解密数据泄露——老九门
2016-07-19 16:55:46
极小验


电视剧老九门一经播出,广大的小伙伴们分分钟被剧中人物的逆天颜值迷得晕头转向,无法自拔,全国掀起一股看佛爷,二爷,张富官如何叱咤盗墓界的花痴风。
图1.jpg-22.1kB
但是享受生活之余,小伙伴们一定不要忘了抽出时间好好工作,特别是我们关注企业数据安全的同志们,在近段时间很多大企业都频频爆出了数据泄露事件。

  • 2016年5月1.17亿LinkedIn(领英)用户数据在暗网出售
  • 2016年6月Twitter超过3200万的用户账户数据泄露
  • 2016年7月35GB大小的MySpace用户数据在网上传播

说起这数据泄露,也有老九门,此九门是黑客们常用于盗取数据的九门方法。极小验今天就给大家扒一扒是哪九门,以备大家能防患于未然。
严肃脸~
图7.jpg-4.6kB

上三门

SQL注入
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,盗取数据库里面的各种信息。在威瑞森的一系列数据泄露报告中,SQL注入造成的数据泄露一直高居不下,稳定上升,堪称罪魁祸首。

XSS跨站脚本攻击
用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。

弱口令
弱口令分为两种情况,一种是用户在设置自己的密码时使用弱口令,容易被人猜出来,导致信息泄露。另一种是企业的权限验证使用弱口令,被黑客猜出或者推理出来,导致整个企业的数据泄露。

上三门主要是利用网站漏洞,通过技术手段盗取数据,往往具有低成本,高收益的特点。上三门虽然厉害,但也是可以进行一定防范的。
举几个栗子

  • 加强对用户输入的校验,防止恶意的SQL命令注入。
  • 对数据库的数据进行加密,纵使数据被盗也不会泄露。
  • 不要使用弱口令,经常更换密码等措施能够帮助我们很好的解决弱口令问题。

中三门

内部人员恶意破坏
内部人员因为一些利益因素,或者是伺机报复,可能将用户数据进行盗卖或者对外公布,俗话说日防夜防家贼难防。

授权用户疏忽
由于程序猿或者是管理员的疏忽,将口令泄露,遗忘或者是将病毒带入服务器,从而造成数据泄露也是有相当大的可能的。我们也能够明白人不可能不犯错,几乎每个人都由于自己的疏忽犯过错误。

钓鱼诈骗
黑客常常将病毒,木马伪装成公司上级的邮件,家人的照片以及一些利益诱惑,从用户的身上获取他们的账户名和密码。

网络安全中,最不安全的因素就是人。人具有太多的不确定性,而且聪明的黑客总是用各种各样的方法让我们上当受骗,要防范这些人为的数据泄露原因,可以从以下几点入手。

  • 制定相应的条例规定,加强对于内部人员的威慑作用。
  • 对员工进行相应的安全知识培训,增强安全意识。
  • 建议用户定期更换密码。
  • 广大的用户朋友们,不清楚的可疑链接不要点开,并进行定期的手机电脑杀毒。

下三门

接口权限控制不严格
很多公司网站数据接口不进行相应的控制,这样也有可能被黑客利用接口漏洞,获取数据。

设计缺陷&逻辑错误
我们的网站或者应用可能存在着设计上面的逻辑漏洞,最常见的比如说在找回密码时不需要验证身份或者验证身份的方法不可靠就直接输入新密码,这样会使得任意密码重置,从而引起账户数据泄露。

撞库
黑客们可以通过已经泄露的用户名和密码,利用自动化脚本程序不断的尝试登陆大型网站,以匹配是否有可用的账户。由于我们的用户为了方便记忆,总是在各种网站使用同一套账户名和密码,这就给撞库带来了可乘之机。

解决方法

  • 严格控制接口权限,限制网站数据请求频率。
  • 在登录,密码找回等模块的逻辑缺陷要尽量避免,这种重大的漏洞是不应该有滴。
  • 在登录,注册等模块加上验证码,以防止撞库登录。

以上的解决方法都是浅尝辄止的,上面的每一个问题都有很多方面需要注意,需要去改进。本文旨在提出可能存在的威胁因素,防止数据泄露,我们还有很多的路要走。

防撞库的方法有很多,大家可以参考极验的另一篇文章《浅谈撞库防御策略》更加全面的告诉大家如何防止撞库哦~~

极验验证致力于验证安全行业,首创行为式验证技术,防止黑客通过撞库,暴力破解等手段窃取企业数据,造成不可估量的损失。有极验,更安全,赶紧使用起来的吧~~