阿里云安全现状
•个人/企业账号密码攻击
•API,应用攻击
漏洞类型
越权 SQL注入 XSS SSRF JSONP CSRF
账号中心
1.风控问题
a 暴力破解/撞库 ——接口被刷 先跑注册 再跑登录
b.短信轰炸
c.垃圾账号——被抢注 免登SSO时体现出来,融合问题。上传面部识别等来解决。
2.逻辑问题
a.二维码劫持 ——判断二维码生成和登录的地理位置相同
3.其他问题
a.域信任/cookie获取——顶级域名,cookie只能登顶级域; http only
oss权限、远程拉取文件
ffmpeg漏洞
APP越权调用
webview漏洞
SSRF 利用内网服务器向其他内网服务器发起攻击(监控模块)
——解决 安全包 拦截IP
权限问题
•水平越权
•垂直越权 不同权限之间 管理系统
水平越权—— 领他人微信红包 防护 查看是否在红包群里
AK验证 代删帖 防护:查userid,利用session做验证
CSRF 购物车多出结账物品
攻击者构造完整数据包
问题:参数可预测,且不限制来源
敏感信息搜集
爬虫工具 搜索引擎 社交
信息脱敏 找回密码 ——未注册 不能批量来找
账号体系 ——用户唯一安全标识
