首页 > 代码库 > 《白帽子讲WEB安全》学习笔记之第16章 互联网业务安全
《白帽子讲WEB安全》学习笔记之第16章 互联网业务安全
第16章 互联网业务安全
16.1 产品需要什么样的安全
安全是一个独立的,应该与业务持平。
16.1.1 互联网产品对安全的需求
安全性是产品特性的一个组成部分,具备了安全性,产品才是完整的;安全做好了,产品才是最终正真的成熟。
16.1.2 什么是好的安全方案
我认为好的方案是:
q 人性化
q 智能化
q 性价比高
再次强调,安全是产品的一种特性,如果产品能够潜移默化地培养用户的安全习惯,将用户往更安全的行为上引导。那么这就是最好的最理想的产品安全。
16.2 业务逻辑安全
需要在满足业务需求的同时保障业务的逻辑安全,形参一个完整的安全链。
16.3 账户是如何被盗的
账户被盗的途径:
q 网站登录过程中无HTTPS,密码在网络中被嗅探
q 用户电脑中了木马,密码被键盘记录软件所获取
q 用户的登录钓鱼网站,密码被欺骗
q 网站的登录入口可以被暴力破解
q 网站密码取回流程存在逻辑漏洞
q 网站存在XSS漏洞,用户帐号被间接窃取
q 网站存在SQL漏洞,网站被黑客入侵导致用户账号信息泄露
16.4 互联网的垃圾
需要防御“垃圾注册”和僵尸账号
防御手段:
q 注册验证码
q 注册需要邮箱或者短信验证
16.5 关于网络钓鱼
网络钓鱼泛滥原因:
q 制作成本低廉,经济利益大,犯罪追踪困难。
q 静态、单向用户名/口令认证体制:网络用户需要向网站服务器提交身份心事,认证用户信息,却无法认证网络服务器身份信息。
q 网站身份认证简单,容易被窃取。
钓鱼网站防御:
q 建立反钓鱼的统一战线
q 在浏览器识别钓鱼网站
q 找到一个唯一的客户端信息,贯穿于整个网上支付流程的所有平台,保证订单是有订单创建这本人支付。
16.6 用户隐私保护
保护用户隐私:
q 用户有知情权和选择权
q 网站需要妥善保管收集到的用户数据,不得将数据用于任何指定范围以外的用户
本文出自 “梦朝思夕” 博客,请务必保留此出处http://qiangmzsx.blog.51cto.com/2052549/1859567
《白帽子讲WEB安全》学习笔记之第16章 互联网业务安全