欢迎来到 跌倒的小黄瓜 的博客

♪(^∇^*)我要当大佬,(#^.^#)哈哈哈哈,(。-ω-)zzz我要成为优秀的人,(*^▽^*)٩(๑>◡<๑)۶O(∩_∩)O哈哈~~~~~~~~欢迎━(*`∀´*)ノ亻!

社会工程学和信息泄露和其他一些安全问题

信息泄露

  • 泄露系统敏感信息
  • 泄露用户敏感信息
  • 泄露用户密码

信息泄露的途径

  • 错误信息失控
  • SQL注入
  • 水平权限控制不当
  • XSS/CSRF
  • ...

社会工程学

  • 你的身份由你掌握的资料确定
  • 别人掌握了你的资料
  • 别人伪装成了你的身份
  • 利用你的身份干坏事
  • ...

社会工程学案例

  • 电信诈骗
  • 伪装公检法
  • QQ视频借钱
  • 微信伪装成好友

OAuth思想

  • 一切行为由用户授权
  • 授权行为不泄露敏感信息
  • 授权会过期

  • 用户授权读取资料
  • 无授权的资料不可读取
  • 不允许批量获取数据
  • 数据接口可风控审计

其他安全问题

  • 拒绝DOS
  • 重放攻击

拒绝服务供给DOS

  • 模拟正常用户
  • 大量占用服务武器资源
  • 无法服务正常正常用户
  • TCP半连接
  • HTTP链接
  • DNS

大规模分布式拒绝服务供给DDOS

  • 流量十到上百G
  • 分布式(肉鸡,代理)
  • 极难防御

DOS攻击案例

  • 游戏私服互相DDOS
  • 换目标,攻击Dns服务器
  • DNS服务器机器下线
  • 数十万网站DNS解析瘫痪
  • 暴风影音后台疯狂请求解析
  • 各地local DNS瘫痪,无法上网

DOS攻击防御

  • 防火墙
  • 交换机,路由器
  • 流量清洗
  • 高防IP(云)

DOS攻击预防

  • 避免重录及业务
  • 快速失败访问返回
  • 防雪崩机制
  • 有损服务
  • CDN

重放攻击

  • 请求被窃听或记录
  • 在次发起相同的请求
  • 产生意外的结果
  • 用户被多次消费
  • 用户登录态被盗取
  • 多次抽奖

重放攻击防御

  • 加密
  • 时间戳
  • token(session)
  • nonce
  • 签名
posted @ 2020-01-31 22:30  跌倒的小黄瓜  阅读(...)  评论(...编辑  收藏