10大常见的安全漏洞!你知道吗?
众所周知,黑客入侵、网络攻击以及其他数字化安全漏洞从来都有百害而无一利。一个行业的烦恼可能是另一个行业的噩梦——如果你读过 Veracode 的《软件安全报告声明,卷6》,就会知道大多数安全漏洞在某些特定行业更为频繁。
1. 代码质量问题
这个问题排在第一是有理由的。根据 Veracode 的研究,所有受调查企业提交的应用至少有半数存在代码质量问题。虽然难以置信,这也是一种行动倡议:所有行业都应该切实执行安全编码,比如早期的专家投入,频繁且自动化的对问题进行排查等。
2. 加密问题
加密问题是最常见的安全漏洞之一,因为密码学隐藏了重要的数据:如果密码、支付信息或个人数据需要存储或者传输,它们必须通过某种方法进行加密。密码学也是一个自行其是的领域,白帽、黑帽专家不计其数,因此,请找专家解决加密问题,而不是埋头苦干。以上都是常识。
3. 信息泄露
信息泄露的形式很多,但基本定义非常简单:攻击者或其他人看到了不该看的信息,且该信息可造成危害(比如:发起注入攻击,或盗取用户数据)即为信息泄露。因为信息泄露的形式千变万化,必须找一个真正谨慎的专家来处理。无需多言。
4. CRLF 注入
CRLF 注入,从基本层面来说,是一种更强大的攻击方式。在意想不到的位置添加行末命令,攻击者可以注入代码进行破坏。根据 Veracode 的研究,这些破坏包括:网站篡改、跨站脚本攻击、浏览器劫持等。尽管这类攻击可能比其他攻击更容易防范,但若是忽视这一攻击,就会酿成大祸。
5. 跨站脚本攻击
另一种注入攻击——跨站脚本注入(也成为 XSS 攻击),可通过滥用网站内的动态内容以执行外部代码实现。这类攻击的后果包括:用户账户劫持,Web 浏览器劫持等等。在包含允许输入问号、斜杠等常用编码字符的网站中,这类攻击尤为常见。此 Veracode 博客详细介绍了该攻击的形式、后果,以及解决方法。
6. 目录遍历攻击
目录遍历攻击十分可怕,因为它不需要特定的工具或知识就能造成伤害。确实,只要有 Web 浏览器并掌握基本概念,任何人都可以对缺少防备的网站发起攻击,读取大的文件系统并获取其中包含的“干货”——用户名与密码、重要文件甚至网站或应用的源代码。鉴于此类攻击的门槛极低,强烈建议咨询专业人员解决该问题。
7. 输入验证不足
简单地说,妥善地处理并检查输入信息能确保用户传给服务器的数据不造成意外的麻烦。反之,如果输入验证不足,就会导致许多常见的安全漏洞,诸如恶意读取或窃取数据,会话及浏览器劫持,恶意代码运行等等。不要猜测用户的输入行为,要以偏执的心态对待用户输入。
8. SQL 注入
尽管排名较低,SQL 注入由于易于实现,已经成为最常见的安全漏洞之一。同是注入攻击,SQL 注入则专注于 SQL 查询语句。攻击者反复地将这些查询语句填入输入栏,给用户、网站管理员以及企业造成极大的麻烦。想了解更多信息?这篇 Veracode 博客对 SQL 注入有更为详细的说明。
9. 证书管理
当坏人未经授权进入安全系统时,就会有坏事发生。有时,这些坏事是此类入侵的直接结果;而别的时候,这类入侵会泄露一些信息,导致更大的攻击。不论是哪种情况,在准许读取重要信息时采取谨慎的措施以验证身份,永远都不是坏主意。
10. 时间与状态错误
这类漏洞最为狡猾,是由于分布式计算的兴起,多系统、多线程硬件等运行同时任务造成的。与其他攻击一样,它也有多种形式,若是被攻击者利用,执行未经授权的代码,也会造成验证的后果。此外,与多方面攻击相似,必须求助专业协作才能防御这类漏洞。比较,你无法抵御你不能预测的攻击。
保持系统安全
如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。如果你想自己的应用在安全方面无懈可击,不要羞于寻求帮助,真的出现漏洞,就为时过晚了。OneRASP 应用安全防护利器, 可以为软件产品提供精准的实时保护,使其免受漏洞所累。
本文转自 OneAPM 官方博客
10大常见的安全漏洞!你知道吗?相关推荐
- 希尔排序的详细过程_算法系列: 10大常见排序算法(4)希尔排序
本课程是从少年编程网转载的课程,目标是向中学生详细介绍计算机比赛涉及的编程语言,数据结构和算法.编程学习最好使用计算机,请登陆 www.3dian14.org (免费注册,免费学习). 一句 希尔排序 ...
- 数据库 10 大常见安全问题盘点~
数据库已经成为黑客的主要攻击目标,因为它们存储着大量有价值和敏感的信息. 这些信息包括金融.知识产权以及企业数据等各方面的内容.网络罪犯开始从入侵在线业务服务器和破坏数据库中大量获利,因此,确保数据库 ...
- 你应该知道的 10 大常见技术
使用简单攻击,可以了解您可能不想透露的未经授权的个人信息.了解这些常见的技术,如网络钓鱼.DDoS.点击劫持等,可以为您的人身安全派上用场. 由于这些原因,了解一些通常用于以未经授权的方式获取您的个人 ...
- 网站10大常见安全漏洞及解决方案
原作者 https://blog.csdn.net/shanhanyu/article/details/80515892?utm_medium=distribute.pc_relevant.none- ...
- 每个Java学习者都会犯的10大常见错误1
据说:"您的朋友会吞下您的错误,您的敌人会将它们呈现在盘子上". 我绝对不是你的敌人,但我想向您介绍一些针对每个Java初学者的错误,我将在此博客"标牌"上就此 ...
- 10大常见反人类设计:产品经理你的良心不会痛吗
1.泡面:一盒吃不饱,两盒吃不了 2.公园石板路:一步一块太娘炮,一步两块又扯着egg,你要说方便老人和儿童,你不留缝隙多好?? 3.八宝粥:产品经理是受过多大的伤害才设计出这样反人类的产品- 首先那 ...
- 质量体系审核中的10大常见场景,你遇到了几个?
1.在外审发现一个或二个一般不符合后,对所有员工和管代的出色工作表示祝贺. [迹象]我们知道我们的问题远比不符合项要多.我们又一次摆脱了.别换审核员,我喜欢那家伙.把我们的实际问题隐藏起来,干的不错! ...
- java 10大常见异常
1. java.lang.NullPointerException 这个异常大家肯定都经常遇到,异常的解释是 "程序遇上了空指针 ",简单地说就是调用了未经初始化的对象或者是不 ...
- 通信人常见的10大职业病,看看你有几个?
▉ No.1:脂肪肝 脂肪肝是通信人最常见的职业病. 每年体检,都会有同事被查出患有脂肪肝.有的同事甚至是逐年加重,从轻度到中度,再从中度到重度. 如果是重度,就要特别小心.因为可能导致肝硬化,甚至肝 ...
最新文章
- 【shiro】使用shiro搭建的项目,页面引用js,报错:Uncaught SyntaxError: Unexpected token ...
- 手把手教你创建自己的Altium Designer集成元件库
- Scrapy Django项目
- Python安装教程分享
- HTTP状态码的类别
- influx 操作_InfluxDB学习之InfluxDB的基本操作-阿里云开发者社区
- android学习笔记---32_文件断点上传器,解决多用户并发,以及自定义协议,注意协议中的漏洞
- Android 读写SDcard (转)
- java clock计时_Java Clock类– java.time.Clock
- 《剑指offer》第三十三题(二叉搜索树的后序遍历序列)
- KISSsoft release 03.2014+诚善首饰零售管理
- 计算机网络实验三思考题,计算机网络实验思考题答案
- 使用ceph-deploycep集群部署,并用3个磁盘作为专用osd
- .NET 6 RC2 版本发布
- 团队作业——团队项目Alpha版本发布
- 论文阅读——Multi-Scale Image Contextual Attention Learning for Inpainting
- 补充---信息安全数学基础第四章习题答案
- 如何搭建自己的深度学习工作站?
- 【VBA研究】如何将单元格数据赋给数组
- 六大设计原则-单一职责原则