有哪些十大安全坑?

一、橫行無忌的大流量坑

即DDoS大流量攻擊,被攻擊者廣泛用在網(wǎng)站攻擊上。攻擊者通過調(diào)動(dòng)海量的流量,去訪問某個(gè)特定的網(wǎng)站,讓網(wǎng)站服務(wù)器資源耗盡,從而無法處理正常的用戶訪問甚至直接宕機(jī)崩潰。

二、花言巧語的注入坑

即SQL注入,被廣泛用于非法獲取網(wǎng)站控制權(quán)限。攻擊者通過把自己構(gòu)造的SQL命令插入到網(wǎng)站中(通過提交表單、輸入域名、頁面請(qǐng)求等方式),最終達(dá)到欺騙服務(wù)器,讓其執(zhí)行惡意SQL命令的目的。

三、暗地搞鬼的跨站坑

即跨站腳本攻擊,通常發(fā)生在客戶端,常被用于竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等。攻擊者往頁面里插入惡意代碼,當(dāng)用戶瀏覽該頁時(shí),嵌入其中的代碼即被執(zhí)行。

四、簡(jiǎn)單幼稚的弱口令坑

通常認(rèn)為,容易被人猜解或被破解工具破解的均為弱口令,如“123”、“abc”等。另外,在網(wǎng)上泄露過,被黑客收入密碼字典的口令,無論設(shè)置得多復(fù)雜,都被認(rèn)為是弱口令。

五、冒充他人的會(huì)話劫持坑

這是一種通過獲取用戶會(huì)話ID,使用該 ID登錄目標(biāo)賬號(hào),冒充合法用戶的攻擊行為。會(huì)話劫持的第一步是取得一個(gè)合法的會(huì)話標(biāo)識(shí),以偽裝成合法用戶,因此需要保證會(huì)話標(biāo)識(shí)不被泄漏。

六、將錯(cuò)就錯(cuò)的包含已知漏洞的組件坑

網(wǎng)站、應(yīng)用等系統(tǒng),在安裝和使用相關(guān)軟件、插件的時(shí)候,如果沒有進(jìn)行安全檢測(cè),排查出安全漏洞并打補(bǔ)丁,導(dǎo)致使用了包含已知漏洞的組件,使得整個(gè)系統(tǒng)的安全性降低,出現(xiàn)可被攻擊者攻破的弱點(diǎn)。

七、愛走后門的文件上傳坑

通常是由于網(wǎng)站提供了文件上傳功能,比如上傳照片等,但沒有嚴(yán)格限制用戶上傳的文件后綴及類型,使得攻擊者可通過上傳任意類型文件,比如本該上傳照片,卻上傳了網(wǎng)站后門木馬,進(jìn)而獲得網(wǎng)站的控制權(quán)限。

八、旁門左路的重定向坑

重定向,顧名思義,即從一個(gè)網(wǎng)址導(dǎo)流到另一個(gè)網(wǎng)址(URL)。在Web應(yīng)用中,重定向是極為普遍的,如果這些重定向未被驗(yàn)證,那么攻擊者就可以引導(dǎo)用戶訪問他們想要用戶訪問的網(wǎng)站,如釣魚、賭博、色情等惡意網(wǎng)站。

九、喜歡裸奔的未加密傳輸坑

把數(shù)據(jù)特別是敏感數(shù)據(jù),比如登陸請(qǐng)求中的賬號(hào)密碼等敏感信息,未加密就進(jìn)行傳輸,則攻擊者可以竊聽網(wǎng)絡(luò)流量,以劫獲這些信息?？梢允褂萌鏢SH等對(duì)數(shù)據(jù)加密后再傳輸。

十、偽裝成癮的跨站請(qǐng)求偽造坑

指攻擊者偽裝受信任用戶,向受信任的網(wǎng)站發(fā)送請(qǐng)求,達(dá)到攻擊目的,比如以用戶名義發(fā)送郵件,發(fā)消息,盜取賬號(hào),甚至購(gòu)買商品,虛擬貨幣轉(zhuǎn)賬等,會(huì)導(dǎo)致個(gè)人隱私泄露及財(cái)產(chǎn)損失。

如何避免入坑?

這些坑是不是很煩人?

為幫助大家多坑避雷,2019年10月31日-2019年11月20日,華為云11.11活動(dòng),DDoS高防、Web應(yīng)用防火墻、漏洞掃描三款安全精品大優(yōu)惠:DDoS高防幫你防住流量坑、Web應(yīng)用防火墻幫你防住注入鬼跨站坑、漏洞掃描服務(wù)幫你防住弱口令鬼組件坑,發(fā)現(xiàn)網(wǎng)站和系統(tǒng)上的威脅,安全歡度雙十一。

只有20天時(shí)間,機(jī)會(huì)難得!你,還不出手?