信息泄露

泄露系统敏感信息

泄露用户敏感信息

泄露用户密码

信息泄露的途径

错误信息失控、包括(sql注入后把字段结构暴露)。水平权限控制不当（a和b都是普通用户、a操作了b）.xss/csrf等等。

信息泄露引起了社会工程学诈骗
社会工程学（Social Engineering）
，是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是，这种手段非常有效，而且应用效率极高。事实上，社会工程学已是企业安全最大的威胁之一。

当信息泄露过多、会把个人的信息越来越具体。掌握了个人的信息。就可以冒充你的身份诈骗等。或别人伪装了你的身份。

社会工程学诈骗的案例

电信诈骗（徐玉玉案）

伪装公检法

QQ视频借钱

伪装微信好友

OAuth思想

一切行为由用户授权

授权行为不泄露敏感信息

授权会过期

利用OAuth思想防止资料外泄

1、用户授权读取资料

2、无授权的资料不可读取

3、不允许批量获取数据

4、数据接口可风控审计