社會工程學和信息泄露和其餘一些安全問題

信息泄露

• 泄露系統敏感信息
• 泄露用戶敏感信息
• 泄露用戶密碼

信息泄露的途徑

• 錯誤信息失控
• SQL注入
• 水平權限控制不當
• XSS/CSRF
• ...

社會工程學

• 你的身份由你掌握的資料肯定
• 別人掌握了你的資料
• 別人假裝成了你的身份
• 利用你的身份幹壞事
• ...

社會工程學案例

• 電信詐騙
• 假裝公檢法
• QQ視頻借錢
• 微信假裝成好友

OAuth思想

• 一切行爲由用戶受權
• 受權行爲不泄露敏感信息
• 受權會過時

• 用戶受權讀取資料
• 無受權的資料不可讀取
• 不容許批量獲取數據
• 數據接口可風控審計

其餘安全問題

• 拒絕DOS
• 重放攻擊

拒絕服務供給DOS

• 模擬正經常使用戶
• 大量佔用服務武器資源
• 沒法服務正常正經常使用戶
• TCP半鏈接
• HTTP連接
• DNS

大規模分佈式拒絕服務供給DDOS

• 流量十到上百G
• 分佈式（肉雞，代理）
• 極難防護

DOS攻擊案例

• 遊戲私服互相DDOS
• 換目標，攻擊Dns服務器
• DNS服務器機器下線
• 數十萬網站DNS解析癱瘓
• 暴風影音後臺瘋狂請求解析
• 各地local DNS癱瘓，沒法上網

DOS攻擊防護

• 防火牆
• 交換機，路由器
• 流量清洗
• 高防IP（雲）

DOS攻擊預防

• 避免重錄及業務
• 快速失敗訪問返回
• 防雪崩機制
• 有損服務
• CDN

重放攻擊

• 請求被竊聽或記錄
• 在次發起相同的請求
• 產生意外的結果
• 用戶被屢次消費
• 用戶登陸態被盜取
• 屢次抽獎

重放攻擊防護

• 加密
• 時間戳
• token（session）
• nonce
• 簽名