哈喽哈喽大家好啊!我是小三!
今天要写的是对于用户微服务注册模块需求的安全攻防,你了解多少?喜欢的话可以给我点点关注点点赞呀!
需求分析
在平常我们去一些网站进行用户注册的时候,一般会出现使用手机号或者邮箱进行注册,然后回去验证码,在接着就是填写用户信息了。大致流程如下:手机号或者邮箱注册->获取验证码->添加密码等用户信息->数据库存储信息。这个流程看似简单,其实也并不简单。像一些刚入行一年的初级开发人员,在得到用户注册模块的需求后,会跟着产品经理的需求来进行开发。但有一定经验的开发人员,会考虑到该需求的安全性。
安全性
在安全性上需要注意哪一些点呢?
1、高并发下邮箱的唯一性:要验证该邮箱的地址是否唯一的
2、注册的邮箱或者手机的验证码不能被恶意调用:防止注册的接口被恶意调用进行攻击
3、头像文件存储访问方便管理与简单扩容:当用户量多了,对数据库的存储压力就大了,这时候也要考虑到文件的管理性与扩容性。
安全性的由来之一短信轰炸机
手机的短信轰炸机是可以批量循环的给手机无限量发送各种网站的注册验证码短信的方法,这会带来什么样的损失呢?一条短信验证就需要5分钱,被大量盗刷的话损失也是可想而知的。如果是邮箱通知的话是不需要钱的,但如果被大量盗刷的话,带宽和连接等等都会被占用,导致服务压力大。这些不法分子是怎么样进行这种操作的呢?
1、会寻找大量的肉鸡网站来发送验证码的请求接口
2、如果找不到接口的话,也会使用自动化的工具来进行触发
3、编写程序和调度任务,相关的使用脚本录入数据库
4、输入目标的手机号或者是邮箱,触发短信攻击
开发人员与灰色产业链的攻防
在日常的生活中,我们不难免会看到一些朋友圈、群里经常能看到某平台上的点赞、刷粉等业务,比如微博、抖音这些。
到底为什么会有这些业务的产生呢?很大的程度上就是平台开始研发的时候,没有特别的关注账号的安全体系,所以灰色产业链就盯上了这样的时机,当大平台出现产品,那么就会大量的注册账号,因为这个时候的安全防范最为薄弱,然而这些公司看到注册用户那么多,开心都来不及了,那会想那么多。殊不知...
有谁能知道一个大厂里的产品,有上亿甚至几十亿的账号,会有多少僵尸号呢