开启邀请码注册中,禁止灌水!发现一次永久禁言

墨客安全网

 找回密码
 立即注册

墨客安全网-新手入门指南 常见问题及帮助 | 做任务赚墨币币 新人报道 | 悬赏问答| 墨币充值| 帖子举报

墨客安全网-论坛精华合集 墨客安全网 -精华合集 之 速成之路 原创精品 | 加入墨客Vip | Vip工具| Vip教程

墨客安全网-进阶技术学习区 软件/工具| 社工专区 | 入侵检测| 技术文章 动画教程 | 编程交流| 免杀更新 | 程序源码

[悬赏公告] - 严查灌水,打造一个无水论坛,从即日起.请大家互相监督,发现恶意灌水的,请发贴举报,核实后会给予5-10的墨币奖励。
[官方公告] 从今日起所有会员发布工具必须到审核板块进行审核,如有违反永久禁言处理!
 [招聘招聘]-招聘各方面给力版主,要求每日发帖不少于3贴,每天在线时间6个小时以上,具体福利和待遇联系TG客服或者在线管理员
[官方公告]1.发现网盘下载地址失效!可以发贴举报 审核证实后给予奖励10-20墨币。2.即日起!不管是谁发贴!都不能带QQ群 已及个人QQ。个人网站,发现后严格处理。[官方业务]-加入墨客安全网Vip,圆你日抓千鸡梦,各种精品教程,免杀远控,压力测试等你拿,期待各位会员的加入,即可享受众多福利!
【官方公告】论坛所有广告均为商业行为,需要交易的请尽量走担保程序,所有因广告产生的任何纠纷请私下解决【站外广告】大量收色刷!刷单肉鸡!带飞机肉鸡!寻内网横向技术!懂的来,小白勿扰!长期包养色刷,刷单,带飞机海外盘国内盘灰产肉鸡稳定鸡商
联系飞机:@seeok91
【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服
查看: 339|回复: 0

[焦点关注] 十大安全漏洞,你了解多少?

[复制链接]

该用户从未签到

6

主题

76

回帖

489

积分

UID
7588
威望
141 (点)
主题
6 (帖)
精华
0 (帖)
贡献
0  (次)
墨币
125  (枚)
活跃
41  (点)
担保币
0  (枚)
注册时间
2016-5-24
最后登录
2016-9-23
发表于 2016-6-7 10:23:18 | 显示全部楼层 |阅读模式
      十大常见安全漏洞-越来越难应对的网络安全攻击众所周知,黑客入侵、网络攻击以及其他数字化安全漏洞从来都有百害而无一利。一个行业的烦恼可能是另一个行业的噩梦——如果你读过 Veracode 的《软件安全报告声明,卷6》,就会知道大多数安全漏洞在某些特定行业更为频繁。

  1. 代码质量问题
  这个问题排在第一是有理由的。根据 Veracode 的研究,所有受调查企业提交的应用至少有半数存在代码质量问题。虽然难以置信,这也是一种行动倡议:所有行业都应该切实执行安全编码,比如早期的专家投入,频繁且自动化的对问题进行排查等。

  2. 加密问题
  加密问题是最常见的安全漏洞之一,因为密码学隐藏了重要的数据:如果密码、支付信息或个人数据需要存储或者传输,它们必须通过某种方法进行加密。密码学也是一个自行其是的领域,白帽、黑帽专家不计其数,因此,请找专家解决加密问题,而不是埋头苦干。以上都是常识。

  3. 信息泄露
  信息泄露的形式很多,但基本定义非常简单:攻击者或其他人看到了不该看的信息,且该信息可造成危害(比如:发起注入攻击,或盗取用户数据)即为信息泄露。因为信息泄露的形式千变万化,必须找一个真正谨慎的专家来处理。无需多言。

  4. CRLF 注入
  CRLF 注入,从基本层面来说,是一种更强大的攻击方式。在意想不到的位置添加行末命令,攻击者可以注入代码进行破坏。根据 Veracode 的研究,这些破坏包括:网站篡改、跨站脚本攻击、浏览器劫持等。尽管这类攻击可能比其他攻击更容易防范,但若是忽视这一攻击,就会酿成大祸。

  5. 跨站脚本攻击
  另一种注入攻击——跨站脚本注入(也成为 XSS 攻击),可通过滥用网站内的动态内容以执行外部代码实现。这类攻击的后果包括:用户账户劫持,Web 浏览器劫持等等。在包含允许输入问号、斜杠等常用编码字符的网站中,这类攻击尤为常见。此 Veracode 博客详细介绍了该攻击的形式、后果,以及解决方法。

  6. 目录遍历攻击
  目录遍历攻击十分可怕,因为它不需要特定的工具或知识就能造成伤害。确实,只要有 Web 浏览器并掌握基本概念,任何人都可以对缺少防备的网站发起攻击,读取大的文件系统并获取其中包含的“干货”——用户名与密码、重要文件甚至网站或应用的源代码。鉴于此类攻击的门槛极低,强烈建议咨询专业人员解决该问题。

  7. 输入验证不足
  简单地说,妥善地处理并检查输入信息能确保用户传给服务器的数据不造成意外的麻烦。反之,如果输入验证不足,就会导致许多常见的安全漏洞,诸如恶意读取或窃取数据,会话及浏览器劫持,恶意代码运行等等。不要猜测用户的输入行为,要以偏执的心态对待用户输入。

  8. SQL 注入
  尽管排名较低,SQL 注入由于易于实现,已经成为最常见的安全漏洞之一。同是注入攻击,SQL 注入则专注于 SQL 查询语句。攻击者反复地将这些查询语句填入输入栏,给用户、网站管理员以及企业造成极大的麻烦。想了解更多信息?这篇 Veracode 博客对 SQL 注入有更为详细的说明。

  9. 证书管理
  当坏人未经授权进入安全系统时,就会有坏事发生。有时,这些坏事是此类入侵的直接结果;而别的时候,这类入侵会泄露一些信息,导致更大的攻击。不论是哪种情况,在准许读取重要信息时采取谨慎的措施以验证身份,永远都不是坏主意。

  10. 时间与状态错误
  这类漏洞最为狡猾,是由于分布式计算的兴起,多系统、多线程硬件等运行同时任务造成的。与其他攻击一样,它也有多种形式,若是被攻击者利用,执行未经授权的代码,也会造成验证的后果。此外,与多方面攻击相似,必须求助专业协作才能防御这类漏洞。比较,你无法抵御你不能预测的攻击。

  如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。如果你想自己的应用在安全方面无懈可击,不要羞于寻求帮助,真的出现漏洞,就为时过晚了。OneRASP 应用安全防护利器, 可以为软件产品提供精准的实时保护,使其免受漏洞所累

              
新人必看帖,如何快速赚取墨币,了解墨客安全网论坛版规,等等...( 点我查看

如果你在论坛悬赏问答求助问题,并且已经从坛友或者管理的回复中解决了问题,请在帖子内点击(已解决)

发帖求助前要善用 论坛搜索 功能,如果搜不到可以试试,论坛顶上的 百度站内搜索 - 纵横站内搜索 那里可能会有你要找的答案;

如果发现论坛有灌水帖、下载地址失效帖、后门帖、广告帖、工具不能正常使用、都可以去 举报版块 发帖举报,核实给予退回墨币+额外的墨币奖励哦;
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

1、请认真发帖,禁止回复纯表情,纯数字等无意义的内容!帖子内容不要太简单!
2、提倡文明上网,净化网络环境!抵制低俗不良违法有害信息。
3、每个贴内连续回复请勿多余3贴,每个版面回复请勿多余10贴!
4、如果你对主帖作者的帖子不屑一顾的话,请勿回帖。谢谢合作!

关闭

站长推荐上一条 /1 下一条