摘要：OAuth2.0授权协议在简化用户登录第三方应用的同时,也存在泄露用户隐私数据的风险,甚至引发用户账号被攻击劫持。通过分析OAuth2.0协议的脆弱点,构建了围绕授权码的账号劫持攻击模型,提出了基于差异流量分析的脆弱性应用程序编程接口(API)识别方法和基于授权认证网络流量监测的账号劫持攻击验证方法,设计并实现了面向OAuth2.0授权服务API的账号劫持攻击威胁检测框架OScan。通过对Alexa排名前10 000的网站中真实部署的3 853个授权服务API进行大规模测试,发现360个存在脆弱性的API。经过进一步验证,发现了80个网站存在账号劫持攻击威胁。相较类似工具,OScan在覆盖身份提供方(IdP)全面性、检测依赖方(RP)数量和威胁检测完整性等方面均具有明显的优势。

摘要：为了解决安全产品的日志文件保护和数据共享问题,论文提出一种基于区块链的日志存储(LSSBC)系统。LSSBC系统包括角色、LSBC链和云存储三部分;通过结合区块链技术设计了日志文件的链上发布、存储和共享功能;最后,对LSSBC系统进行了总结分析。经分析,LSSBC系统为安全产品的日志保护和数据共享提供了全新可行的解决方案,有利于推进安全行业研究。