我們已經談到了一些關于網絡安全保護的專業知識。我們來談談登錄密碼的傳輸、敏感實際操作的二次驗證、手機客戶端的強認證、驗證信息的不正確、避免暴力破解密碼、系統日志和監控等。1.登錄密碼傳輸登錄頁面和所有必須驗證的后端網頁。網頁必須通過SSL,TSL或其他安全傳輸技術瀏覽。原始登錄頁面必須通過SSL和TSL進行瀏覽,否則網絡攻擊會改變登錄表單的動作特征,導致賬戶登錄憑證泄露。如果登錄后不使用SSL和TSL對網頁進行瀏覽和驗證,網絡攻擊將竊取未經數據加密的應用標識,嚴重危害客戶當前的主題活動應用。因此,還應該其次,對敏感實際操作的二次驗證可以減輕系統漏洞(如CSRF和應用劫持)的危害。升級前賬戶的敏感信息內容(如客戶登錄密碼、電子郵件、詳細交易地址等。),帳戶的憑據必須經過身份驗證。如果沒有這樣的對策,網絡攻擊可以根據CSRF和XSS的攻擊實施敏感的實際操作,而不需要知道客戶的當前憑證。此外,網絡攻擊可以暫時觸及客戶機器和設備并進行瀏覽。第三,手機客戶端強認證程序可以應用第二個元素來檢查客戶是否可以實施敏感的實際操作。典型的例子是SSL和TSL手機客戶端身份認證,這也稱為SSL和TSL雙重檢查。檢查由手機客戶端和服務器端組成,并在SSL和TSL的整個揮舞過程中推送各自的資格證書。正如應用服務器端資格證書希望將資格證書授予組織(CA)以驗證網絡服務器的真實性和有效性一樣,網絡服務器可以應用第三方CS或其自己的CA來驗證客戶端證書的真實性和有效性。因此,服務器端必須向客戶顯示轉換后的資質證書,并為資質證書分配相應的值,以便于使用該值來確定資質證書匹配的客戶。四.驗證錯誤如果驗證失敗后的錯誤沒有得到正確維護,可以用來枚舉客戶標識和登錄密碼的類型。程序操作應以一般方式進行。無論登錄名或密碼是否錯誤,都不可能說出當前客戶的情況。相關示例不正確:登錄失敗,登錄密碼無效;登錄失敗,客戶無效;登錄失敗,登錄名不正確;使用錯誤的密碼登錄失敗;適當的相關示例:登錄失敗、無效的登錄名或登錄密碼。雖然一些程序返回的錯誤是相同的,但是返回的狀態代碼是不同的,這些情況也會暴露出來
行業資訊