复习
Session攻击,攻击者可以让session不失效,可以窃取用户会话,进行攻击。
单点登录,实现机制就是我在一个子系统登录后,可以只登录一次,去访问其他子系统的webapp。流程是SSO系统(专门用于登录的系统),比如不是登录态,用户登录页面会跳转到SSO系统的页面,登录成功后生成一个凭证,当用户访问其他子系统是,用凭证就无需登录了,但是子系统要重新验证凭证。防止篡改。
文章目录- 一、访问控制
- 1.三个要素
- 2. OAuth 2.0
- 2.1授权码(前后端分离)
- 2.2 隐藏式(前端,无后端)
- 2.3密码式
- 2.4凭证式(没有前端的)
- 3.更新令牌
- 二、互联网业务安全
- 1.产品需要什么样的安全
- 2.账户是如何被盗的
- 3. 互联网垃圾
- 4. 网络钓鱼
- 5.用户隐私保护
- 5.用户隐私保护
授权和认证中,用户可以访问哪些页面是授权的问题,普通用户可以访问admin的页面就是出现越权问题。
访问控制,限制主体对客体的访问。主体可以是浏览器的客户端。客体可以是一个主页和主页下的资源。读取和修改是操作。对一个服务器来说,服务器的端口(http,https,mysql)电脑访问服务器的服务。发起请求的电脑是主体。可以通过防火墙来控制恶意请求。会有一个访问控制列表,规定哪些ip可以访问和不可以访问。
linux中有些文件时只读的,或者可写的,针对某个用户组,设置可读可写的权限。
1.三个要素 主体(动作发起者) 客体(被访问的资源的实体) 控制策略(主体对客体访问的规则集合)
对于web应用也有访问控制,
1.基于角色的访问控制(用的比较多RBAC)
不同角色有不同的权限,控制可以访问的资源。在系统中设置权限(比如创建,修改,删除,查看)超级管理员有所有权限的集合。一个用户可以有多个角色。系统知道角色,就赋予对应的权限。
如何实现呢?基于 URL的访问控制来确定不同的角色,将系统操作的每个url配置在权限表中,系统通过过滤器决定谁可以访问。
可以称之为垂直权限管理。如何避免越权呢?使用最小权限原则,并使用默认拒绝策略,只对有需要的主体单独配置权限。这种可能出现水平权限管理问题。
2.和基于数据的访问控制
水平权限管理,数据级权限管理并没有很通用的解决方案。这种是和业务有关系的,所以需要具体问题具体分析。可以用用户组的概念,还可以实现一个规则引擎。
2. OAuth 2.0 它是应用之间彼此访问数据的开源授权协议,用来授权第三方应用,获取用户数据。
OAuth引入了一个授权环节来解决上述问题。第三方应用请求访问受保护资源时,资源服务器在获准资源用户授权后,会向第三方发送一个访问令牌。该访问令牌包含资源用户的授权访问范围、授权有效期等关键属性。第三方应用在后续资源访问过程中需要一直持有该令牌,直到用户主动结束该次授权或令牌自动过期。
它为用户和应用定义了如下角色:资源拥有者,资源服务器,客户端应用,授权服务器。
OAuth的核心就是颁发令牌。之前第三方应用先到资源服务器来注册,颁发第三方应用标识和密钥。访问授权服务器需要应用标识和密钥来验证自己。
2.1授权码(前后端分离) 授权码和令牌不是相同的。授权码是在前端进行传送的,令牌是储存在后端的,而且所有与资源服务器的通信在后台进行。前后端分离更安全。A网站提供一个链接,用户点击后跳转到B网站,申请B网站用户数据给A网站使用。用户同意,B网站带授权码到A网站。(code 参数是授权码)
A网站拿到授权码后就可以在后端向B网站请求令牌。B收到请求,颁发令牌。refresh_token: 可以跟新令牌,expries_in是有效期。
2.2 隐藏式(前端,无后端) A网站提供一个链接,用户点击后跳转到B网站,申请B网站用户数据给A网站使用。response_token直接在前端颁发。
令牌的位置是URL锚点,不会向服务器发送数据,在前端发送,减少风险。这种安全级别不高。
2.3密码式 A网站直接用用户名和密码申请令牌,这种需要用户高度信任A应用。这种风险很大,只能是其他方式无法使用的情况才使用。
2.4凭证式(没有前端的) A向B发请求,B直接返回令牌,这是针对第三方应用,不针对用户(可能好几个用户共享同一个令牌)
3.更新令牌 颁发令牌时会颁发两个令牌(一个是真正令牌,另外一个是更新令牌),refresh_token这个字段是更新令牌用的。用它去发更新请求。
二、互联网业务安全 1.产品需要什么样的安全 当一个产品各方面都做的很好的时候,安全有可能成为产品的一种核心竞争力。
业务逻辑安全:修改密码后,多个业务之间是否同步。对抗暴力破解密码时,使用锁定账户的策略,审核信息流程不规范,密码取回流程。
2.账户是如何被盗的 账户是如何被盗的:网站登录中无HTTPS,密码在网络中被嗅探。用户电脑中了木马,密码被键盘记录软件所获取。用户被钓鱼网站所迷惑,密码被钓鱼网站所骗取。网站某登录入口可以被暴力破解。
分析账户被盗原因的途径:客服是重要和直接的渠道,从日志中寻找证据,打入敌人内部,探听最新动态。
3. 互联网垃圾 垃圾信息,就是无用的,有害的信息。危害:破坏网络信息生态,威胁人类安全。加剧信任危机,导致决策失误。信息爆炸导致信息匮乏,信息利用成本增加。信息污染使网络的教育负功能凸显,网络不良信息颠覆了主流的道德的观念。
垃圾处理:识别和拦截,拦截方法根据业务而定,可以冻结或删除账户,也可以只针对垃圾信息做屏蔽。识别垃圾信息,建立“规则”和“模型”
4. 网络钓鱼 利用欺骗性电子邮件或者伪造站点来引诱他人给出敏感信息。防控:浏览器拦截,给用户提示。直接打击钓鱼网站。用户教育。自动化识别钓鱼网站。
5.用户隐私保护 首先用户应该拥有知情权和选择权,其次网站应该妥善保管收集到的用户数据,不得将数据用于任何指定范围外的用途。
。直接打击钓鱼网站。用户教育。自动化识别钓鱼网站。
5.用户隐私保护 首先用户应该拥有知情权和选择权,其次网站应该妥善保管收集到的用户数据,不得将数据用于任何指定范围外的用途。
