网站安全保护解决方案百科全书
浏览:443 时间:2021-3-14

我们已经谈到了一些关于网络安全保护的专业知识。我们来谈谈登录密码的传输、敏感实际操作的二次验证、手机客户端的强认证、验证信息的不正确、避免暴力破解密码、系统日志和监控等。1.登录密码传输登录页面和所有必须验证的后端网页。网页必须通过SSL,TSL或其他安全传输技术浏览。原始登录页面必须通过SSL和TSL进行浏览,否则网络攻击会改变登录表单的动作特征,导致账户登录凭证泄露。如果登录后不使用SSL和TSL对网页进行浏览和验证,网络攻击将窃取未经数据加密的应用标识,严重危害客户当前的主题活动应用。因此,还应该其次,对敏感实际操作的二次验证可以减轻系统漏洞(如CSRF和应用劫持)的危害。升级前账户的敏感信息内容(如客户登录密码、电子邮件、详细交易地址等。),帐户的凭据必须经过身份验证。如果没有这样的对策,网络攻击可以根据CSRF和XSS的攻击实施敏感的实际操作,而不需要知道客户的当前凭证。此外,网络攻击可以暂时触及客户机器和设备并进行浏览。第三,手机客户端强认证程序可以应用第二个元素来检查客户是否可以实施敏感的实际操作。典型的例子是SSL和TSL手机客户端身份认证,这也称为SSL和TSL双重检查。检查由手机客户端和服务器端组成,并在SSL和TSL的整个挥舞过程中推送各自的资格证书。正如应用服务器端资格证书希望将资格证书授予组织(CA)以验证网络服务器的真实性和有效性一样,网络服务器可以应用第三方CS或其自己的CA来验证客户端证书的真实性和有效性。因此,服务器端必须向客户显示转换后的资质证书,并为资质证书分配相应的值,以便于使用该值来确定资质证书匹配的客户。四.验证错误如果验证失败后的错误没有得到正确维护,可以用来枚举客户标识和登录密码的类型。程序操作应以一般方式进行。无论登录名或密码是否错误,都不可能说出当前客户的情况。相关示例不正确:登录失败,登录密码无效;登录失败,客户无效;登录失败,登录名不正确;使用错误的密码登录失败;适当的相关示例:登录失败、无效的登录名或登录密码。虽然一些程序返回的错误是相同的,但是返回的状态代码是不同的,这些情况也会暴露出来