歡迎訪問合肥市大數據資產運營有限公司網站!
                                          0551-65909059   公司OA
                                          聯系電話:
                                          當前位置:首頁>>項目展示>>數智投資公司 >>了解黑客的數據嗅覺,規避數據泄露的風險
                                          今天是: 2022年11月21日   【農歷:十月廿八】  星期一
                                          了解黑客的數據嗅覺,規避數據泄露的風險


                                          人們在享受數字時代的各種便利時,也難以擺脫數據風險所帶來的各種擔憂。雖然互聯網的安全性越來越高,但是令人咋舌的數據泄露事件依然持續發生。

                                          黑客的數據嗅覺

                                          黑客的攻擊是一種動態的過程,其最小的流程結構是“信息收集-攻擊面分析-實施驗證”,然后不斷的循環這個過程,直到其到達預期目標。在這個過程中,大量的數據會在黑客的眼前流過,那么哪些數據會引起黑客的重點關注呢?


                                          1.1 賬號信息類數據

                                          如Username、userid、passwd、uid等。當黑客看到這些字眼時,一般會針對認證功能、會話功能、權限功能發起攻擊,如下:


                                          攻擊一,篡改用戶名和用戶id以獲取其它用戶的數據

                                          圖片


                                          攻擊二,重置其它用戶的密碼

                                          圖片


                                          攻擊三,采用某一弱密碼大量撞庫用戶

                                          圖片


                                          攻擊四,對某一用戶進行密碼暴力破解

                                          圖片


                                          攻擊五,對用戶id嘗試sql注入

                                          圖片


                                          1.2 金融交易類數據

                                          如金額、數量 、套餐優惠、訂單id,當黑客看到這些字眼時,一般會對訂單的內容、優惠活動發起攻擊,如下:孩子“情商管理”弱的原因


                                          攻擊六,篡改金額或數量以低價購買商品

                                          圖片


                                          攻擊七、不支付套餐而獲取套餐內的優惠

                                          圖片


                                          1.3 資源標識別類,如url

                                          如http網址、文件路徑,除此之外ftp、內部協議的標別等。當黑客看到這些字眼時,一般會針對資源管理、外部資源等功能發起攻擊,如下:


                                          攻擊八、攻擊篡改文件標識用以讀取無法訪問的文件

                                          圖片


                                          攻擊九、篡改url讓目標訪問到惡意url或非預期url

                                          圖片


                                          攻擊十、JNDI注入攻擊(如fastjson的遠程命令執行漏洞就是此類)

                                          圖片


                                          1.4 源代碼

                                          一般指代碼和配置文件。攻擊者會審計代碼用以挖掘漏洞,有時配置文件中也會泄露賬號密碼或會話令牌。


                                          攻擊十一、讀取無法訪問的配置文件

                                          圖片


                                          規避數據泄漏的風險

                                          為了規范數據處理活動,保障數據安全。我們既要通過管理手段建立防護體系,又要通過技術手段規避安全風險。

                                          圖片

                                          眾所周知,越早的介入安全管理,就有越好的效果。因此在研發過程中就考慮數據泄露的防護,就是我們常說的“花最小的代價,達到最大對效果”。如同黑客在攻擊的過程中,是帶著對數據的嗅覺。那么我們在研發的過程中,是不是也應該帶著安全的嗅覺呢?

                                          對研發過程中,提出以下幾點建議:

                                          1.凡是有用戶輸入的地方,都要考慮過濾。

                                          2.不允許弱密碼和弱登錄。

                                          3.完善權限校驗。

                                          4.凡是敏感數據,都要進行脫敏。如果業務上確實需要完整數據,建議采用單獨的api接口,并進行次數的閥值設置,和超過閥值的校驗處置。

                                          5.對url進行可信校驗。

                                          6.凡是有資源標識的地方,都要考慮資源標識被操縱的風險。



                                          无码一级做a爱视频免费