基础

1. SQL注入：将SQL语句放置于请求参数之中，让Web服务器执行攻击者期望的SQL语句
2. XSS攻击：将可执行的前端脚本代码植入到网页中，使用户加载并执行（用户发贴是一种方式）
3. CSRF攻击（跨站请求伪造）：利用用户身份完成非法操作
4. DDos分布式拒绝服务攻击：攻击者不断提出请求，让合法用户请求无法及时处理
5. DNS劫持：解析到错误的ip地址
6. JSON劫持：拦截本该返回给用户的json数据
7. 暴力破解：

OpenResty用lua把nginx 的各种功能进行自由拼接，在请求真正到达上游服务之前，Lua 可以随心所欲的做复杂的访问控制和安全检测，揉和和处理各种不同的 nginx 上游输出，

访问控制：

PKI系统

主要部分：

密码机：密钥生成、管理，数据的加解密

CA服务器：证书的签发

数据库服务器：CA中数据、日志、统计信息的管理

RA注册机构：封装对CA的证书申请，回复LDAP申请的证书

LDAP服务器：存放数字证书

开源pki方案：ejbca

当前的工作重点：百度云作为云服务厂商需要对不同客户提供多种pki服务，我们团队需要丰富完善pki系统，支持多种密钥，加密算法等等

之前聊到了开源pki方案ejbca，我们的产品是参考的什么做的呢，自研程度有多高呢

PKI系统是什么：

PKI 系统作为大型企业环境中的一种专注于安全部分的基础设施服务，密钥、证书管理、加密和身份验证。

• 基本的计算机系统开发能力，分布式系统、高可用。
• 熟悉pki体系架构和流程
• 安全学和密码学：加密算法和安全协议，了解身份认证机制
• 工程上：了解加密库和工具、os的安全机制，了解数据库的使用
• 了解相关的合规性和标准

PKI工作特点：

• 知识体系庞大，有一定行业壁垒，即需要有扎实深入的开发能力，又要有一定的安全领域知识的广度，
• 更进一步，具备极高的安全意识，能识别潜在的安全威胁
• 业务和需求相对稳定，研发人员也相对稳定
• 跨部门合作比较多