互联网业务安全

提高密码复杂度：

1.      对抗暴力破解；

2.      防止密码中包含个人信息

所以可以想到的方法有：设置更复杂的密码（包括提高位数，使用更多种类的字符，避免常用密码），通过暴力破解检测、设置尝试次数、设置验证码等缓解暴力破解行为，尽量减少密码中包含的个人信息（可提示用户是否使用了注册信息中的年份、手机号等）。

 

关于业务逻辑问题：

实例1：黑客通过cookie劫持导致账户被盗后，如果修改密码时不询问当前密码，就是一个逻辑漏洞。

实例2：当密码丢失时，有三种方法可以用来验证用户，一个是安全问题，一个是安全邮箱，一个是发送手机短信验证码。但是当黑客得到用户账户和密码时就可以修改安全问题，甚至留下的邮箱号和手机号。但是出于可用性考虑，当用户的手机号作废时，又不能强求用户在修改手机号码时还需要验证已经作废的手机号。一种比较好的方法，是使用用户在网站上留下的一些私有信息，让用户进行核对来验证用户。（例如微信的验证朋友头像的方式）

 

在网站应用中，垃圾注册几乎成为一切业务安全问题的源头。

实例1：网站新注册用户会赠送虚拟金币，恶意用户可以大量注册新用户并转移虚拟金币进行消费。

实例2：电商网站利用大量垃圾注册刷好评或者差评等。

实例3：网站的恶意用户注册小号进行恶意言论的散发

根据垃圾注册批量、自动化的特点利用垃圾识别算法处理垃圾注册

 

邮件钓鱼：

SMTP协议可以由用户伪造发件人邮箱，而在邮箱服务器上无从识别发件人邮箱的真伪。目前许多识别发件人邮箱的安全技术，大部分是基于域名策略的，比如SPF（Sender Policy Framework）、Yahoo的DomainKeys、微软的SenderID技术等。DomainKeys使用公钥加密，SPF基于IP策略，类似反向解析。但是SPF策略很多厂商配置不同，而且IP写死维护起来也很困难，一旦IP改变而SPF策略未更新就会造成误杀。不过，SPF仍然是现有的对抗邮件地址伪造的主要技术。

以上为《白帽子看web安全》一书中关于互联网的一些点的总结。