当前位置:云计算企业动态 → 正文

双十一购物狂欢,华为云识破10大安全坑你都知道吗?

责任编辑:zhaoxiaoqin |来源:企业网D1Net  2019-10-31 22:31:57 原创文章 企业网D1Net

双十一购物狂欢节即将来临,所有的商家和消费者都在翘首以待。但是,在疯狂买买买的狂欢中,你是否关注到一系列安全问题?莫担心,华为云已经为你识别双十一的十大安全坑,为你安全购物狂欢保驾护航。

有哪些十大安全坑?

一、横行无忌的大流量坑

即DDoS大流量攻击,被攻击者广泛用在网站攻击上。攻击者通过调动海量的流量,去访问某个特定的网站,让网站服务器资源耗尽,从而无法处理正常的用户访问甚至直接宕机崩溃。

二、花言巧语的注入坑

即SQL注入,被广泛用于非法获取网站控制权限。攻击者通过把自己构造的SQL命令插入到网站中(通过提交表单、输入域名、页面请求等方式),最终达到欺骗服务器,让其执行恶意SQL命令的目的。

三、暗地搞鬼的跨站坑

即跨站脚本攻击,通常发生在客户端,常被用于窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等。攻击者往页面里插入恶意代码,当用户浏览该页时,嵌入其中的代码即被执行。

四、简单幼稚的弱口令坑

通常认为,容易被人猜解或被破解工具破解的均为弱口令,如“123”、“abc”等。另外,在网上泄露过,被黑客收入密码字典的口令,无论设置得多复杂,都被认为是弱口令。

五、冒充他人的会话劫持坑

这是一种通过获取用户会话ID,使用该 ID登录目标账号,冒充合法用户的攻击行为。会话劫持的第一步是取得一个合法的会话标识,以伪装成合法用户,因此需要保证会话标识不被泄漏。

六、将错就错的包含已知漏洞的组件坑

网站、应用等系统,在安装和使用相关软件、插件的时候,如果没有进行安全检测,排查出安全漏洞并打补丁,导致使用了包含已知漏洞的组件,使得整个系统的安全性降低,出现可被攻击者攻破的弱点。

七、爱走后门的文件上传坑

通常是由于网站提供了文件上传功能,比如上传照片等,但没有严格限制用户上传的文件后缀及类型,使得攻击者可通过上传任意类型文件,比如本该上传照片,却上传了网站后门木马,进而获得网站的控制权限。

八、旁门左路的重定向坑

重定向,顾名思义,即从一个网址导流到另一个网址(URL)。在Web应用中,重定向是极为普遍的,如果这些重定向未被验证,那么攻击者就可以引导用户访问他们想要用户访问的网站,如钓鱼、赌博、色情等恶意网站。

九、喜欢裸奔的未加密传输坑

把数据特别是敏感数据,比如登陆请求中的账号密码等敏感信息,未加密就进行传输,则攻击者可以窃听网络流量,以劫获这些信息。可以使用如SSH等对数据加密后再传输。

十、伪装成瘾的跨站请求伪造坑

指攻击者伪装受信任用户,向受信任的网站发送请求,达到攻击目的,比如以用户名义发送邮件,发消息,盗取账号,甚至购买商品,虚拟货币转账等,会导致个人隐私泄露及财产损失。

如何避免入坑?

这些坑是不是很烦人?

为帮助大家多坑避雷,2019年10月31日-2019年11月20日,华为云11.11活动,DDoS高防、Web应用防火墙、漏洞扫描三款安全精品大优惠:DDoS高防帮你防住流量坑、Web应用防火墙帮你防住注入鬼跨站坑、漏洞扫描服务帮你防住弱口令鬼组件坑,发现网站和系统上的威胁,安全欢度双十一。

只有20天时间,机会难得!你,还不出手?

 

图片3.png

 

 

关键字:安全云计算

原创文章 企业网D1Net

x 双十一购物狂欢,华为云识破10大安全坑你都知道吗? 扫一扫
分享本文到朋友圈
当前位置:云计算企业动态 → 正文

双十一购物狂欢,华为云识破10大安全坑你都知道吗?

责任编辑:zhaoxiaoqin |来源:企业网D1Net  2019-10-31 22:31:57 原创文章 企业网D1Net

双十一购物狂欢节即将来临,所有的商家和消费者都在翘首以待。但是,在疯狂买买买的狂欢中,你是否关注到一系列安全问题?莫担心,华为云已经为你识别双十一的十大安全坑,为你安全购物狂欢保驾护航。

有哪些十大安全坑?

一、横行无忌的大流量坑

即DDoS大流量攻击,被攻击者广泛用在网站攻击上。攻击者通过调动海量的流量,去访问某个特定的网站,让网站服务器资源耗尽,从而无法处理正常的用户访问甚至直接宕机崩溃。

二、花言巧语的注入坑

即SQL注入,被广泛用于非法获取网站控制权限。攻击者通过把自己构造的SQL命令插入到网站中(通过提交表单、输入域名、页面请求等方式),最终达到欺骗服务器,让其执行恶意SQL命令的目的。

三、暗地搞鬼的跨站坑

即跨站脚本攻击,通常发生在客户端,常被用于窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等。攻击者往页面里插入恶意代码,当用户浏览该页时,嵌入其中的代码即被执行。

四、简单幼稚的弱口令坑

通常认为,容易被人猜解或被破解工具破解的均为弱口令,如“123”、“abc”等。另外,在网上泄露过,被黑客收入密码字典的口令,无论设置得多复杂,都被认为是弱口令。

五、冒充他人的会话劫持坑

这是一种通过获取用户会话ID,使用该 ID登录目标账号,冒充合法用户的攻击行为。会话劫持的第一步是取得一个合法的会话标识,以伪装成合法用户,因此需要保证会话标识不被泄漏。

六、将错就错的包含已知漏洞的组件坑

网站、应用等系统,在安装和使用相关软件、插件的时候,如果没有进行安全检测,排查出安全漏洞并打补丁,导致使用了包含已知漏洞的组件,使得整个系统的安全性降低,出现可被攻击者攻破的弱点。

七、爱走后门的文件上传坑

通常是由于网站提供了文件上传功能,比如上传照片等,但没有严格限制用户上传的文件后缀及类型,使得攻击者可通过上传任意类型文件,比如本该上传照片,却上传了网站后门木马,进而获得网站的控制权限。

八、旁门左路的重定向坑

重定向,顾名思义,即从一个网址导流到另一个网址(URL)。在Web应用中,重定向是极为普遍的,如果这些重定向未被验证,那么攻击者就可以引导用户访问他们想要用户访问的网站,如钓鱼、赌博、色情等恶意网站。

九、喜欢裸奔的未加密传输坑

把数据特别是敏感数据,比如登陆请求中的账号密码等敏感信息,未加密就进行传输,则攻击者可以窃听网络流量,以劫获这些信息。可以使用如SSH等对数据加密后再传输。

十、伪装成瘾的跨站请求伪造坑

指攻击者伪装受信任用户,向受信任的网站发送请求,达到攻击目的,比如以用户名义发送邮件,发消息,盗取账号,甚至购买商品,虚拟货币转账等,会导致个人隐私泄露及财产损失。

如何避免入坑?

这些坑是不是很烦人?

为帮助大家多坑避雷,2019年10月31日-2019年11月20日,华为云11.11活动,DDoS高防、Web应用防火墙、漏洞扫描三款安全精品大优惠:DDoS高防帮你防住流量坑、Web应用防火墙帮你防住注入鬼跨站坑、漏洞扫描服务帮你防住弱口令鬼组件坑,发现网站和系统上的威胁,安全欢度双十一。

只有20天时间,机会难得!你,还不出手?

 

图片3.png

 

 

关键字:安全云计算

原创文章 企业网D1Net

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^