人們在享受數字時(shí)代的各種便利時(shí),也(yě)難以擺脫數據風(fēng)險所帶來(lái)的各種擔憂。雖然互聯網的安全性越來(lái)越高(gāo),但(dàn)是令人咋舌的數據洩露事(shì)件依然持續發生。
黑客的數據嗅覺
黑客的攻擊是一種動态的過程,其最小(xiǎo)的流程結構是“信息收集-攻擊面分析-實施驗證”,然後不斷的循環這(zhè)個過程,直到(dào)其到(dào)達預期目标。在這(zhè)個過程中,大(dà)量的數據會(huì)在黑客的眼前流過,那麽哪些(xiē)數據會(huì)引起黑客的重點關注呢(ne)?
1.1 賬号信息類數據
如Username、userid、passwd、uid等。當黑客看(kàn)到(dào)這(zhè)些(xiē)字眼時(shí),一般會(huì)針對(duì)認證功能(néng)、會(huì)話(huà)功能(néng)、權限功能(néng)發起攻擊,如下(xià):
攻擊一,篡改用(yòng)戶名和(hé)用(yòng)戶id以獲取其它用(yòng)戶的數據
攻擊二,重置其它用(yòng)戶的密碼
攻擊三,采用(yòng)某一弱密碼大(dà)量撞庫用(yòng)戶
攻擊四,對(duì)某一用(yòng)戶進行密碼暴力破解
攻擊五,對(duì)用(yòng)戶id嘗試sql注入
1.2 金(jīn)融交易類數據
如金(jīn)額、數量 、套餐優惠、訂單id,當黑客看(kàn)到(dào)這(zhè)些(xiē)字眼時(shí),一般會(huì)對(duì)訂單的内容、優惠活動發起攻擊,如下(xià):孩子“情商管理(lǐ)”弱的原因
攻擊六,篡改金(jīn)額或數量以低(dī)價購買商品
攻擊七、不支付套餐而獲取套餐内的優惠
1.3 資源标識别類,如url
如http網址、文(wén)件路徑,除此之外(wài)ftp、内部協議(yì)的标别等。當黑客看(kàn)到(dào)這(zhè)些(xiē)字眼時(shí),一般會(huì)針對(duì)資源管理(lǐ)、外(wài)部資源等功能(néng)發起攻擊,如下(xià):
攻擊八、攻擊篡改文(wén)件标識用(yòng)以讀取無法訪問的文(wén)件
攻擊九、篡改url讓目标訪問到(dào)惡意url或非預期url
攻擊十、JNDI注入攻擊(如fastjson的遠程命令執行漏洞就是此類)
1.4 源代碼
一般指代碼和(hé)配置文(wén)件。攻擊者會(huì)審計(jì)代碼用(yòng)以挖掘漏洞,有時(shí)配置文(wén)件中也(yě)會(huì)洩露賬号密碼或會(huì)話(huà)令牌。
攻擊十一、讀取無法訪問的配置文(wén)件
規避數據洩漏的風(fēng)險
爲了(le)規範數據處理(lǐ)活動,保障數據安全。我們既要通過管理(lǐ)手段建立防護體系,又要通過技術手段規避安全風(fēng)險。
衆所周知(zhī),越早的介入安全管理(lǐ),就有越好(hǎo)的效果。因此在研發過程中就考慮數據洩露的防護,就是我們常說的“花(huā)最小(xiǎo)的代價,達到(dào)最大(dà)對(duì)效果”。如同黑客在攻擊的過程中,是帶着對(duì)數據的嗅覺。那麽我們在研發的過程中,是不是也(yě)應該帶着安全的嗅覺呢(ne)?
對(duì)研發過程中,提出以下(xià)幾點建議(yì):
1.凡是有用(yòng)戶輸入的地方,都要考慮過濾。
2.不允許弱密碼和(hé)弱登錄。
3.完善權限校驗。
4.凡是敏感數據,都要進行脫敏。如果業務上(shàng)确實需要完整數據,建議(yì)采用(yòng)單獨的api接口,并進行次數的閥值設置,和(hé)超過閥值的校驗處置。
5.對(duì)url進行可信校驗。
6.凡是有資源标識的地方,都要考慮資源标識被操縱的風(fēng)險。