账号体系安全实践.pdf- Dirty Read:Transaction T1 modifies a

文件名称: 账号体系安全实践.pdf

所属分类: Web开发

开发工具:

文件大小: 2mb

下载次数: 0

上传时间: 2019-07-03

提供者: aiafe*****

下载 (2mb)

不能下载？报告错误

详细说明：- Dirty Read:Transaction T1 modifies a data item.Another transaction T2 then reads that data item before T1 performs a COMMIT or ROLLBACK. If T1 then performs a ROLLBACK, T2 has read a data item that was never committed and so never really existed.密码体系的漏洞今天不讲这个稍微讲讲 cookie安全不可伪造:不可猜测性, cookie怎么设计 Httponly:防止 cookie被Xs'俞 htps:防止 cookie在网络中被偷 Secure阻cookie在非hts下传输,很多全站https时会漏掉 Path:区分 cookie的标识,安全上作用不大,和浏览器同源冲突不区分端口:区分 cookie的标识,安全上作用不大,和浏览器同源冲突登录凭证的一些漏温二维码登录劫持单点登录的劫持第三方登录 app内嵌页登录 ·新增绑定账号漏洞跨域传输认证信息( jsonp postmessage) · Oauth授权相关漏洞 ·双因素覆盖不全双因素覆盖不全双因素后获取的凭证,在无需双因素处可以获得案例淘宝异地登录短信认证绕过某微博的双因素认证绕过某app移动端登录获取pC端双因素后的 cookie 维码扫描登录的风阶无行为确认用户扫措二维码后,系统需提示用户检验二维码的行为。若无确认,用户扫描攻击者的登录二维码后,相当于给攻击者的票授权案例:可以欺骗劫持进入来往用户的帐号htp:// /WW. Wooyun。rg/ bugs/wooyun 2010-040673 维码扫描登录的风阶 CSRF漏洞伪造授权请求者擺如果可以被攻击者伪造,攻击者可以伪造请求让用户扫描维码后执行,或让用户以其他形式对攻击一些二维码的授权请求在web登陆状态下有效,增大了攻击面案例: 微博上点开我发的链接我就可登进你的淘宝支付宝和微博htp;//www.wooyun。rg/buqs∧wooyun2010-099486 聊着聊着我就上了你.…的微信 http://www.wooyun.org/bugs/wooyun-2010-070454 维码扫描登录安仝实践用户扫描二维码后,系统需提示用户检验二维码的行为,告知风险,询问用户是否要执行操作 √用户确认后的请求攻击者无法伪造,比如和用户身份相关的一个校验 token √二维码的授权请求在web登陆状态下不可用曾见通行证登录个绍需求:如果用户已经登陆B站,则自动登陆A站实现:用户访问A站,A把用户跳转到B站,B站验证用户已登陆,给用户一张票,用户拿看票去找A站,A拿着票去B那,验证成功后放用卢进去 A:http://www.t99y.com B:http://passport.wangzhan.com 举例:用户访问 http://passport.wangzhan.com/login.php?url=http://www.t99y.com/a.php B站检验A站是白名单域后,然后302跳转到 http://www.t99y.com/a.php?ticket=**x**x 然后aphp用 ticket参数去B站验证用户合法后,给用户种认证 cookie

(系统自动生成,下载前可以参看下载内容)