• token在哪里

session和cookie

1、session-cookie是一对，session保存在服务端memcache/redis，cookie保存客户端硬盘

2、客户端只需要保存session_id，加密存储在cookie硬盘中，发送给服务端。

1.管理后台必须与业务系统分离，单独部署。
2.通过政策或规则加强密码复杂度（比如：要求使用字母、数字和特殊符号）和密码长度（常用的是至少8个字符长度）。
3.身份验证的失败提示信息应当避免过于明确。比如：可以使用“用户名或密码错误”，而不要使用“用户名错误”或者“密码错误”。
4.管理后台需要部署在内网并接入AD，禁止外网访问。
5.如有业务需要部署外网，请使用双因素认证登录，比如“账号+密码+短信验证码“或者“账号+密码+动态令牌“或者“账号+密码+邮箱验证码“。
6.管理后台需要保留日志记录，日志支持记录所有的操作以及特定安全事件的成功或失败操作（比如所有的身份验证尝试，失败的控制访问等）。
7.采用黑白名单机制，如IP、UA、referer等。

API接口签名验证/开放平台鉴权

app_key：同账号
app_secret：同密码, 表示你真的拥有这个权限
用来申请一个token，access token过期失效

SDK是二进制包，还是源代码

SDK不是源代码，是工具包，编译后的jar、dll、so组件供开发者调用。
是完全封装好的，提供的是一个二进制的包

SDK需要升级

SDK和开发语言相关

SDK与API的区别

API文档一般是多个接口，需要消费者实现逻辑函数，比如先调用登录API，得到某个信息后，再调用另一个API，拿到另一个信息后，再调用下一个API，最后完成操作。
相比之下，如果用SDK的话，可能只需要写一句话就好了，因为别人已经封装好了。

SDK提供方

提供API比提供SDK简单很多，因为SDK提供方要提供不同平台环境的，比如windows、IOS、Android的包。

Token认证

移动端APP或前后端分离的项目，大多是基于Token的验证。

• 通过账号&密码登陆成功，服务器生成一个token
• 服务端把该token和userid保存到数据库（或Redis）中，然后把token值返回给前端
• 客户端每次请求都带上该token，服务端根据该token查询是否合法和过期，然后去数据库中查出来userid进行使用
  阅读全文 »

vpc和网络隔离区域

推荐一个vpc划分一个网络域，如DMZ是一个VPC，PTR是一个VPC

vpc和安全组的区别

一个vpc内部，划分不同的网络区域，比如DMZ、PTR、SF等，不同网络区域由安全组来控制
vpc之间天然隔离，打通后必须配置安全组，才能实现vpc之间的通信

反弹shell

内网shell反弹的本质是与公网服务器建立连接，将公网服务器传输过来的命令执行，并将结果返回。

比如命令注入，不需要知道机器的账号密码，直接反弹出来

虽然公司内网的机器没有暴漏给公网，但公网可以执行命令在这台机器上。前提条件：内网机器可访问互联网。

• DDOS攻击应急响应预案

UDP攻击,将IDC的入口带宽塞满

防御方法：
1、直接丢弃UDP流量，因为源IP随机伪造难以追查，但大多数业务IP并不提供UDP服务，直接丢弃UDP流量即可。
2、出口IP切换到另一个公网IP
3、如果攻击者比较执着，即使换了公网IP他也立刻更改攻击目标的话，最好的解决办法就是找运营商帮忙做流量清洗
4、推荐本地DDOS防护设备+运营商清洗服务/云清洗服务

机房出口的流量检测分析，鉴别攻击流量。

实际情况

检索流量日志，巨量的404、构造的请求，非正常请求流量

Zabbix（扎比克斯）

用来监控IDC服务器运行状态，告警
zabbix agent部署在所有服务器上，采集数据上报给master。zabbix的web界面是php，默认账号密码admin/zabbix
未授权访问漏洞：
http://xxx/zabbix/zabbix.php?action=dashboard.view&ddreset=1
攻击者可绕过登陆页面直接访问仪表板页面，即匿名访问系统/网络环境数据