web安全

上一篇 / 下一篇  2014-11-20 17:20:57 / 个人分类:Web安全

1.目前搜索引擎的普遍做法是与专业的安全厂商进行合作,排查搜索结果中的恶意网站。
  在电子邮箱领域,最重要的一项安全特性就是“反垃圾邮件”。
2.双因素认证都有U盾、动态口令卡、令牌、客户端证书、手机短信验证码
3.登录防暴力破解:检查一个帐号在一段时间内的登录失败次数,或者检测某一个IP地址在一段时间内的登录行为次数。可能借助了脚本或扫描器,在检测到此类行为后,向特定客户端返回一个验证码,可以有效地缓解暴力破解攻击。
4.如何防止密码中包含个人信息?
在用户注册时,可以收集到用户填写的个人资料,如果发现用户使用了诸如:用户名、密码、邮件地址、生日、电话号码之类的个人信息作为密码,则应当立即提示。
5.改不掉的密码?
2007年一家公司的某个用户账户发现被人盗用。客服介入修改密码、安全问题,并注销了登录状态,还是没有好转。公司网站的账户体系和公司的IM软件帐号体系是互通的,但IM限制同时只能有一个账户在线,于是出现了:客服登录进该用户的IM账户后,,攻击者有紧跟着登录,还会把客服登录的帐号踢下线;客服又继续登录,把攻击者踢下线,如此反复。
后来追查发现问题出在IM的自有帐号体系中。IM有两套账户体系,一套是网站的用户体系,另一套是IM自己的。这两套帐号有一一对应的”绑定“关系。
一般来说网站的用户修改密码后,会同步修改IM的账户密码。但是这个案例里,网站修改密码的逻辑里,并没有同步修改对应的IM账户,于是出现了这样的一个漏洞:不管网站的用户密码如何修改,攻击者总是能够通过对应的IM帐号登录。


TAG:

 

评分:0

我来说两句

Open Toolbar