如今暂时定为1天,由于思量到合作方往往是分布式情况,多台机器都有可能申请token,为了降低合作方包管token一致性的难度,调用接口创建token成功以后一分钟以内,再次哀求token返回的数据是一样的。
获取私钥
====
获取用于数字署名的私钥,第三方获取的私钥需妥善生存,并定期更新,私钥只参与数字署名,不作为参数传输。
数字署名方式:
参数署名;署名方式:所有值不为null的参数(不包罗本参数)均参与数字署名,按照“参数名+参数值+私钥”的格式得到一个字符串,再将这个字符串MD5一次就是这个参数的值。(示例:h15adc39y9ba59abbe56e057e60f883g),以是必要先获取私钥。
验签方式:
将用户的所有非null参数放入界说好排序规则的TreeSet中进行排序,再用StringBuilder按照按照“参数名+参数值+私钥”的格式得到一个字符串(私钥从redis拿),再将这个字符串MD5一次就是这个参数的值。将这个值与用户传来的sign署名对比,雷同则通过,否则不通过。
private String createToken(){
String utk = “Msk!D*”+System.currentTimeMillis()+“UBR&FLP”;
logger.info("create token — "+Md5Util.md5(utk));
return Md5Util.md5(utk);
}
8.接口限流
有时候服务器压力真的太大,以防生意业务接口被挤死,就可以对一些其他不影响主要业务功能而且盘算量大的接口做限流处理。RateLimit–使用guava来做接口限流,当接口凌驾指定的流量时,就不处理该接口的哀求。具体可看RateLimit。也可参考其他限流框架。
9.协议加密,http升级成https;
为什么要升级呢,为了包管数据的安全性。当使用https访问时,数据从客户端到服务断,服务端到客户端都加密,纵然黑客抓包也看不到传输内容。当然还有其他好处,这里不多讲。但这也是开发接口项目必要留意的一个问题。
怎样提高接口的高并发和高可用
==============
接口开发好了,接下来就讨论接口的可用性问题。首先我们要将高并发和高可用区分一下,毕竟高可用是在可用的情况,只是很慢大概服从不高。着实也可以归为一类问题,但是不重要啦,重要的是怎么提高你写的接口的访问速率和性能。
接口的高并发解决方案(着实没有唯一答案,业界针对差异业务也有很多差异的方法)
======================================
当访问一个接口获取数据时,发现返回很慢,大概总是超时,如果排除网络的原因,那就是接口服务器压力太大,处理不过来了。在世界杯期间,我们查看后台日志总是connection
by reset和borker pipe和一些超时问题。
这时候,你可能遇到了高并发和高可用问题。但是,不管遇到什么问题,都不能臆断和乱改,你得必要找到慢的原因,才能对症下药,乱改可能会导致其他问题的出现。首先,解决高并发问题的三个方向是负载均衡,缓存和集群。
学习资料:Java进阶视频资源
负载均衡
====
我们使用的是阿里云服务器的负载均衡,后台分布式服务管理,我们运维小哥哥搭建了一套k8s,可以自由在k8s上扩展服务节点,各个服务结点也能随内存的使用自动漂移,不用多说,k8s真的很厉害,感爱好的同学可以具体去学。那么问题来了,阿里云的负载均衡怎么对应到k8s的负载均衡呢?
这个涉及到了k8s的service袒露的一些特点,简单说就是k8s把所有集群的服务都通过指定的内部负载均衡,在指定的服务器上袒露,然后我们又把这几个服务器接在阿里云负载均衡下,这个涉及的细节和配置很多。当然,除nginx外,还有其他负载均衡解决方案,软件硬件都有,硬件如f5等。
阿里云的nginx负载均衡,我们使用的是加权轮询策略,着实轮询是最低效的方式;
这就是最基本的负载均衡实例,但这不敷以满意实际需求;如今Nginx服务器的upstream模块支持6种方式的分配:
负载均衡策略
轮询默认方式weight权重方式ip_hash依据ip分配方式least_conn最少毗连方式fair(第三方)响应时间方式url_hash(第三方)依据URL分配方式
集群
==
首先,通过排查问题,发现是oltpapi接口服务处理哀求很慢,大量哀求过来,总是超时和中断毗连,这时候,我们想着最简单的方法就是加机器,给oltp接口服务多加几台机器。
嗯,一切都很完美,如预期进行,但是加到一定数量,你发现,怎么不起效果,异步响应还是很慢,大概更直观的说,消息队列出现了严峻的消息堆积。这时候,你发现出现了新的问题大概瓶颈,这个问题已经不是说加oltp服务器能解决了,那么,就必要去重新定位问题。发现是消息堆积,消息堆积就是生产者过快,导致消费者消费不过来,这时候,你就必要增加消费者的消费数量。给风控系统多加几台机器,让消费者和生产者达到一定均衡。
这里有个误区,你可能以为是rocketmq的broker数量过少,增加broker数量,着实当消费者和生产者保持一样的速率时,消息肯定不对堆积,按照原始的broker数量就足够。但是增加broker也会使得消息得到尽快的处理,提升一定服从。
缓存
==
当加机器不能解决问题时,大概说没那么多服务器可使用时,那么就要重代码层面解决高并发问题。Redis 是一个高性能的key-
value数据库,当获取数据从数据库拿很慢时,就可以存储到redis,从redis取值。
[*]用ConcurrentHashMap缓存对象,并设置过期时间
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到如今。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技能停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初志也很简单,就是希望可以或许帮助到想自学提升又不知道该从何学起的朋友。
!(https://img-
blog.csdnimg.cn/img_convert/35db9dd85ead3c2446573a8c98cedd7b.png)
!(https://img-
blog.csdnimg.cn/img_convert/4f207eb43786d1a5ffcfd366a4032037.png)
!(https://img-
blog.csdnimg.cn/img_convert/3216cf50ac3c4fdd57c7b7c328bc7f72.png)
!(https://img-
blog.csdnimg.cn/img_convert/03a1a68415b1f7d34bd68b6eac311cab.png)
!(https://img-
blog.csdnimg.cn/img_convert/a59b8934c6eaeb79fd9f37891ab29b63.png)
!(https://img-
blog.csdnimg.cn/img_convert/4337c4398b4a54742db3c8c3d72ffc43.png)
既有得当小白学习的零基础资料,也有得当3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比力大,这里只是将部门目次大纲截图出来,每个节点内里都包罗大厂面经、学习条记、源码讲义、实战项目、讲解视频,而且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
!(https://img-
blog.csdnimg.cn/img_convert/94498f41532536259eb2f7b1953a0b2b.png)
怎样自学黑客&网络安全
黑客零基础入门学习路线&规划
初级黑客
1、网络安全理论知识(2天)
①相识行业相干配景,前景,确定发展方向。
②学习网络安全相干法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、尺度
②信息收集技能:自动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操纵系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操纵系统安全(系统入侵排查/系统加固基础)
4、盘算机网络基础(一周)
①盘算机网络基础、协议和架构
②网络通讯原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技能与网络安全防御技能
⑤Web漏洞原理与防御:自动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操纵(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相干的工作,好比渗透测试、Web
渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包批评区留言即可领取!
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面临复杂多变的网络情况,当常用工具不能满意实际需求的时候,往往必要对现有工具进行扩展,大概编写符合我们要求的工具、自动化脚本,这个时候就必要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是必要拥有编程能力.
如果你零基础入门,笔者发起选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发情况和选择IDE,PHP情况保举Wamp和XAMPP,
IDE强烈保举Sublime;·Python编程学习,学习内容包罗:语法、正则、文件、
网络、多线程等常用库,保举《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并誊写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架大概Python框架
(可选);·相识Bootstrap的布局大概CSS。
8、超级黑客
这部门内容对零基础的同学来说还比力迢遥,就不展开细说了,附上学习路线。
!(https://img-
blog.csdnimg.cn/img_convert/3fd39c2ba8ec22649979f245f4221608.webp?x-oss-
process=image/format,png)
网络安全工程师企业级学习路线
!(https://img-
blog.csdnimg.cn/img_convert/931ac5ac21a22d230645ccf767358997.webp?x-oss-
process=image/format,png)
如图片过大被平台压缩导致看不清的话,批评区点赞和批评区留言获取吧。我都会回复的
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,而且已经帮大家分好类了。
!(https://img-
blog.csdnimg.cn/img_convert/153b2778a3fe5198265bed9635d63469.webp?x-oss-
process=image/format,png)
一些笔者自己买的、其他平台白嫖不到的视频教程。
!(https://img-
blog.csdnimg.cn/img_convert/32eb4b22aa740233c5198d3c161b37e8.webp?x-oss-
process=image/format,png)
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感爱好的新人,都接待扫码参加我们的的圈子(技能交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
!(https://img-
blog.csdnimg.cn/img_convert/86e7005bee5be720d31cf42344d90910.png)
img_convert/931ac5ac21a22d230645ccf767358997.webp?x-oss-
process=image/format,png)
如图片过大被平台压缩导致看不清的话,批评区点赞和批评区留言获取吧。我都会回复的
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,而且已经帮大家分好类了。
!(https://img-
blog.csdnimg.cn/img_convert/153b2778a3fe5198265bed9635d63469.webp?x-oss-
process=image/format,png)
一些笔者自己买的、其他平台白嫖不到的视频教程。
!(https://img-
blog.csdnimg.cn/img_convert/32eb4b22aa740233c5198d3c161b37e8.webp?x-oss-
process=image/format,png)
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感爱好的新人,都接待扫码参加我们的的圈子(技能交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-EZgksfxe-1713059988472)]
最后
从期间发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强时机才越多。
由于入门学习阶段知识点比力杂,以是我讲得比力笼统,大家如果有不懂的地方可以找我咨询,我包管知无不言言无不尽,必要相干资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技能文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(得当小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技能手册大全
如果你对网络安全入门感爱好,那么你必要的话可以点击这里
页:
[1]