返回介绍

11.6 业务安全

发布于 2024-10-11 22:28:31 字数 361 浏览 0 评论 0 收藏 0

还有一个场景需要提到,就是互联网应用中与业务逻辑相关的安全问题,统称“业务安全”。例如,一个简单的登录页面,可能涉及人机识别、验证码、找回密码功能等,而攻击者可能会利用暴力破解、撞库等方式进行尝试请求;再例如,一个简单的查看个人信息页面,涉及 Session 或 Cookie 验证,而攻击者可能会通过修改 URL 中的 ID 或者修改本地 Cookie 来看其他人的信息。还有一些是关于接口的安全问题,例如,某分类信息网站的简历泄露事件,就是攻击者组合了 3 个不同的接口获取相应信息。

这里的对抗方法,更多从风控角度出发,收集 access 日志、业务日志进行分析,再结合外部情报(黑白名单库)、机器学习等,是一个非常细分的领域,我们将在第 15 章中详细介绍。

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文