提问式图片验证码设计 可以将图片验证码与具体的问题相结合,让用户识别图片内容的同时,还需要回答指定问题,来增加机器破解的难度。 图7-6所示的提问式图片验证码,可以随机产生各种问题,然后生成图片验证码,再要求用户回答。这种验证码的破解难度相对较高,必须通过以下3个步骤才能完成破解。 (1) 机器人要
发布于 2022-07-25
两种字符图形验证码设计 验证码是防止攻击的有效手段,其中字符图形验证码由于简单易用,因此普及程度最高。它采用最古老的扭曲字符等干扰设计,增加机器识别的难度。但是,随着人工智能的发展,其安全性已经越来越低,正在逐步被取代。 字符图形验证码主要包括字母数字图形验证码和汉字图形验证码。 1.字母数字图形验
发布于 2022-07-20
短信/邮件防攻击设计 如果系统内涉及短信、邮件的发送业务,并且此业务暴露在外网环境下,则一定要考虑被攻击的可能性。 短信防攻击设计如图7-2所示。当用户点击页面上的“发送短信”按钮之后,为了防止机器人攻击,应先弹出验证码校验窗口,要求用户证明自己是人类,待验证码验证通过后,则立即禁用“发送短信”按钮
发布于 2022-07-15
现在的系统攻击手段层出不穷,系统攻击过程如图7-1所示,特点可以总结为发现系统漏洞,再利用漏洞进行攻击,从而达到非法目的。攻击方式大都具有一个特点,就是使用机器人(程序)来模拟人类的行为进行攻击。所以,只需要能够识别出访问系统的是机器人还是人类,就可以采取相应的防御措施。 图7-1 系统攻击过程 这
发布于 2022-07-12
日志收集架构 将程序日志存储到文件中并不能很好地解决查看问题,尤其对于互联网应用,开发运维人员需要打开巨大的日志文件,在海量的日志中寻找他们需要的那一点点内容,犹如大海捞针。因为在日志文件中有需要关注的内容,也有大量并不需要关注的内容,怎样以可视化的方式,简单快速地查找到关注的内容,这就是日志收集设
发布于 2022-07-10
日志存储设计 日志具有格式松散、难以结构化的特点,同时日志的输出位置随机,数据量较大。因此,对于日志的存储方式要进行单独设计。 1.采用异步化的独立事务记录日志 日志异步存储设计如图6-19所示,日志的记录可能穿插于不同的业务和程序流程之间。日志虽然可以帮助技术人员做很多事情,但是所有的日志记录都不
发布于 2022-07-05
程序日志设计 程序日志是最为详细的日志,最常见的方式就是输出到文件和控制台。如果通过查询接口日志无法判断问题,那么最直接的手段就是分析程序日志。然而,程序日志的数据量过于庞大,对日志的查看和分析也带来了巨大的挑战。 1.日志级别的划分和设定 程序日志一定要设定日志级别。日志级别通常从低到高分为8种,
发布于 2022-06-30
接口日志设计 当前系统大多采用前后端分离架构,后端采用微服务等分布式系统架构,同时与众多的第三方平台又存在大量的接口交互,如图6-9所示。当系统出现问题时,80%以上的情况需要先排查接口的请求和应答是否正常,因此对于接口日志的记录就显得至关重要。 图6-9 系统间接口交互 1.切面记录接口日志 接口
发布于 2022-06-25
4种操作轨迹设计 日志的记录顺序为首先记录登录日志,然后记录操作日志,最后记录退出日志,这样才能形成完整的用户行为时间轴,如图6-5所示。操作日志属于数据量最大、可分析利用的空间也最大的一部分内容,经常与埋点分析相互结合使用。 图6-5 日志的记录顺序 用户在登录进入系统后,所产生的所有行为都可以称
发布于 2022-06-20
