Java云服务开发知识之常见安全威胁分析和解决方法

安全威胁以及解决方法（横线后面的就是解决方法）

§ Spoofing 仿冒——认证

搞一个克隆的手机号， 接入到公用wifi中看违反视频干违法之事，然后另一个人背锅了 （ 外部交互方）—— 手机短信验证码接入， 或者ssl证书双向认证

公用wifi被我替换成了仿冒的同名假wifi， 其他手机就误接进来了，我就能偷偷知道谁在下小黄片了 （处理过程）， 或者是搞了个假的淘宝，让别人点进来—— ssl双向认证

§ Tampering 篡改——完整性

服务器的监听特性被纂改?（处理过程）—— 校验端口正确，配置文件mac对比，mac存到服务端

直接再数据库里修改你的个人信息或者金钱（存储）——acl权限控制

某app偷偷修改你的host，把你想发给华为的数据发送到黑客的服务器上了。（数据流) —— acl权限认证，host不可更改，或者文件mac对比

§ Repudiation 抵赖，否认做过的事——防抵赖

有人用root登录后干了rm -rf 这事， 却说自己没做过，你查不到我（外部交互方) ——审计日志

修改日志记录函数（例如替换jar包之类的）， 日志故意不记录自己的名字 （ 处理过程）——认证

直接去存储的地方修改日志信息（存储过程， 只有日志会存盘才有可能）——认证

§ Imformation Disclosure 信息泄露——机密性

从app的应用启动目录找到一个二进制文件，可以解密处密钥（处理过程）——加密

入侵数据库里。可以找到明文口令（存储过程）——加密

明文口令直接加在http中， 然后被人直接抓包拿到口令了（数据流）——加密

§ Denial of Service 拒绝服务——可用性

服务器承载不住请求量，内存不足或者cpu爆满（处理过程） ——负载均衡

疯狂执行写操作，然后磁盘满了（存储过程）——缓存

故意拦截中间链路，导致数据流中断（数据流）——过滤

§ Elevation of privilege 权限提升——授权

在处理过程中， 用户权限比实际的高（处理过程）——权限最小化\沙箱

§ Privacy隐私

外部交互方： 没有经过用户同意，就收集隐私—— 应该加勾选项告知用户

数据存储： 直接把用户数据存盘却没有加密或者脱敏—— 数据脱敏、匿名化

智能数据 EI企业智能 数据湖治理中心 DGC

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。