其他安全问题
zKing 2018-11-26 Web 安全
# 信息泄露
社会工程学
# OAuth思想
- 用户授权读取资料
- 无授权的资料不可读取
- 不允许批量获取数据
- 数据接口可风控审计
举例
当使用第三方APP时,可以不进行注册,而是使用QQ微信等平台进行登录。
这样的行为就是OAuth
# 拒绝服务攻击DOS
# 原理和危害
- 模拟正常用户
- 大量占用服务器资源
- 无法服务正常用户
# 攻击类型
- TCP半连接
- HTTP连接
- DNS
# 大规模分布式拒绝服务攻击 DDOS
- 流量可达几十到上百G
- 分布式(肉鸡、代理)
- 极难防御
# 只能做有限的防御措施
- 防火墙
- 交换机、路由器
- 流量清洗
- 高防IP
# 攻击预防
- 避免重逻辑业务
- 快速失败快速返回
- 防雪崩机制
- 有损服务--保证核心业务是能够使用的
- CDN
# 重放攻击
# 原理
- 请求被窃听或记录
- 在某个时间段,再次发起相同的请求
- 产生意外的结果
# 后果
- 用户被多次消费
- 用户登录态被盗取
- 多次抽奖
# 防御措施
- 加密(HTTPS)
- 时间戳+签名
- token(session)
- number once+签名