登录 | 注册

优就业Web前端教程-WEB安全之威胁解析

首页 > Web前端 > Web标准 2016-10-20 15:48:15 浏览次 共 条评论

收藏赞(分享

主要威胁:

暴力攻击(brute-force attack):这些攻击通过尝试所有可能的字符组合,以发现用户证书。首先尝试使用字典单词、常用密码或可预测的字符组合,优化暴力攻击。

账户劫持(account hijacking):这种威胁包括接管合法用户的账户,有时甚至会拒绝合法用户访问自己的账户。

社会工程(social engineering):这是使用软技巧(而不是软件和硬件技术获得敏感信息(例如:密码)的过程,这些信息可用于影响系统的安全性。

垃圾邮件(spamming):我们都很熟悉这种威胁。它是将大量无用电子邮件发送给用户或Web站点,从而堵塞因特网,有时甚至会引起服务器崩溃。

1.2 建立用户证书

1.2.1 实施强密码

小结:使用技术性方法和策略来确保强用户密码。

威胁:暴力攻击、账户劫持

可靠密码策略:

实施最小长度为8位字符的密码

不限制密码的最大长度

需要多种字符集,包括小写字母、大写字母、数字和标点符号

允许用户在他们的密码中使用任意键盘字符,包括空格

不允许字典单词

不允许密码中出现用户名

攻击工具:

http://neworder.box.sk/codebox.links.php?key=wwwcrks

http://www.securityfocus.com/tools/1127

字典:

http://www.gattinger.org/wordlists/download.html

http://neworder.box.sk/codebox.links.php?key=passdict

1.2.2 避免使用易于猜测的证书

小结:易于猜测的用户名和密码将使用账户容易受到攻击

威胁:暴力攻击、账户猜测、账号劫持

安全策略:

不允许客服人员为客户选择密码

如果随机生成密码,则该密码不要遵循可预测的模式或基于用户名

绝对不要在任何系统上使用默认密码

不要使用可预测的或连续的用户账户名

不要为管理账户使用明显的名称

禁止使用听起来“官方化”的名字(如:administrator,support,root,postmaster,abuse,webmaster,security等

1.2.3 防止证书获取

小结:证书获取将用户暴露在各种攻击之下

威胁:暴力攻击、社会工程、垃圾邮件

安全策略:

绝对不要使用电子邮件地址作为用户名,并且避免在其他地方显示用户的电子邮件地址Ø

避免使用公有的用户目录和白页

允许用户在需要时改变他们的用户名

允许用户将一个或多个公有别名赋给他们的账户

允许探测暴力攻击或获取攻击

1.2.4 限制空闲的账户

小结:空闲的账户更容易成为电脑黑客的目标

威胁:账户劫持

安全策略:

若账户长时间空闲,应该对其进行控制,这需要一个类似于密码检索过程的重新激活过程

避免将任何表明某个账户是空闲的信息提供给其他人

在改变任何账户信息,或者执行重要事务后,通过电子邮件、信件或其他方式通知用户,以防该动作不是同用户本人完成的

使用反欺骗技术,例如:监控殿堂的账户活动

不要自动地为使用离线账户的客户激活在线账户访问

免责声明:本文来源于博客园,由网友提供或网络搜集,仅供个人研究、交流学习使用,不涉及商业盈利目的。如有版权问题,请联系本站管理员予以更改或删除。优知网会定期发布Web前端相关趋势文章,包括 Web标准 HTML5 CSS JS JQuery Ajax 网页特效 等领域,敬请关注!

分享到
人收藏5 收藏
 
我要评价
相关文章
优就业开发分享-亿级 Web 系统的容错性建设实践
优就业开发分享-亿级 Web 系统的容错性建设实践
优就业web前端教程-20个web前端常用的CSS小技巧汇总
优就业web前端教程-20个web前端常用的CSS小技巧汇总
优就业web前端教程-移动web开发之屏幕三要素
优就业web前端教程-移动web开发之屏幕三要素
优就业 Web动效研究与实践
优就业 Web动效研究与实践
 
 

咨询中心

优就业微信扫一扫
微信扫一扫

400-650-7353

加入官方微博