互联网业务安全
来源:互联网 发布:协方差矩阵 编辑:程序博客网 时间:2024/06/10 09:38
提高密码复杂度:
1. 对抗暴力破解;
2. 防止密码中包含个人信息
所以可以想到的方法有:设置更复杂的密码(包括提高位数,使用更多种类的字符,避免常用密码),通过暴力破解检测、设置尝试次数、设置验证码等缓解暴力破解行为,尽量减少密码中包含的个人信息(可提示用户是否使用了注册信息中的年份、手机号等)。
关于业务逻辑问题:
实例1:黑客通过cookie劫持导致账户被盗后,如果修改密码时不询问当前密码,就是一个逻辑漏洞。
实例2:当密码丢失时,有三种方法可以用来验证用户,一个是安全问题,一个是安全邮箱,一个是发送手机短信验证码。但是当黑客得到用户账户和密码时就可以修改安全问题,甚至留下的邮箱号和手机号。但是出于可用性考虑,当用户的手机号作废时,又不能强求用户在修改手机号码时还需要验证已经作废的手机号。一种比较好的方法,是使用用户在网站上留下的一些私有信息,让用户进行核对来验证用户。(例如微信的验证朋友头像的方式)
在网站应用中,垃圾注册几乎成为一切业务安全问题的源头。
实例1:网站新注册用户会赠送虚拟金币,恶意用户可以大量注册新用户并转移虚拟金币进行消费。
实例2:电商网站利用大量垃圾注册刷好评或者差评等。
实例3:网站的恶意用户注册小号进行恶意言论的散发
根据垃圾注册批量、自动化的特点利用垃圾识别算法处理垃圾注册
邮件钓鱼:
SMTP协议可以由用户伪造发件人邮箱,而在邮箱服务器上无从识别发件人邮箱的真伪。目前许多识别发件人邮箱的安全技术,大部分是基于域名策略的,比如SPF(Sender Policy Framework)、Yahoo的DomainKeys、微软的SenderID技术等。DomainKeys使用公钥加密,SPF基于IP策略,类似反向解析。但是SPF策略很多厂商配置不同,而且IP写死维护起来也很困难,一旦IP改变而SPF策略未更新就会造成误杀。不过,SPF仍然是现有的对抗邮件地址伪造的主要技术。
以上为《白帽子看web安全》一书中关于互联网的一些点的总结。
- 互联网业务安全
- 互联网业务安全之通用安全风险模型
- 互联网业务安全之通用安全风险模型
- 【互联网安全】业务安全及防护(数据风控)
- 业务安全
- 阿里聚安全受邀参加SFDC安全大会,分享互联网业务面临问题和安全创新实践
- 互联网安全
- 互联网安全
- 互联网业务反欺诈
- 业务安全粟论
- 业务安全测试
- 腾讯云天御产品(业务安全服务)负责人王翔:互联网金融风控的现状和趋势
- 移动互联网业务的产业链
- 互联网电视集成业务牌照
- 移动互联网业务感知评估
- 互联网业务数据库设计军规
- 互联网时代 安全最重要
- 《互联网安全保护管理办法》
- 深入浅出RxJava四-在Android中使用响应式编程
- RPC在neutron中的应用,比较详细的介绍了如何使用
- java中RSA加解密的实现
- Java向上转型和向下转型
- 盒子Box UVA1587
- 互联网业务安全
- 我的python之路
- 使用bindService方式启动Service
- mysql 索引基础
- 离线状态下android studio的tesseract配置方法
- MVC MVP MVVM
- Python中BeautifulSoup的常用操作
- 悠游书城
- RecyclerView的Item充满屏幕的问题