Đề cương bảo mật

  1. Login
    • Tích hợp Google, Facebook
    • Khoá khi nhập sai password 3-5 lần
    • Thời gian timeout
    • Bảo mật api đối với mobile app
    • Bảo mật 2 tầng đ/v 1 số user quan trọng: 2 factor authentication(2FA), otp
    • Kết hợp mã capcha hạn chế hacker dùng bot tìm thông tin username, mail người dùng
    • Đổi mật khẩu cần phải nhập lại mật khẩu cũ
    • Ref: test thời gian hacker tìm ra your pass https://howsecureismypassword.net/
  2. Sign up
    • Đăng ký bằng gmail
    • Reset password: send simple pass, send link reset (recommend)
    • Encode password md5
    • Rule password
    • Nếu ko có kinh nghiệm bảo mật user thì có thể dùng trung gian OAuth đăng nhập qua FB, Google để các ông lớn quản. https://oauth.io/home https://auth0.com/
  3. Lỗi bảo mật: CSRF (Cross-Site Request Forgery)
    • Hacker trộm cookie của user để server xác nhận, sau đó dùng acc của user cho ý đồ xấu.
    • Người dùng bị mã độc khi click nhầm vào hình ảnh, vào 1 số website nguy hiểm.
  4. HTTP

 

 

REF: OWASP

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s