1、 前提执行安全的验证机制,不仅仅要同时满足几个关键安全目标,许多的时候也需要牺牲其他目标。比如易用性、成本、还有功能。2、 正确处理验证信息的基本要求一些基本要求,写下来,以后也可以参考。
1. 要确认完整的用户名和密码等信息;也就是说,要区分大小写,不过滤或者修改任何字符,不添加也不截断...
分类:
其他好文 时间:
2015-03-10 08:59:55
阅读次数:
152
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 前提执行安全的验证机制,不仅仅要同时满足几个关键安全目标,许多的时候也需要牺牲其他目标。比如易用性、成本、还有功能。2、 防止滥用密码修改的基本要求一些基本要求,写下来,以后也可以参考。
1. 加一个简单图片验证码,基本确保是人在操作,而不是机器;
2. 只能从已经通过验证的会话中访...
分类:
其他好文 时间:
2015-03-10 08:59:45
阅读次数:
165
用户角色变更的应用,在一般的纯互联网应用中,是非常少见的。但是在一些其他的行业,比如我所熟悉的语音行业,就是非常常见的。
我们在电视里也经常看到,某某金融大鳄给经纪人打电话,这个股票,给我买入1000万;那个股票,马上现价抛出。
在这个时候,接听电话的经纪人就和金融大鳄的角色进行...
分类:
其他好文 时间:
2015-03-09 12:51:36
阅读次数:
113
互联网中,有用户注册的地方,基本就会有密码找回的功能。
密码找回功能一般不太被重视,往往是一个附属功能,简直就是一个天生的大坑,而且在越来越重视用户友好体验的今天,支持各种密码重置的功能层出不穷,功能越多,被攻击面也越多。
而密码找回功能里可能存在的漏洞,很多系统的所有者、架构师...
分类:
其他好文 时间:
2015-03-09 12:51:25
阅读次数:
119
一些应用程序根据某种顺序自动生成帐户名,当然,现在邮箱、手机、QQ号码成为用户名的可能性越来越高,攻击者们也越来越省事了;
一些应用程序在大批量创建用户之后,并自动指定初始密码,然后通过某种方式(邮件、短信)将密码分配给用户。2、 常见的可预测用户名和密码的漏洞用户名和密码都能够预...
分类:
其他好文 时间:
2015-03-09 12:50:15
阅读次数:
138
当我们登陆某个网站时,在登陆的旁边会有一个”记住我” 的复选框,这个登陆时的用户名和密码 就是一种状态,这个记住我是怎么实现的呢?其实就用利用的是cookie,当我们选择了”记住我”以后,浏览器会将用户名保存在浏览器的cookie中,我们下次登陆的时候,就会自动的去找cookie了。...
分类:
其他好文 时间:
2015-03-09 12:49:25
阅读次数:
114
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 简单说明登陆功能的公开性,让无数的攻击者都试图猜测用户名和密码,从而获得未授权访问系统的权利。
作为系统的使用者,必须让自己的系统更加健壮,以应对狡猾的攻击者。
作为攻击者,需要去观察系统的各种细节情况,获得贴近实际的信息。2、 智能化的蛮力攻击登陆步骤我们首先需要有一个弱密码的系统,这...
分类:
其他好文 时间:
2015-03-07 22:49:15
阅读次数:
170
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 简单说明继续说故事,某一天产品经理策划了一个方案,要搞一个促销。一个用户最多只能用一次鸡蛋优惠券。
开发人员需要对系统进行修改和调整。
让我们脑补一下,传统行业搞互联网电商的场景:
产品经理:赶快改,赶快上,赶快搞活动
运维经理:版本升级,提交上线评估报告,风险测试报告,系统测试报告...
分类:
Web程序 时间:
2015-03-07 21:22:05
阅读次数:
175
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 简单说明继续说故事,某一天产品经理策划了一个方案,要搞一个促销。一个用户最多只能用一次鸡蛋优惠券。
开发人员需要对系统进行修改和调整。
让我们脑补一下,传统行业搞互联网电商的场景:
产品经理:赶快改,赶快上,赶快搞活动
运维经理:版本升级,提交上线评估报告,风险测试报告,系统测试报告...
分类:
Web程序 时间:
2015-03-07 21:21:26
阅读次数:
210
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 简单说明攻城的时候,城门总是最容易被攻破的地方。
如果一个WEB系统不够安全,往往是从登陆上面就出现了问题。
许许多多的web应用没有或者很少对用户密码的强度进行控制,这样的话,很容易被人在这里找到漏洞;2、 常见保密性不强的密码非常短甚至空白的密码;
密码和用户名完全相同;
初始的...
分类:
其他好文 时间:
2015-03-07 21:20:56
阅读次数:
141
