《白帽子讲WEB安全》学习笔记之第16章 互联网业务安全

简介:

第16章 互联网业务安全

16.1 产品需要什么样的安全

安全是一个独立的,应该与业务持平。

16.1.1 互联网产品对安全的需求

安全性是产品特性的一个组成部分,具备了安全性,产品才是完整的;安全做好了,产品才是最终正真的成熟。

16.1.2 什么是好的安全方案

我认为好的方案是:

q  人性化

q  智能化

q  性价比高

再次强调,安全是产品的一种特性,如果产品能够潜移默化地培养用户的安全习惯,将用户往更安全的行为上引导。那么这就是最好的最理想的产品安全。

16.2 业务逻辑安全

需要在满足业务需求的同时保障业务的逻辑安全,形参一个完整的安全链。

16.3 账户是如何被盗的

账户被盗的途径:

q  网站登录过程中无HTTPS,密码在网络中被嗅探

q  用户电脑中了木马,密码被键盘记录软件所获取

q  用户的登录钓鱼网站,密码被欺骗

q  网站的登录入口可以被暴力破解

q  网站密码取回流程存在逻辑漏洞

q  网站存在XSS漏洞,用户帐号被间接窃取

q  网站存在SQL漏洞,网站被黑客入侵导致用户账号信息泄露

 

16.4 互联网的垃圾

需要防御“垃圾注册”和僵尸账号

防御手段:

q  注册验证码

q  注册需要邮箱或者短信验证

16.5 关于网络钓鱼

网络钓鱼泛滥原因:

q  制作成本低廉,经济利益大,犯罪追踪困难。

q  静态、单向用户名/口令认证体制:网络用户需要向网站服务器提交身份心事,认证用户信息,却无法认证网络服务器身份信息。

q  网站身份认证简单,容易被窃取。

 

钓鱼网站防御:

q  建立反钓鱼的统一战线

q  在浏览器识别钓鱼网站

q  找到一个唯一的客户端信息,贯穿于整个网上支付流程的所有平台,保证订单是有订单创建这本人支付。

16.6 用户隐私保护

保护用户隐私:

q  用户有知情权和选择权

q  网站需要妥善保管收集到的用户数据,不得将数据用于任何指定范围以外的用户

 


本文转自 梦朝思夕 51CTO博客,原文链接:http://blog.51cto.com/qiangmzsx/1859567

相关文章
|
4天前
|
安全 应用服务中间件 网络安全
实战经验分享:利用免费SSL证书构建安全可靠的Web应用
本文分享了利用免费SSL证书构建安全Web应用的实战经验,涵盖选择合适的证书颁发机构、申请与获取证书、配置Web服务器、优化安全性及实际案例。帮助开发者提升应用安全性,增强用户信任。
|
22天前
|
存储 消息中间件 缓存
构建互联网高性能WEB系统经验总结
如何构建一个优秀的高性能、高可靠的应用系统对每一个开发者至关重要
24 2
|
1月前
|
存储 消息中间件 缓存
构建互联网高性能WEB系统经验总结
构建互联网高性能WEB系统经验总结
58 16
|
2月前
|
计算机视觉 Python
Flask学习笔记(六):基于Flask的摄像头-web显示代码(可直接使用)
这篇文章是关于如何使用Flask框架结合OpenCV库,通过电脑摄像头实现视频流在网页上的实时显示,并提供了单摄像头和多摄像头的实现方法。
116 2
Flask学习笔记(六):基于Flask的摄像头-web显示代码(可直接使用)
|
1月前
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
63 1
|
1月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
93 4
|
1月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
73 2
|
1月前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
94 3
|
1月前
|
SQL 安全 Go
PHP在Web开发中的安全实践与防范措施###
【10月更文挑战第22天】 本文深入探讨了PHP在Web开发中面临的主要安全挑战,包括SQL注入、XSS攻击、CSRF攻击及文件包含漏洞等,并详细阐述了针对这些风险的有效防范策略。通过具体案例分析,揭示了安全编码的重要性,以及如何结合PHP特性与最佳实践来加固Web应用的安全性。全文旨在为开发者提供实用的安全指南,帮助构建更加安全可靠的PHP Web应用。 ###
42 1
|
2月前
|
Kubernetes 安全 应用服务中间件
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
55 3
下一篇
DataWorks