本文章转载自 http://www.xuebuyuan.com/60198.html

主要威胁:

暴力攻击(brute-force attack):这些攻击通过尝试所有可能的字符组合,以发现用户证书。首先尝试使用字典单词、常用密码或可预测的字符组合,优化暴力攻击。

账户劫持(account hijacking):这种威胁包括接管合法用户的账户,有时甚至会拒绝合法用户访问自己的账户。

社会工程(social engineering):这是使用软技巧(而不是软件和硬件技术获得敏感信息(例如:密码)的过程,这些信息可用于影响系统的安全性。

垃圾邮件(spamming):我们都很熟悉这种威胁。它是将大量无用电子邮件发送给用户或Web站点,从而堵塞因特网,有时甚至会引起服务器崩溃。

1.2 建立用户证书

1.2.1 实施强密码

小结:使用技术性方法和策略来确保强用户密码。

威胁:暴力攻击、账户劫持

可靠密码策略:

  • 实施最小长度为8位字符的密码
  • 不限制密码的最大长度
  • 需要多种字符集,包括小写字母、大写字母、数字和标点符号
  • 允许用户在他们的密码中使用任意键盘字符,包括空格
  • 不允许字典单词
  • 不允许密码中出现用户名

攻击工具:

http://neworder.box.sk/codebox.links.php?key=wwwcrks

http://www.securityfocus.com/tools/1127

字典:

http://www.gattinger.org/wordlists/download.html

http://neworder.box.sk/codebox.links.php?key=passdict

1.2.2 避免使用易于猜测的证书

小结:易于猜测的用户名和密码将使用账户容易受到攻击

威胁:暴力攻击、账户猜测、账号劫持

安全策略:

  • 不允许客服人员为客户选择密码
  • 如果随机生成密码,则该密码不要遵循可预测的模式或基于用户名
  • 绝对不要在任何系统上使用默认密码
  • 不要使用可预测的或连续的用户账户名      
  • 不要为管理账户使用明显的名称        

禁止使用听起来“官方化”的名字(如:administrator,support,root,postmaster,abuse,webmaster,security等

1.2.3 防止证书获取

小结:证书获取将用户暴露在各种攻击之下

威胁:暴力攻击、社会工程、垃圾邮件

安全策略:        

  • 绝对不要使用电子邮件地址作为用户名,并且避免在其他地方显示用户的电子邮件地址Ø        
  • 避免使用公有的用户目录和白页        
  • 允许用户在需要时改变他们的用户名        
  • 允许用户将一个或多个公有别名赋给他们的账户        
  • 允许探测暴力攻击或获取攻击
  • 1.2.4 限制空闲的账户

    小结:空闲的账户更容易成为电脑黑客的目标

    威胁:账户劫持

    安全策略:

    若账户长时间空闲,应该对其进行控制,这需要一个类似于密码检索过程的重新激活过程

    避免将任何表明某个账户是空闲的信息提供给其他人

    在改变任何账户信息,或者执行重要事务后,通过电子邮件、信件或其他方式通知用户,以防该动作不是同用户本人完成的

    使用反欺骗技术,例如:监控殿堂的账户活动

    不要自动地为使用离线账户的客户激活在线账户访问

    1.3 管理密码

    1.3.1 存储密码

    小结:对于应用程序和其他人来说,存储在数据库中的密码是一种危险

    威胁:账户劫持、潜在的可能性

    安全策略:

    绝对不要在普通文本中存储密码,也不要使用可逆加密方法

    使用强哈希算法,例如MD5、SHA-1,SHA256或SHA512

    1.3.2 密码时效和历史记录

    小结:旧密码或重用的密码将给攻击者提供更多的机会

    威胁:暴力攻击、账户劫持

    安全策略:

    设置适合于应用程序和用户的最长密码时效

    保持最近密码列表,以防止密码重用

    如果可能,实施密码重新设置之间的最短时间间隔

    1.3.3 改变密码

    小结:简化并鼓励用户定期改变密码

    威胁:暴力攻击、账户劫持

    安全策略:

    总是允许用户自己改变密码

    用户可以直观并简单地改变密码

    提醒或强迫用户定期改变密码

    需要知道原有的密码才能改变新密码

    需要用户输入两次新密码,以确保准确性

    通过电子邮件或其他通信方式确认账户改变

    改变密码后,终止所有活动的会话,并且要求验证

    1.4 重新设置丢失或被贵忘的密码

    1.4.1 重新设置密码

    小结:按照精心计划的过程重新设置被丢失或遗忘的密码

    威胁:暴力攻击、账户劫持

    安全策略:

    将重新设置密码作为安全事件对待,记录客户端的IP地址,并且采取其他实际的安全措施

    绝对不要找回用户的密码;只允许用户设置新密码

    绝对不要使用密码提示来提醒用户实际密码

    通过回答安全问题或提供与账户相关的信息,请求用户表明对该账户的了解程序。绝对不允许匿名重新设置密码

    发送给用户一封电子邮件,确认重新设置密码,提供一个安全链接以完成该过程

    如果可行的话,清除任何使用账户存储的敏感信息,例如:信用卡号

    在重新设置密码后终止所有现有的会话

    1.4.2 通过电子邮件发送信息

    小结:电子邮件是不安全的,不应该使用它传送敏感信息

    威胁:敏感信息泄漏、账户劫持、用户隐私

    安全策略:

    绝对不要通过电子邮件发送敏感信息,例如:用户证书或信用卡信息

    绝对不要只依赖电子邮件来验证用户的身份

    不要使用电子邮件来保存包含敏感信息的Web表单提交结果

    如果可能的话,数字化签名或加密电子邮件通信

    1.4.3 分配临时密码

    小结:除非强迫执行,否则用户不会改变临时密码

    威胁:账户劫持、密码猜测

    安全策略:

    避免允许客服代表设置临时密码
    如果必须使用临时密码,则使用强随机密码生成器

    如果必须使用临时密码,则提供很短的过期日期,或者将密码设置为已经过期

    1.4.4 使用秘密问题

    小结:秘密问题并不是密码的代替品

    威胁:敏感信息泄漏、账户劫持、用户隐私

    比较好的秘密问题示例:

    a)
    第一个男朋友或女朋友的姓名是什么?

    b)
    在童年时代,印象最深的电话号码是哪一个?

    c)
    在孩童年代,最喜欢去的地方是哪儿?

    d)
    喜爱的演员、音乐家和艺术家分别是谁?

    安全策略:

    秘密问题自身并不安全,绝对不应该等同于密码进行使用

    允许用户在需要的时候改变秘密问题和答案

    检测对秘密问题的暴力攻击

    1.5 授权用户

    1.5.1教育用户

    小结:用户必须知道如何保护他们的账户

    威胁:账户劫持、社会工程、身份窃取

    安全策略:

    通过各种媒体,教育用户使用Web应用程序时所涉及的各种安全风险

    如果可能的话,给用户提供一个论坛来讨论安全问题
    绝对不要发送给用户的电子邮件中提供链接或表单,要求他们登录到账户

    1.5.2 让用户置身其中

    小结:让用户参与安全性防护将提高用户对安全性的理解,并且有助于限制各种攻击

    威胁:账户劫持、社会工程

    安全策略:

    允许用户访问安全事务和事件的历史记录

    提供给用户一种清楚并简单的方法来报告安全事故,并且要求他们报告任何可疑事件
    如果可能的话,给用户提供一个论坛来讨论安全问题和事故
    允许需要使用高级安全安全选项的用户访问这些选项
    给用户提供一种方法来废除他们不再希望使用的账户

WEB安全之威胁解析的更多相关文章

  1. 详解http报文(2)-web容器是如何解析http报文的

    摘要 在详解http报文一文中,详细介绍了http报文的文本结构.那么作为服务端,web容器是如何解析http报文的呢?本文以jetty和undertow容器为例,来解析web容器是如何处理http报 ...

  2. Spring框架之spring-web web源码完全解析

    Spring框架之spring-web web源码完全解析 spring-web是Spring webMVC的基础,由http.remoting.web三部分组成,核心为web模块.http模块封装了 ...

  3. Web安全测试——威胁攻防

    SQL注入 部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患.用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL In ...

  4. WEB请求过程(http解析,浏览器缓存机制,域名解析,cdn分发)

    概述 发起一个http请求的过程就是建立一个socket通信的过程. 我们可以模仿浏览器发起http请求,譬如用httpclient工具包,curl命令等方式. curl "http://w ...

  5. 微软BI 之SSIS 系列 - 在 SSIS 中使用 Web Service 以及 XML 解析

    开篇介绍 Web Service 的用途非常广几乎无处不在,像各大门户网站上的天气预报使用到的第三方 Web Service API,像手机客户端和服务器端的交互等都可以通过事先设计好的 Web Se ...

  6. C# WEB.API 接收并解析保存base64格式的图片

    using System; using System.Collections.Generic; using System.Drawing; using System.IO; using System. ...

  7. 黑客攻防技术宝典web实战篇:解析应用程序习题

    猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 当解析一个应用程序时,会遇到以下 URL:https://wahh-app.com/Coo ...

  8. Java Web中的编码解析

    在springmvc工程web.xml中配置中文编码 <!-- 配置请求过滤器,编码格式设为UTF-8,避免中文乱码--> <filter> <filter-name&g ...

  9. C++请求web service与xml解析

    1. C++解析XML的开源库 在项目中XML的解析使用的是开源的第三方库,TinyXML:这个解析库的模型通过XML文件,然后再内存中生成DOM模型,从而让我们能够非常方便的遍历这颗XML树. DO ...

随机推荐

  1. ASP.NET中如何删除最近打开的项目和文件的记录

    ASP.NTET中总是保留最近打开的项目和文件的记录,甚至是已删除的它也不删.下面介绍几种删除的方法: 第一种:建立一个bat文件,以后双击即可清除,内置代码如下: @echo off@REG Del ...

  2. 5 commands to check memory usage on Linux

    Memory Usage On linux, there are commands for almost everything, because the gui might not be always ...

  3. hdu 携程全球数据中心建设 (球面距离 + 最小生成树)

    题目 #include <iostream> #include <cstdio> #include <cstring> #include <cstdlib&g ...

  4. java怎样读取数据库表中字段的数据类型?

    用DriverManager.getConnection()得到connect, 用connect.getMetaData()得到 DatabaseMetaData, 用 DatabaseMetaDa ...

  5. Python3 学习第二弹: 字符串String

    字符串表示问题 常见用法 '' 与 "" 就不提了 一些特殊用法 三引号:接收多行字符串的输入 >>>print('''Oh my God!''') Oh my ...

  6. bzoj2791

    每个顶点有且仅有一条出边是什么意思呢 类似一棵树,树上的边都是由儿子指向父亲的,并且这个东西带着一个环 也就是一个个有向环套有向树…… 这题还是比较简单的,把环作为根然后类似lca做即可,注意细节的p ...

  7. Android Broadcast Receiver

    说明 有时候我们在做android系统软件的时候,经常会需要做的事就是开机重新设置上次关机前的状态,当然,我们就会用到这个开机广播: <uses-permission android:name= ...

  8. 【 D3.js 高级系列 — 10.0 】 思维导图

    思维导图的节点具有层级关系和隶属关系,很像枝叶从树干伸展开来的形状.在前面讲解布局的时候,提到有五个布局是由层级布局扩展来的,其中的树状图(tree layout)和集群图(cluster layou ...

  9. 最简单的视音频播放示例9:SDL2播放PCM

    本文记录SDL播放音频的技术.在这里使用的版本是SDL2.实际上SDL本身并不提供视音频播放的功能,它只是封装了视音频播放的底层API.在Windows平台下,SDL封装了Direct3D这类的API ...

  10. CKEditor如何统计文字数量

    今天在修改v5后台的比赛系统时,发现文本框需要限制输入字数.我们这个系统用的是3.6.3版本的,前台代码是这样的 <script> //编辑器 CKEDITOR.replace('matc ...