阿里云安全培训

阿里云安全现状

•个人/企业账号密码攻击

•API,应用攻击


漏洞类型

越权   SQL注入  XSS SSRF JSONP CSRF

账号中心

1.风控问题

a 暴力破解/撞库 ——接口被刷 先跑注册 再跑登录

b.短信轰炸

c.垃圾账号——被抢注  免登SSO时体现出来,融合问题。上传面部识别等来解决。

2.逻辑问题

a.二维码劫持  ——判断二维码生成和登录的地理位置相同

3.其他问题

a.域信任/cookie获取——顶级域名,cookie只能登顶级域; http only

oss权限、远程拉取文件

ffmpeg漏洞

APP越权调用

webview漏洞


SSRF 利用内网服务器向其他内网服务器发起攻击(监控模块)

——解决  安全包  拦截IP

权限问题 

•水平越权

•垂直越权  不同权限之间  管理系统  

水平越权—— 领他人微信红包  防护  查看是否在红包群里

AK验证     代删帖   防护:查userid,利用session做验证


CSRF    购物车多出结账物品

攻击者构造完整数据包

问题:参数可预测,且不限制来源


敏感信息搜集

爬虫工具  搜索引擎  社交    

信息脱敏    找回密码 ——未注册    不能批量来找    


账号体系 ——用户唯一安全标识

你可能感兴趣的:(阿里云安全培训)