社会工程学和信息泄露和其余一些安全问题

信息泄露

• 泄露系统敏感信息
• 泄露用户敏感信息
• 泄露用户密码

信息泄露的途径

• 错误信息失控
• SQL注入
• 水平权限控制不当
• XSS/CSRF
• ...

社会工程学

• 你的身份由你掌握的资料肯定
• 别人掌握了你的资料
• 别人假装成了你的身份
• 利用你的身份干坏事
• ...

社会工程学案例

• 电信诈骗
• 假装公检法
• QQ视频借钱
• 微信假装成好友

OAuth思想

• 一切行为由用户受权
• 受权行为不泄露敏感信息
• 受权会过时

• 用户受权读取资料
• 无受权的资料不可读取
• 不容许批量获取数据
• 数据接口可风控审计

其余安全问题

• 拒绝DOS
• 重放攻击

拒绝服务供给DOS

• 模拟正经常使用户
• 大量占用服务武器资源
• 没法服务正常正经常使用户
• TCP半链接
• HTTP连接
• DNS

大规模分布式拒绝服务供给DDOS

• 流量十到上百G
• 分布式（肉鸡，代理）
• 极难防护

DOS攻击案例

• 游戏私服互相DDOS
• 换目标，攻击Dns服务器
• DNS服务器机器下线
• 数十万网站DNS解析瘫痪
• 暴风影音后台疯狂请求解析
• 各地local DNS瘫痪，没法上网

DOS攻击防护

• 防火墙
• 交换机，路由器
• 流量清洗
• 高防IP（云）

DOS攻击预防

• 避免重录及业务
• 快速失败访问返回
• 防雪崩机制
• 有损服务
• CDN

重放攻击

• 请求被窃听或记录
• 在次发起相同的请求
• 产生意外的结果
• 用户被屡次消费
• 用户登陆态被盗取
• 屡次抽奖

重放攻击防护

• 加密
• 时间戳
• token（session）
• nonce
• 签名