- 泄露系统敏感信息
- 泄露用户敏感信息
- 泄露用户密码
- 错误信息失控
- SQL 注入
- 水平权限控制不当
- XSS
- CSRF
社会工程学(Social Engineering),是一种通过人际交流的方式获得信息的非技术渗透手段。
不幸的是,这种手段非常有效,而且应用效率极高。事实上,社会工程学已是企业安全最大的威胁之一。
OAuth(Open Authorization) 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 OAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 OAuth 是安全的。
- 一切行为由用户授权
- 授权行为不泄露敏感信息
- 授权会过期
- 登录
- 敏感资料模块派发票据给用户
- 用户带票据请求业务模块
- 业务使用票据请求敏感资料模块
- 返回票据对应数据
- 返回数据
特点:
- 用户授权读取资料
- 无授权的资料不可读取
- 不允许批量获取数据
- 数据结构可风控审计