江苏龙网

  1. 主页 > 生活百科 > >

如何防止网站被ddos,有效的避免ddos攻击手段( 二 )


另外,千万不要在不安全的频道上发送私密信息 。
OWASP表示,现在保存信用卡账户是一种常见的做法,但明年是信用卡行业数据安全标准公布的最后期限,未来将不会保存信用卡账户 。
六 。敏感数据暴露
问题:造成该漏洞的原因是在包含敏感信息的通信需要保护时,网络中流通的数据没有加密 。攻击者可以获取各种未受保护的会话内容,包括证书和敏感信息的传输 。因此,PCI标准要求对网络上传输的信用卡信息进行加密 。
真实案例:这次又是一个关于TJX的例子 。据《华尔街日报》报道,调查人员认为,黑客使用了一个类似望远镜的天线和笔记本电脑来窃取无线传输的用户数据 。
据悉:“很多零售商的无线网络安全性还不如很多人自己的局域网 。TJX使用WEP加密系统代替WPA加密系统,安全性更好 。
如何保护用户:在所有经过身份验证的连接上使用SSL,或者在敏感信息的传输过程中使用SSL 。与在线系统相关的客户、合作伙伴、员工和管理员的帐户应加载SSL或类似的加密协议 。传输层安全或协议级加密系统用于保护基础设施各部分之间的通信,例如网络服务器和数据库系统之间的通信 。
七 。攻击保护不足
问题:大多数应用程序和API缺乏检测、预防和响应手动和自动攻击的基本能力 。保护远远不是基本的输入验证,但它还包括自动检测、记录、响应甚至防止利用 。应用程序所有者还需要能够快速部署补丁以防止攻击 。
真实案例:2013年,美国一家豪车软件公司的系统遭到黑客攻击,超过85万用户的个人和财产信息受到影响,其中包括世界500强公司的高管、政界名人、明星和电影明星等,只是因为数字服务系统在安全性方面存在缺陷 。
如何保护用户:配备高标准的网络安全软硬件配置,制定完善的网络安全管理制度,加强网络安全应急工作 。
八 。跨站点请求伪造(SCRF)
问题:这种攻击虽然简单,但是破坏性很大 。它可以控制受害者的浏览器,然后向网络应用软件发送恶意指令 。这类网站很容易被攻击,部分原因是它们根据会话cookie或“自动记忆”功能授权指令 。银行是潜在的目标 。
威廉姆斯说,“网络上99%的应用软件都存在跨站指令伪造漏洞 。现实中,有人被攻击损失过钱吗?可能连银行都不知道 。对于银行来说,整个攻击看起来就像是用户登录了系统,进行了合法的交易 。”
真实案例:一个叫Samy的黑客在2005年底利用一个蠕虫病毒在MySpace网站上获取了100万条“好友”信息,“Samy是我的英雄”的字样自动出现在数千个MySpace网页上 。攻击本身可能是无害的,但据说这个案例证明了跨站脚本与伪造的跨站指令相结合的威力 。另一个案例发生在一年前,当时谷歌的网站出现了一个漏洞,外部网站可以利用该漏洞改变用户的语言偏好 。
如何保护用户:不要依赖浏览器自动提交的凭据或徽标 。OWASP说,“解决这个问题的唯一方法是使用浏览器不会记住的自定义id 。”
九 。使用具有已知漏洞的组件
问题:各种应用软件生成并显示给用户的错误信息对黑客来说也是有用的,可能会泄露用户的隐私信息、软件配置或其他内部信息 。
OWASP说:“各种网络应用程序经常通过详细的或调试错误信息来揭示内部状态信息 。通常,这些信息可能会导致对用户系统的更强大的攻击 。”
真实案例:信息泄露是由于错误处理不当而发生的,2005年ChoicePoint的崩溃就是这种类型的典型案例 。攻击者伪装成ChoicePoint的合法用户,在公司的人事信息数据库中搜索某人的信息,然后窃取了16.3万名消费者的记录 。ChoicePoint后来限制销售包含敏感数据的信息产品 。
如何保护用户:利用测试工具检查应用软件的错误信息 。OWASP说,“没有经过这种方法测试的应用软件几乎肯定会出现意想不到的错误信息 。”
另一种方法是:禁止或限制在错误处理中使用详细信息,不向用户显示调试信息 。
十、未受保护的原料药
问题:现代应用通常涉及富客户端应用和API,例如浏览器和移动应用中的JavaScript,连接到一些其他API(SOAP/XML、REST/JSON、RPC、GWT等 。).这些apt通常不受保护,并且具有各种漏洞 。
真实案例:2015年1月,月猪因安全漏洞泄露了约300万客户的信用卡信息,随后网站关闭了其手机app 。发现漏洞出现在月猪手机app可以与其服务器通信的部分,即API 。API发送的信息不是单个用户名和密码保护的信息,而是同样的凭证保护的信息,不管登录的用户是谁 。因此,攻击者可以访问网站上任何用户的详细信息,查看以前的订单,并向任何用户下订单 。


推荐阅读


上一篇:想创业做什么生意好赚钱,9个不需要门面的生意推荐

下一篇:女人做什么最赚钱最快,8个稳赚的女性创业项目推荐