Atitit 登录模块常见的安全措施条例与攻击行为表 目录 1. 安全目标 1 2. 常见安全措施 2 2.1. 修改密码需要验证员密码 2 2.2. 密码Salt加盐机制 2 2.3. Sql防注
Atitit 登录模块常见的安全措施条例与攻击行为表
目录
1. 安全目标 1
2. 常见安全措施 2
2.1. 修改密码需要验证员密码 2
2.2. 密码Salt加盐机制 2
2.3. Sql防注入 2
2.4. 弱口令 防爆次数限制 2
2.5. 钓鱼输入各种账号密码信息 2
2.6. 不同权限用户(商户 管理员)隔离开ui与数据库 2
2.7. 权限标识等重要放入mrz区效验 2
2.8. Cookie加密mrz区 2
3. 常见攻击行为 3
3.1. 非法获取密码和权限 3
3.2. 暴力破解 3
3.3. 彩红标攻击 3
3.4. Sql注入 3
3.5. 拖库攻击 破解出用户的密码 3
3.6. 伪造登录请求 3
3.7. 劫持了用户的请求数据 3
4. 来源相关规范 3
4.1. Atitit 登录账号管理法passport v4 3
4.2. Atitit 安全登录退出管理法v3 tbb.docx 4
4.3. Atitit 信息系统安全法v3 非法攻击行为 列表 4
说具体一些,我们理想中的绝对安全的系统大概是这样的:
- 首先保障数据很难被拖库。
- 即使数据被拖库,攻击者也无法从中破解出用户的密码。
- 即使数据被拖库,攻击者也无法伪造登录请求通过验证。
- 即使数据被拖库,攻击者劫持了用户的请求数据,也无法破解出用户的密码
- 常见安全措施
- 修改密码需要验证员密码
- 密码Salt加盐机制
- Sql防注入
- 弱口令 防爆次数限制
- 钓鱼输入各种账号密码信息
- 不同权限用户(商户 管理员)隔离开ui与数据库
- 权限标识等重要放入mrz区效验
- Cookie加密mrz区
非mrz区用来调试与人工识别
- Atitit 登录账号管理法passport v4
目录
1. 总则 2
1.1. 身份分类登录账号 管理员 操作人员 普通用户 2
1.2. 安全考虑,必须单独分开的账号储存表,使用不同等加密技术与秘钥 2
1.3. 第三条 登录账号登记的项目包括:acc登录账号,密码(加密存储),密码签名,acctype账号类型(uname,eml,手机),姓名、出生日期、住址、身份号码、本人相片、 有效期和签发机关。Id编码 2
1.4. 登录账号Id编码号码是每个用户唯一的、终身不变的身份代码,由 机关按照用户身份号码标准编制 2
2. 第二章 申领和发放 2
3. 第三章 使用和查验 5 2
3.1. 查验时机 2
3.2. 查验条目 3
3.3. 查验防篡改状态(账户名 密码签名等)salt机制。。 3
3.4. 黑名单(冻结名单)检查 3
3.5. 账号注销状态 3
4. 系统常用登录账号法 uname 手机号email 3
4.1. Exampl 3
5. Ref 4
- Atitit 安全登录退出管理法v3 tbb.docx
目录
1.1. 未持有效出入边界票据。。校验票据有效性 1
1.2. 从事与票据种类不符的活动的 2
1.3. 数据为数字的应该校验数字 2
2. 第三章 使用和查验 5 2
2.1. 黑名单(冻结名单)检查 2
3. 登录票据法visa 2
3.1. 1. 总则 1 2
3.2. 1.1. 身份分类 管理员 操作人员 普通用户 1 2
3.3. 1.2. 第十七条 票据的登记项目包括:种类,持有人姓名、使用次数、有效期、,签发日期、地点(ip+浏览器id),其他证件号码(登录账户,用户名,手机号码)等。 1 2
3.4. 1.3. 黑名单(冻结名单)检查 1 2
3.5. 2. 第二章 申领和发放 4 2 2
3.6. 3. 第三章 使用和查验 5 2 2
3.7. 3.1. 票据作废 2 2
4. 系统常用票据法 cookie session token 3
5. Php设置登录票据cookie法 3
6. Ref出境入境管理法100条 4
- Atitit 信息系统安全法v3 非法攻击行为 列表
常见 Web 安全攻防总结 - zoumiaojiang.html
Atitit 登录模块常见的安全措施条例与攻击行为表 目录 1. 安全目标 1 2. 常见安全措施 2 2.1. 修改密码需要验证员密码 2 2.2. 密码Salt加盐机制 2 2.3. Sql防注相关推荐
- salt加盐MD5加密代码
普通的md5因为其代表的密码是一致的,这里说的比较抽象,看下面举的例子 例如一串密码wer123456,加密后可能会是b6a6c36f9d25aa74(瞎写的) 其中w,e,r,1,2,3,4,5,6 ...
- Java使用MD5加盐对密码进行加密处理,附注册和登录加密解密处理
前言 在开发的时候,有一些敏感信息是不能直接通过明白直接保存到数据库的.最经典的就是密码了.如果直接把密码以明文的形式入库,不仅会泄露用户的隐私,对系统也是极其的不厉,这样做是非常危险的. 那么我们就 ...
- 加盐密码哈希:如何正确使用 (密码加密的经典文章)
https://crackstation.net/hashing-security.htm http://blog.jobbole.com/61872/ 本文由 伯乐在线 - 蒋生武 翻译.未经许可, ...
- 加盐密码哈希:如何正确使用 (转)
转自http://blog.jobbole.com/61872/#java 转自http://blog.csdn.net/coslay/article/details/50382252#t14 如果你 ...
- 加盐哈希-Salted Password Hashing
(译文:http://blog.jobbole.com/61872/ (中文) 原文:https://crackstation.net/hashing-security.htm (英文) 个人推荐英文 ...
- 加盐密码哈希:如何正确使用
如果你是Web开发者,你很可能需要开发一个用户账户系统.这个系统最重要的方面,就是怎样保护用户的密码.存放帐号的数据库经常成为入侵的目标,所以你必须做点什么来保护密码,以防网站被攻破时发生危险.最好的 ...
- 密码加密 加盐 Java PBKDF2 密码哈希代码
如果你是Web开发者,你很可能需要开发一个用户账户系统.这个系统最重要的方面,就是怎样保护用户的密码.存放帐号的数据库经常成为入侵的目标,所以你必须做点什么来保护密码,以防网站被攻破时发生危险.最好的 ...
- 加盐密码哈希,如何正确使用
加盐密码哈希:如何正确使用 2014/03/19 | 分类: IT技术 | 6 条评论 | 标签: 哈希, 安全, 密码 分享到: 110 本文由 伯乐在线 - 蒋生武 翻译自 Crackstatio ...
- Java:博客系统,实现加盐加密,分页,草稿箱,定时发布
文章目录 1. 项目概述 2. 准备工作 2.1 数据库表格代码 2.2 前端代码 2.3 配置文件 3. 准备项目结构 3.1 拷贝前端模板 3.2 定义实体类 3.3 定义mapper接口和 xm ...
- [转]加盐hash保存密码的正确方式
本文转自:http://drops.wooyun.org/papers/1066 0x00 背景 大多数的web开发者都会遇到设计用户账号系统的需求.账号系统最重要的一个方面就是如何保护用户的密码.一 ...
最新文章
- python大神教程_大神python教程415集全套,拿走不谢
- 如何取消或定制当点击GridView 的时候出现的那个黄色背景
- 2019b官方手册中文版_数据科学|「最全」实至名归,NumPy 官方早有中文教程,结合深度学习,还有防脱发指南...
- LeetCode 278. 第一个错误的版本(二分查找)
- rtt面向对象oopc——2.对象容器理解和rtt类的联系
- 95-070-040-源码-源码调试-FLINK源代码调试方式
- 数组成员是函数java_在Laravel 5.6中调用数组上的成员函数links()
- docker非常详细的介绍
- Plants vs. Zombies(二分好题+思维)
- 292. Nim游戏
- nbu备份win平台oracle,NBU备份ORACLE错
- html网页中加入音乐播放器,HTML网页调用 网易云 音乐播放器代码
- 有哪些值得推荐的PS(Adobe Photoshop)插件?
- mysql汽车租赁管理系统
- web安全day3:文件共享服务器配置、共享权限和445端口
- 使用Minifly打造基于视觉感知的跟踪无人机
- 3D汽车作品大赏!汇集世界各地CG大佬们的“汽车梦”
- BloomFilter原理学习
- NAT 类型及检测方法
- hdu6217 - BBP Formula