Facebook 论文:填补身份验证漏洞,让机器自动学习验证规则
在线社交网络中的授权错误由缺少或不正确的授权检查引起,可以允许攻击者绕过在线社交网络的保护。不幸的是,没有实际的方法可以充分保证完全不出现授权错误。
Facebook提出了不变量检测器(IVD)这样一种深度防御系统,它可以从正常的数据操作模式自动学习授权规则,并将其提炼为可能的不变量。 IVD目前在Facebook上运行,每天可以从大约5亿个客户端请求的样本中推算出每天超过20万个不变量,并且每秒钟对每个数据库进行数百万次的数据写入检查。
原文链接:https://research.fb.com/publications/ivd-automatic-learning-and-enforcement-of-authorization-rules-in-online-social-networks/
