白帽子讲web安全之6

一、产品安全
产品的安全，在选择安全方案是，首先应有良好的用户体验，其次是优秀的性能
二、业务逻辑安全
逻辑安全问题，需要比较足的经验才能减少逻辑方面的安全问题，这个逻辑也体现了理论基础的重要性，而非一味的追求技术
三、账号安全
账户被盗的可能性有

1. 网站登录过程中无HTTPS，密码在网络中被嗅探
2. 用户电脑中了木马，密码被键盘记录软件获取
3. 用户被钓鱼网站骗取
4. 网站登录入口可被暴力破解
5. 网站密码取回流程存在逻辑漏洞
6. 网站存在XSS漏洞，用户账户被间接窃取

7. 网站存在SQL注入漏洞，导致用户账户信息泄露

   四、互联网垃圾
   分析垃圾行为特征主要有三种规则

   1.基于内容的规则：以自然语言分析、关键词匹配等为代表
   2.基于行为的规则：以业务逻辑规则为代表
   3.基于客户端识别的规则：以人机识别为代表，比如验证码，或者让客户端去解析JavaScript。

周期性检测挂马的做法

• 检测源码
• 在虚拟机中访问网页，然后使用杀毒软件检测

安全开发流程

安全运营
Find and Fix 漏洞挖掘与修补
Defend and Defer 安全监控与警报
Secure at the Source 安全开发流程