資訊泄露
- 泄露系統敏感資訊
- 泄露用戶敏感資訊
- 泄露用戶密碼
資訊泄露的途徑
- 錯誤資訊失控
- SQL注入
- 水平權限控制不當
- XSS/CSRF
- ...
社會工程學
- 你的身份由你掌握的資料確定
- 別人掌握了你的資料
- 別人偽裝成了你的身份
- 利用你的身份干壞事
- ...
社會工程學案例
- 電信詐騙
- 偽裝公檢法
- QQ視頻借錢
- 微信偽裝成好友
OAuth思想
- 一切行為由用戶授權
- 授權行為不泄露敏感資訊
- 授權會過期
- 用戶授權讀取資料
- 無授權的資料不可讀取
- 不允許批量獲取資料
- 資料介面可風控審計
其他安全問題
- 拒絕DOS
- 重放攻擊
拒絕服務供給DOS
- 模擬正常用戶
- 大量占用服務武器資源
- 無法服務正常正常用戶
- TCP半連接
- HTTP鏈接
- DNS
大規模分布式拒絕服務供給DDOS
- 流量十到上百G
- 分布式(肉雞,代理)
- 極難防御
DOS攻擊案例
- 游戲私服互相DDOS
- 換目標,攻擊Dns服務器
- DNS服務器機器下線
- 數十萬網站DNS決議癱瘓
- 暴風影音后臺瘋狂請求決議
- 各地local DNS癱瘓,無法上網
DOS攻擊防御
- 防火墻
- 交換機,路由器
- 流量清洗
- 高防IP(云)
DOS攻擊預防
- 避免重錄及業務
- 快速失敗訪問回傳
- 防雪崩機制
- 有損服務
- CDN
重放攻擊
- 請求被竊聽或記錄
- 在次發起相同的請求
- 產生意外的結果
- 用戶被多次消費
- 用戶登錄態被盜取
- 多次抽獎
重放攻擊防御
- 加密
- 時間戳
- token(session)
- nonce
- 簽名
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/3949.html
標籤:訊息安全
上一篇:前端-接入層上傳問題