阿里云安全培训

阿里云安全现状

•个人/企业账号密码攻击

•API，应用攻击

漏洞类型

越权   SQL注入  XSS SSRF JSONP CSRF

账号中心

1.风控问题

a 暴力破解/撞库 ——接口被刷 先跑注册 再跑登录

b.短信轰炸

c.垃圾账号——被抢注  免登SSO时体现出来，融合问题。上传面部识别等来解决。

2.逻辑问题

a.二维码劫持  ——判断二维码生成和登录的地理位置相同

3.其他问题

a.域信任/cookie获取——顶级域名，cookie只能登顶级域； http only

oss权限、远程拉取文件

ffmpeg漏洞

APP越权调用

webview漏洞

SSRF 利用内网服务器向其他内网服务器发起攻击（监控模块）

——解决  安全包  拦截IP

权限问题 

•水平越权

•垂直越权  不同权限之间  管理系统  

水平越权—— 领他人微信红包  防护  查看是否在红包群里

AK验证     代删帖   防护：查userid，利用session做验证

CSRF    购物车多出结账物品

攻击者构造完整数据包

问题：参数可预测，且不限制来源

敏感信息搜集

爬虫工具  搜索引擎  社交    

信息脱敏    找回密码 ——未注册    不能批量来找    

账号体系 ——用户唯一安全标识