1. <wbr id="nxblk"></wbr><nav id="nxblk"></nav> <sub id="nxblk"><address id="nxblk"><nobr id="nxblk"></nobr></address></sub>
            <em id="nxblk"><source id="nxblk"></source></em>
            <nav id="nxblk"></nav>
            <sub id="nxblk"><listing id="nxblk"><div id="nxblk"></div></listing></sub>

                歡迎訪問合肥市大數據資產運營有限公司網站!
                0551-65909059   公司OA
                聯系電話:
                當前位置:首頁>>項目展示>>數智投資公司 >>了解黑客的數據嗅覺,規避數據泄露的風險
                今天是: 2023年10月18日   【農歷:九月初四】  星期三
                了解黑客的數據嗅覺,規避數據泄露的風險


                人們在享受數字時代的各種便利時,也難以擺脫數據風險所帶來的各種擔憂。雖然互聯網的安全性越來越高,但是令人咋舌的數據泄露事件依然持續發生。

                黑客的數據嗅覺

                黑客的攻擊是一種動態的過程,其最小的流程結構是“信息收集-攻擊面分析-實施驗證”,然后不斷的循環這個過程,直到其到達預期目標。在這個過程中,大量的數據會在黑客的眼前流過,那么哪些數據會引起黑客的重點關注呢?


                1.1 賬號信息類數據

                如Username、userid、passwd、uid等。當黑客看到這些字眼時,一般會針對認證功能、會話功能、權限功能發起攻擊,如下:


                攻擊一,篡改用戶名和用戶id以獲取其它用戶的數據

                圖片


                攻擊二,重置其它用戶的密碼

                圖片


                攻擊三,采用某一弱密碼大量撞庫用戶

                圖片


                攻擊四,對某一用戶進行密碼暴力破解

                圖片


                攻擊五,對用戶id嘗試sql注入

                圖片


                1.2 金融交易類數據

                如金額、數量 、套餐優惠、訂單id,當黑客看到這些字眼時,一般會對訂單的內容、優惠活動發起攻擊,如下:孩子“情商管理”弱的原因


                攻擊六,篡改金額或數量以低價購買商品

                圖片


                攻擊七、不支付套餐而獲取套餐內的優惠

                圖片


                1.3 資源標識別類,如url

                如http網址、文件路徑,除此之外ftp、內部協議的標別等。當黑客看到這些字眼時,一般會針對資源管理、外部資源等功能發起攻擊,如下:


                攻擊八、攻擊篡改文件標識用以讀取無法訪問的文件

                圖片


                攻擊九、篡改url讓目標訪問到惡意url或非預期url

                圖片


                攻擊十、JNDI注入攻擊(如fastjson的遠程命令執行漏洞就是此類)

                圖片


                1.4 源代碼

                一般指代碼和配置文件。攻擊者會審計代碼用以挖掘漏洞,有時配置文件中也會泄露賬號密碼或會話令牌。


                攻擊十一、讀取無法訪問的配置文件

                圖片


                規避數據泄漏的風險

                為了規范數據處理活動,保障數據安全。我們既要通過管理手段建立防護體系,又要通過技術手段規避安全風險。

                圖片

                眾所周知,越早的介入安全管理,就有越好的效果。因此在研發過程中就考慮數據泄露的防護,就是我們常說的“花最小的代價,達到最大對效果”。如同黑客在攻擊的過程中,是帶著對數據的嗅覺。那么我們在研發的過程中,是不是也應該帶著安全的嗅覺呢?

                對研發過程中,提出以下幾點建議:

                1.凡是有用戶輸入的地方,都要考慮過濾。

                2.不允許弱密碼和弱登錄。

                3.完善權限校驗。

                4.凡是敏感數據,都要進行脫敏。如果業務上確實需要完整數據,建議采用單獨的api接口,并進行次數的閥值設置,和超過閥值的校驗處置。

                5.對url進行可信校驗。

                6.凡是有資源標識的地方,都要考慮資源標識被操縱的風險。



                日韩成人九九九久久久,成av人片一区二区三区久久,久久久久久久国产精品免费,久久精品無碼AV一区二区,日韩高清在线亚洲专区 久久综合色一综合色 久久午夜无码观看 国产成人aa免费视频 天堂v亚洲国产v一区二区 日韩精品在线观看 亚洲AV纯肉无码精品动漫网址 日韩av一区二区三区在线观看 亚洲欧美国产综合在线亚洲O 欧美牲交a欧美牲交一级aa