- 对本书的赞誉
- 序一
- 序二
- 序三
- 前言
- 第一部分 安全架构
- 第 1 章 企业信息安全建设简介
- 第 2 章 金融行业的信息安全
- 第 3 章 安全规划
- 第 4 章 内控合规管理
- 第 5 章 安全团队建设
- 第 6 章 安全培训
- 第 7 章 外包安全管理
- 第 8 章 安全考核
- 第 9 章 安全认证
- 第 10 章 安全预算、总结与汇报
- 第二部分 安全技术实战
- 第 11 章 互联网应用安全
- 第 12 章 移动应用安全
- 第 13 章 企业内网安全
- 第 14 章 数据安全
- 第 15 章 业务安全
- 第 16 章 邮件安全
- 第 17 章 活动目录安全
- 第 18 章 安全热点解决方案
- 第 19 章 安全检测
- 第 20 章 安全运营
- 第 21 章 安全运营中心
- 第 22 章 安全资产管理和矩阵式监控
- 第 23 章 应急响应
- 第 24 章 安全趋势和安全从业者的未来
- 附录
文章来源于网络收集而来,版权归原创者所有,如有侵权请及时联系!
11.6 业务安全
还有一个场景需要提到,就是互联网应用中与业务逻辑相关的安全问题,统称“业务安全”。例如,一个简单的登录页面,可能涉及人机识别、验证码、找回密码功能等,而攻击者可能会利用暴力破解、撞库等方式进行尝试请求;再例如,一个简单的查看个人信息页面,涉及 Session 或 Cookie 验证,而攻击者可能会通过修改 URL 中的 ID 或者修改本地 Cookie 来看其他人的信息。还有一些是关于接口的安全问题,例如,某分类信息网站的简历泄露事件,就是攻击者组合了 3 个不同的接口获取相应信息。
这里的对抗方法,更多从风控角度出发,收集 access 日志、业务日志进行分析,再结合外部情报(黑白名单库)、机器学习等,是一个非常细分的领域,我们将在第 15 章中详细介绍。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论