背景:
在互联网网站中,用户注册,登录几乎是每个网站的标配功能。在一般人看来一个小小的登录业务表面上看起来很简单 ,大概过程是这样的:用户在前台页面输入用户名和密码,然后后台web服务器拿到用户输入信息,在数据库里根据用户名和密码匹配一下,有数据返回,表示用户的账号和密码匹配成功,跳转到相关页面;没有则返回登录错误提示用户。这个小小的业务流程看似很简单,但是因为涉及到用户账号和密码这类关键性用户数据,常常成为黑客的攻击点。比如:csdn被人拖库,密码报出明文存储,小米网站爆出泄漏用户登录信息(小米技术人比较牛,密码泄漏后,做了两件事情,第一承认用户账号泄漏,第二泄漏后叫用户别怕,因为加密存储了密码,黑客拿到的是加密后的密码)。京东,支付宝等大的互联网网站等也有暴露过相关泄漏用户账号黑客事件。
由于程序员的开发技术水平参差不齐,项目进度,或者压根就没安全意识等因素,导致编写的用户注册,登录功能存在很大的安全风险。安全小菜鸟在这里罗列一二,以备不时之需。
遇到的安全问题:
1、 拖库
由于程序中存在sql注入漏洞,在客户端输入信息时,用户恶意输入一些sql语句,导致数据库里的用户信息被黑客窃取(有兴趣的同学可以上网搜搜怎样进行sql注入攻击,进行拖库),然后用户的账号信息就被黑客拿到ÿ
登录业务中存在的安全问题
最新推荐文章于 2023-08-11 10:00:00 发布