【电商】登录安全

目录

1、登录安全说明

2、登录逻辑安全


1、登录安全说明

用户登录是电商网站整体业务逻辑中重要的一环,又是最容易受到攻击的接口,所以确保登录安全,是电商网站整体业务逻辑中的重点;

互联网泄漏的帐号密码量大约在1.5亿,当登录接口存在安全风险,撞库,扫号,破解密码等行为不禁会影响服务器性能,还会对用户造成极高的风险,重要业务会导致泄密事件的发生。

2、登录逻辑安全

2.1、逻辑错误总结

经过对京东登陆点的梳理,总结出现逻辑错误的类型总结

1、登录页无验证码;

2、验证码存储于cookie中;

3、正确的验证码存在于页面隐藏域中,读取隐藏域,即可得到验证码;

4、验证码与cookie值对应,当cookie值不变,验证码值不变

5、验证码更新由客户端发起请求,客户端不发起请求,验证码可无限制使用

6、验证码与帐号密码不在同一接口验证,导致验证码绕过

7、验证码以简单变形形式存于cookie中(例:base64),解码后可获得验证码

2.2、正确的登录逻辑

正确的登录逻辑应该由以下条件组成:

1、用户名密码与验证码一起提交到登录验证接口;

2、验证码错误返回提示验证码错误信息,并后台更新验证码

3、用户名或密码错误,模糊提示,用户名或密码错误,更新后端验证码

具体登录逻辑图如下:

 

2.3、特殊登录点安全控制

对于特殊登录点,例如ERP外部登录,email登录,vpn登录,此类登录需要如下安全控制方式中的种配合,才能确保安全;

例如email、vpn、erp等重要系统,帐号密码一旦被破解,可能导致泄密,甚至危及内部网络的安全,所以特殊登陆点需要以下安全防护措施:

1、验证码难度加强

2、更加严格的登录策略

3、登录成功后采用二次验证,例如手机短信验证

4、硬件ukey登录

5、采用动态令牌保护

没有更多推荐了,返回首页

私密
私密原因:
请选择设置私密原因
  • 广告
  • 抄袭
  • 版权
  • 政治
  • 色情
  • 无意义
  • 其他
其他原因:
120
出错啦
系统繁忙,请稍后再试

关闭