Day30-结语

参赛心得

很感动终於到了最後一天，虽然之前已经参加过两次了，但可能因为这次是边工作边参加，所以比我预期的还要累很多，每天都写文章写到怀疑人生XD，才终於有今天的 Day30

画面撷取於 2021-10-15 08 15 05

也谢谢订阅、回应我文章的朋友们，连看三十天的文章应该也累了吧XD，真是辛苦你们了，也希望你们喜欢这个系列。铁人赛结束後我也要去看看其他人写的文章了～不过今年参赛人数超过一千个（评审们会不会哭出来QQ），好像也不可能全部看完，所以有看到什麽不错的系列还请大家留言推荐一下～

收获

虽然这三十天是真的爆干累，但不得不说这个月真的过得非常充实，每天都读很多跟资安相关的文章，而且也有不少意外的收获

譬如说有很多我以为我已经懂了的东西（像 SameSite cookie），去查了之後才发现我了解得还不够透彻，所以就趁这个机会把他补完；或是有一些工具虽然平常有在用（像 nginx），但真的要讲解才发现我好像都是直接沿用前人的 nginx.conf，根本没有自己写过多少XD，就决定把官方文件读完、整理过後再来分享给大家

所以真的要说的话，其实写这一系列收获最多的应该还是我自己，所谓教学相长大概就是这样吧，也希望大家在读这一系列的过程中有学到一些原本不知道的东西，那这系列也就没有白写了～

总结

回到这一系列的主题「从以卵击石到坚若磐石之 Web API 安全性全攻略」，虽然这三十天确实讲了不少方法来保护 API Server，但毕竟资安的世界实在是太广了，什麽都可以跟安全性扯上关系XD，所以还是有很多东西的安全性都没有讲到（譬如最近越来越热门的 GraphQL、还有逐渐成为容器编排领域霸主的 Kubernetes），因此在这边我想跟大家分享我在学习资安领域时的方法：

首先是在学习任何新技术时都要了解它的原理跟架构，譬如说你知道 GraphQL Server 底下也是跑一个 HTTP Server，代表他们的弱点可能非常相似，因此你以前怎麽保护 HTTP Server 现在就怎麽保护 GraphQL Server（做输入验证、流量限制等等）；或是你原本从来不认识 Day18 讲到的 JWT(JSON Web Token)，但只要听到 JWT 的 payload 是用 base64 进行编码，就可以很直觉的反应不能把敏感资料放在 payload 里面。因此只要你的基础知识够扎实，就能很快猜到新技术可能有哪些弱点，进而去保护他

而除了这种靠自己推导出来的之外，我在学习一个新技术时也会去找找看别人都怎麽都怎麽用他，譬如说我最近还在熟悉 GraphQL，那我就会去查 GraphQL best practice、GraphQL production security 这类的关键字，然後把搜寻结果第一页的文章都看一看（读到後面会发现讲的东西都差不多XD），这样就可以就可以写出一个满安全的 GraphQL Server 了～

最後，虽然铁人赛结束了，但身为工程师，对於安全性的追求应该是没有止尽的，所以我之後也会继续学习资安相关的知识。如果对这系列文还有任何问题或是想讨论可以加我的 Facebook 或 Telegram 私讯我，毕竟多年後文章还是会在这里，但我不见得每天都会上来看留言。如果你喜欢我的文章也欢迎订阅我们 Starbugs 星巴哥技术周刊，这样就能每个月都看到我写的专栏哦～谢谢大家，Larry 我在这边下台一鞠躬

文章索引

<<: Day30-TypeScript(TS)的模组(Modules) Part2

>>: 网路是怎样连接的(八)TCP的性能优化(上)

Day30-结语

参赛心得

收获

总结

文章索引

入口、流量管制

HTTP 安全性

Session、密码管理

资料库安全

Docker 安全性

Day23 - Online DDL

会员管理网站实作篇 - (以律师谘询平台为例子) part 1

【Day 24】半监督式学习（Semi-supervised Learning）（上）

(Day30)第三方套件---图表套件Charts(下)

授权和认证开发方法

【没钱买ps，PyQt自己写】Day 19 - 使用 QProgressBar，制作进度条的功能

【Day29 #1】企业数位治理议题2：企业经营流程之数位化整合

4套最佳 Instagram 影片下载器-PC端〖2022亲测〗

Day 13 - 半自动标签图片的方法与实作

Leetcode: 101. Symmetric Tree