数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
安全无小事。2016年,DNS提供商Dyn遭遇大规模DDoS(分布式拒绝服务攻击),14000个网站域名受影响。2020年7月,Twitter遭大规模攻击,黑客控制马斯克、盖茨、奥巴马等人的Twitter账号诱导用户买比特币,骗取11万美元。2021年4月,黑客利用Github的Actions(一种CI/CD方案),诱导用户进行git操作时触发恶意比特币矿机。数字化转型网www.szhzxw.cn
在中国这样人口基数大、互联网发达的国家,互联网公司安全出问题影响巨大。如某知名技术社区曾出现用户用户名和密码大规模泄露事件。我们应吸取教训,以“如何抵御SYN拒绝攻击”为引,了解网络安全常见攻防手段。数字化转型网www.szhzxw.cn
接着讨论另一种攻击——跨站脚本攻击。2021年2月,印度一名测试工程师在苹果iCloud官网发现跨站脚本攻击漏洞,并向苹果公司提交漏洞说明和触发操作步骤,事后获5000美金奖金。
跨站脚本(Cross Site Scripting),即利用漏洞将脚本注入网页。如提交个人信息的输入框,服务端处理不好就可能触发跨站脚本。假设个人签名多行文本输入框,黑客可能输入:。若这段话显示在用户个人主页,访问该用户空间的其他用户会被攻击,黑客可拿走Cookie关键信息。数字化转型网www.szhzxw.cn
XSS攻击模式就是想办法向网站页面注入脚本,输入框是重灾区。虽目前用前端框架如React或Vue开发的页面已杜绝被XSS的可能,但工作疏漏仍可能导致其发生。正确做法是上线前请安全部门同学协助进行XSS漏洞扫描。数字化转型网www.szhzxw.cn
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于 服务端技术精选;编辑/翻译:数字化转型网Jerry。
