背景
安全是软件设计的第二个非功能性需求,一般是当软件出现安全问题的时候才会得到重视。
最明显的比如 数据库用户信息和密码泄漏等;
数据加解密技术
单向加密
md5+salt值, 这个是软件设计中使用的比较多的。
但是要预防彩虹表的解密,在加密前校验密码的规则,符合安全等级。
对称加密
编程中用的比较多的是RSA加密,即增加一个秘钥。可以通过秘钥进行加解密。
效率比较高。安全性也比较高,但是要预防秘钥的泄漏。
非对称加密
即使用证书,公私钥对,一般是使用公钥解密,私钥加密;
比如数字证书,对外发的文件,通过私钥加密,拿到公钥可以解密,也可以确定文件的可靠性。
HTTPS: 是一种综合利用非对称和对称加密的协议。
首次建立连接使用 私钥生成一个秘钥,客户端拿到证书之后,使用它对传输内容进行加密,服务端使用秘钥进行解密。兼顾了效率和安全。
http攻击和防护
SQL注入
在参数中加入非法的sql,直接传递到数据库执行,达成攻击目的。
预防方法:使用PrepareStatement
XSS
即把攻击脚本当成数据保存在服务端,其它用户使用该数据的时候,会转换成攻击脚本,泄漏用户信息等。
预防方法:增加请求过滤;设置web防火墙;
小结
实际工作中如何保证软件系统的安全:
-
增加代码层面的请求过滤;
-
及时更新各种软件和组件的版本,修复安全漏洞;
-
对数据进行加密,及时出现问题也对数据安全进行了保护。
原创不易,点赞关注支持一下吧!转载请注明出处,让我们互通有无,共同进步,欢迎沟通交流。
我会持续分享Java软件编程知识和程序员发展职业之路,欢迎关注,我整理了这些年编程学习的各种资源,关注公众号‘李福春持续输出’,发送'学习资料'分享给你!
