Java服务开发知识之常见安全威胁分析和解决方法

网友投稿 683 2022-05-29

安全威胁以及解决方法(横线后面的就是解决方法)

§ Spoofing 仿冒——认证

搞一个克隆的手机号, 接入到公用wifi中看违反视频干违法之事,然后另一个人背锅了 ( 外部交互方)—— 手机短信验证码接入, 或者ssl证书双向认证

公用wifi被我替换成了仿冒的同名假wifi, 其他手机就误接进来了,我就能偷偷知道谁在下小黄片了 (处理过程), 或者是搞了个假的淘宝,让别人点进来—— ssl双向认证

§ Tampering 篡改——完整性

服务器的监听特性被纂改?(处理过程)—— 校验端口正确,配置文件mac对比,mac存到服务端

Java云服务开发知识之常见安全威胁分析和解决方法

直接再数据库里修改你的个人信息或者金钱(存储)——acl权限控制

某app偷偷修改你的host,把你想发给华为的数据发送到黑客的服务器上了。(数据流) —— acl权限认证,host不可更改,或者文件mac对比

§ Repudiation 抵赖,否认做过的事——防抵赖

有人用root登录后干了rm -rf 这事, 却说自己没做过,你查不到我(外部交互方) ——审计日志

修改日志记录函数(例如替换jar包之类的), 日志故意不记录自己的名字 ( 处理过程)——认证

直接去存储的地方修改日志信息(存储过程, 只有日志会存盘才有可能)——认证

§ Imformation Disclosure 信息泄露——机密性

从app的应用启动目录找到一个二进制文件,可以解密处密钥(处理过程)——加密

入侵数据库里。可以找到明文口令(存储过程)——加密

明文口令直接加在http中, 然后被人直接抓包拿到口令了(数据流)——加密

§ Denial of Service 拒绝服务——可用性

服务器承载不住请求量,内存不足或者cpu爆满(处理过程) ——负载均衡

疯狂执行写操作,然后磁盘满了(存储过程)——缓存

故意拦截中间链路,导致数据流中断(数据流)——过滤

§ Elevation of privilege 权限提升——授权

在处理过程中, 用户权限比实际的高(处理过程)——权限最小化\沙箱

§ Privacy隐私

外部交互方: 没有经过用户同意,就收集隐私—— 应该加勾选项告知用户

数据存储: 直接把用户数据存盘却没有加密或者脱敏—— 数据脱敏、匿名化

智能数据 EI企业智能 数据湖治理中心 DGC

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:程序员该用哪种姿势来理财
下一篇:【云驻共创】 深入理解基于华为鲲鹏处理器的极致性能优化
相关文章