我們已經(jīng)談到了一些關(guān)于網(wǎng)絡(luò)安全保護(hù)的專業(yè)知識(shí)。我們來(lái)談?wù)劦卿浢艽a的傳輸、敏感實(shí)際操作的二次驗(yàn)證、手機(jī)客戶端的強(qiáng)認(rèn)證、驗(yàn)證信息的不正確、避免暴力破解密碼、系統(tǒng)日志和監(jiān)控等。1.登錄密碼傳輸?shù)卿涰?yè)面和所有必須驗(yàn)證的后端網(wǎng)頁(yè)。網(wǎng)頁(yè)必須通過SSL,TSL或其他安全傳輸技術(shù)瀏覽。原始登錄頁(yè)面必須通過SSL和TSL進(jìn)行瀏覽,否則網(wǎng)絡(luò)攻擊會(huì)改變登錄表單的動(dòng)作特征,導(dǎo)致賬戶登錄憑證泄露。如果登錄后不使用SSL和TSL對(duì)網(wǎng)頁(yè)進(jìn)行瀏覽和驗(yàn)證,網(wǎng)絡(luò)攻擊將竊取未經(jīng)數(shù)據(jù)加密的應(yīng)用標(biāo)識(shí),嚴(yán)重危害客戶當(dāng)前的主題活動(dòng)應(yīng)用。因此,還應(yīng)該其次,對(duì)敏感實(shí)際操作的二次驗(yàn)證可以減輕系統(tǒng)漏洞(如CSRF和應(yīng)用劫持)的危害。升級(jí)前賬戶的敏感信息內(nèi)容(如客戶登錄密碼、電子郵件、詳細(xì)交易地址等。),帳戶的憑據(jù)必須經(jīng)過身份驗(yàn)證。如果沒有這樣的對(duì)策,網(wǎng)絡(luò)攻擊可以根據(jù)CSRF和XSS的攻擊實(shí)施敏感的實(shí)際操作,而不需要知道客戶的當(dāng)前憑證。此外,網(wǎng)絡(luò)攻擊可以暫時(shí)觸及客戶機(jī)器和設(shè)備并進(jìn)行瀏覽。第三,手機(jī)客戶端強(qiáng)認(rèn)證程序可以應(yīng)用第二個(gè)元素來(lái)檢查客戶是否可以實(shí)施敏感的實(shí)際操作。典型的例子是SSL和TSL手機(jī)客戶端身份認(rèn)證,這也稱為SSL和TSL雙重檢查。檢查由手機(jī)客戶端和服務(wù)器端組成,并在SSL和TSL的整個(gè)揮舞過程中推送各自的資格證書。正如應(yīng)用服務(wù)器端資格證書希望將資格證書授予組織(CA)以驗(yàn)證網(wǎng)絡(luò)服務(wù)器的真實(shí)性和有效性一樣,網(wǎng)絡(luò)服務(wù)器可以應(yīng)用第三方CS或其自己的CA來(lái)驗(yàn)證客戶端證書的真實(shí)性和有效性。因此,服務(wù)器端必須向客戶顯示轉(zhuǎn)換后的資質(zhì)證書,并為資質(zhì)證書分配相應(yīng)的值,以便于使用該值來(lái)確定資質(zhì)證書匹配的客戶。四.驗(yàn)證錯(cuò)誤如果驗(yàn)證失敗后的錯(cuò)誤沒有得到正確維護(hù),可以用來(lái)枚舉客戶標(biāo)識(shí)和登錄密碼的類型。程序操作應(yīng)以一般方式進(jìn)行。無(wú)論登錄名或密碼是否錯(cuò)誤,都不可能說出當(dāng)前客戶的情況。相關(guān)示例不正確:登錄失敗,登錄密碼無(wú)效;登錄失敗,客戶無(wú)效;登錄失敗,登錄名不正確;使用錯(cuò)誤的密碼登錄失敗;適當(dāng)?shù)南嚓P(guān)示例:登錄失敗、無(wú)效的登錄名或登錄密碼。雖然一些程序返回的錯(cuò)誤是相同的,但是返回的狀態(tài)代碼是不同的,這些情況也會(huì)暴露出來(lái)
行業(yè)資訊
網(wǎng)站安全保護(hù)解決方案百科全書
瀏覽:13 時(shí)間:2024-11-16