小鱼云这边呢,为大家开通了一些很多开发的原理方案
今天介绍一下这些开发项目。网站插入项目
1.签到系统有些人很好奇签到系统签到成功后会发生什么,有些人会说只会签到领取奖励或者领取活跃程度等等,其实呢,后台也会记录着你当前的信息
就比如说有个小明在某个网站进行每天签到,每天领取金币,那金币是哪来的?小明说当然是签到,但是按我们安全团队的技术人员来分析,其实这个签到的背后是有一个原理的
比如说本地签到 利用时间戳的方式来记录当前的时间。如果在今天处于已签到状态,并且没有到第二天凌晨0点自动刷新时,则签到拒绝就等于返回的结果是今日已签到。如果看凌晨已经刷新了,那么状态也会一块跟着刷新,就显示签到成功,将最新时间存入到缓存,下次可以方便记录时间。当然优势在于可以本地签到,无需网络。缺点是有些恶意用户在本地签到利用的漏洞方案,进行短时间内一天直接签到,99+次。导致奖励就变成了滥用奖励。相当于不公平刷服务器资源,甚至爆满和数据不符合等等。只要是涉及到服务器,就等于你的网站是公开的,而且奖励也是本地签到之后发到服务器上自动同步更新。那么会利用这个漏洞 做一个频繁签到方案。没有办法阻止了吗?是有的,有一个第二个方案进行解决,无需本地,缺点是要网络访问
在线签到。这种在线签到指的是将签到请求向服务器进行请求,确认时间戳和手机当前的时间戳和世界的时间戳。以及你的账号的当前签到的时间戳等等,进行2次三次验证,确认无误后才显示签到成功并领取奖励。如果出现了手机篡改时间,那么它会利用第二次验证,就是向时间服务器进行时间戳请求获取,并通过在线服务器的账号列表当中的指定账号的当前签到的时间段,来校验已达到窃取的防止目的。即使改了,也只能返回今日已签到的这种显示,防止有人滥用奖励。
2.登录注册系统有些人很想知道登录注册系统是干嘛用的,如果没有会发生什么和有了会发生什么?首先登录指的是查询数据库有没有账号和密码,如果有会自动匹配是不是符合账号和密码信息,匹配成功后登录直接成功。当然有些安全人员进行对登录系统进行二次加密,比如说登录者的地址和登录者的手机配置进行筛选,检查是否在账号下白名单,如果有直接登录进去,如果没有直接当场怀疑,需要优先验证码验证才能允许加入白名单,否则不允许登录进去。主要的原理就是数据库查询。查询到符合的就行,如果再加个安全配置的话,那么任何陌生人想登录你的账号就必须过第二关,异地验证或者不明设备验证,俗称账号白名单。注册指的是填写注册单,对数据库进行添加自己的账号信息,比如我输入的用户名是123,密码是123,有些用户故意输入中文或者符号,导致注册系统直接变成了他的武器一样。当然可以考虑使用过滤方案,以达到防止被他人攻击的情况。登录是查询,注册是添加,两种选择就是无论是注册成功或者登录成功后,只要是把记住账号的按钮给它打开,登录后会自动保存到缓存当中,把账号标识直接拿上。相当于在酒店登记后 获取到了自己的酒店证件。可利用于同步头像、名称和同步账号下的作品、视频、多媒体文件等等。有些恶意用户在通过这种权限时,管理员可以采取封禁账号策略,就比如说直接通过后台查询他有没有近以来被机器人检测到违规操作。没有则放行,如果有,会直接通过筛选账号下的一行字,找到了登录状态,给它关闭后用户再次登录,当场拒绝。每次都是验证。这是登录注册以及安全机制原理
3.日志想不到吧 日志也是一个重要的工具之一。相当于塞了个笔记本,记录你当前的操作行为、地址等等。日志主要的应用的原理就是谁的地址,谁在操作,谁在请求或者响应数据等等,会把任何信息都记录下来,如果下次出故障或者出现被攻击情况等等,都会用上日志来反查反处理两种策略等等。日志的优势在于可以查出服务器或者谁在操作出问题等等,缺点是只要是磁盘写满了就影响了正常用户使用,所以就要把服务器分开来处理。一服务器在另一个部分叫日志,还有一部分是给用户提供使用即可
4.权限有些人想知道如何获取权限,就比如说网页要获取的是手机上的摄像头、麦克风等等任何隐私权限。允许则使用 不允许会被拒绝。原理就是没有麦克风或者没有摄像头的时候,直播就不会正常运行,观众画面就是一片空白。如果权限允许了,会将摄像头和麦克风跟软件绑定在一起进行互传画面,将摄像头和麦克风接下来的数据打包成数据包分给服务器给其他用户,相当于直播一样。这种情况下还有别的权限,比如定位,利用GPS,然后再加上某个地图APP的接口进行处理,完成后就得到了结果,你当前的位置你所在的省市。都给你扒得一见耳光。就比如说还有一个叫做其他权限,大多数为啥软件都需要存储权限了。需要写入和读取,以及修改和删除等等各种权限之一。以至于为啥没有这个权限,游戏玩不了看到存档,创建了就是没看到存档,在列表或者刷个视频的时候没法缓存进去。其实就是他们要手机的存储权限,那么基于给或不给是自己的原则,如果软件包含病毒,遭到恶意用户塞文件攻击啥的,建议断开网络,以免悲剧发生。再加上先刷机,保留账号,还有冻结银行卡信息,还有其他包含钱财的APP等等。这边讲个安全知识
5.基本的广播有些人想知道广播存在于是干嘛用的?其实我讲一下原理就行了,假设有一个小明在中央,就是路由器,拿着大喇叭喊一声我在这,我在这!其他人就是手机,只要接到局域网的请求时会自动连接,包含密码的时候呢,就需要出示证件。证件需要自己创建一个给予给路由器,相当于输入密码。如果提到的广播,那么广播这个词应该不熟悉吧,像玩我的世界都内置广播的,还有玩其他的游戏也是内置广播的等等都有
什么是广播呢?它就是一个广播信号,数据包、心跳包等等。它的原理很简单,就比如说当有人创建主机房间时,主机会通过路由器的广播进行向其他手机进行广播,数据包表示这里有房间可以进来,这时候玩家的手机就会显示出房间啦。点击加入后会通过广播顺着线路进行请求,完事协议,OK, 最后连上了,可以游玩了。还有的就是大部分游戏厂商,就是我的世界或迷你世界那些都自带了一些我的世界和迷你世界的内置广播服务器,俗称房间列表,就是服务器互传互载的一种原理。有玩家联机时会利用P2P点对点方案进行建立联机,就得到了1要么从服务器中转,二要么直接打个洞连接完事。要原理还得是主机当喇叭喊玩家是手机,手机接收信号后才显示房间,这就是广播
6.HTTP和HTTPS的不同之处相信大家在访问网站时都遇到过HTTP和HTTPS两种协议握手。其实他们两种是有一个是安全加锁加密,防止中间人攻击的。就比如说HTTP是危险网站,为什么要声称危险网站呢?因为它没有被加密SSL证书。是你的账号、密码或者其他隐私信息,只要是在上面注册的,一旦被中间人通过路由器捕获,就直接当场暴露。相当于没有加密的邮件放在邮箱中,等待人员进行提取。但是有人来提取的途中呢,顺便其他人过来想看这封信,想都没想直接同意,一打开信息直接被他偷窥,才转到别人手上,毫发无损一样,而且跟没有事情一样。加了HTTPS的SSL证书之后,就相当于给邮件加了一个锁,让偷窥者无法偷窥。用户隐私安全。就好歹有些平台呢,在软件内置了域名时会添加HTTPS,保证其他用户顺利通过软件安全使用、注册登录,防止中间人攻击
7.服务器多项目端口服务器多项目端口指的是当你有一台服务器,但是家的门牌号是只有一个的,每个人只有一个门牌号,就相当于自己的地址lP。一个地址不能同时访问6个项目以上,但是端口是可以解决的问题所在。打个比方说 这个127.0.0.1:8080在数字前端到后面就是端口。主要的核心原理是,当你访问第一个项目时,访问的端口号是3000项目就出来了,当你想访问第二个项目时,访问的端口号是3001这个时候项目也出来了,但页面不一样,这代表什么?房子是你的lP端口是你的房间号。这样就可以在一个服务器上利用多个端口的技术创多个项目。缺点是由于端口数量有限,再加上一个服务器可以放很多个但有限制的,毕竟还有一个最致命的瓶颈就是服务器性能,还有项目不能保证用户有大量涌入进来访问,让服务器瞬间崩溃的场景等等。除了均匀负载能解决该问题
以上技术作为交流,有什么缺乏或者提出建议的可以在这里留一下
