有哪些十大安全坑?
一、橫行無忌的大流量坑
即DDoS大流量攻擊,被攻擊者廣泛用在網站攻擊上。攻擊者通過調動海量的流量,去訪問某個特定的網站,讓網站服務器資源耗盡,從而無法處理正常的用戶訪問甚至直接宕機崩潰。
二、花言巧語的注入坑
即SQL注入,被廣泛用于非法獲取網站控制權限。攻擊者通過把自己構造的SQL命令插入到網站中(通過提交表單、輸入域名、頁面請求等方式),最終達到欺騙服務器,讓其執行惡意SQL命令的目的。
三、暗地搞鬼的跨站坑
即跨站腳本攻擊,通常發生在客戶端,常被用于竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等。攻擊者往頁面里插入惡意代碼,當用戶瀏覽該頁時,嵌入其中的代碼即被執行。
四、簡單幼稚的弱口令坑
通常認為,容易被人猜解或被破解工具破解的均為弱口令,如“123”、“abc”等。另外,在網上泄露過,被黑客收入密碼字典的口令,無論設置得多復雜,都被認為是弱口令。
五、冒充他人的會話劫持坑
這是一種通過獲取用戶會話ID,使用該 ID登錄目標賬號,冒充合法用戶的攻擊行為。會話劫持的第一步是取得一個合法的會話標識,以偽裝成合法用戶,因此需要保證會話標識不被泄漏。
六、將錯就錯的包含已知漏洞的組件坑
網站、應用等系統,在安裝和使用相關軟件、插件的時候,如果沒有進行安全檢測,排查出安全漏洞并打補丁,導致使用了包含已知漏洞的組件,使得整個系統的安全性降低,出現可被攻擊者攻破的弱點。
七、愛走后門的文件上傳坑
通常是由于網站提供了文件上傳功能,比如上傳照片等,但沒有嚴格限制用戶上傳的文件后綴及類型,使得攻擊者可通過上傳任意類型文件,比如本該上傳照片,卻上傳了網站后門木馬,進而獲得網站的控制權限。
八、旁門左路的重定向坑
重定向,顧名思義,即從一個網址導流到另一個網址(URL)。在Web應用中,重定向是極為普遍的,如果這些重定向未被驗證,那么攻擊者就可以引導用戶訪問他們想要用戶訪問的網站,如釣魚、賭博、色情等惡意網站。
九、喜歡裸奔的未加密傳輸坑
把數據特別是敏感數據,比如登陸請求中的賬號密碼等敏感信息,未加密就進行傳輸,則攻擊者可以竊聽網絡流量,以劫獲這些信息。可以使用如SSH等對數據加密后再傳輸。
十、偽裝成癮的跨站請求偽造坑
指攻擊者偽裝受信任用戶,向受信任的網站發送請求,達到攻擊目的,比如以用戶名義發送郵件,發消息,盜取賬號,甚至購買商品,虛擬貨幣轉賬等,會導致個人隱私泄露及財產損失。
如何避免入坑?
這些坑是不是很煩人?
為幫助大家多坑避雷,2019年10月31日-2019年11月20日,華為云11.11活動,DDoS高防、Web應用防火墻、漏洞掃描三款安全精品大優惠:DDoS高防幫你防住流量坑、Web應用防火墻幫你防住注入鬼跨站坑、漏洞掃描服務幫你防住弱口令鬼組件坑,發現網站和系統上的威脅,安全歡度雙十一。
只有20天時間,機會難得!你,還不出手?
京公網安備 11010502049343號