双十一购物狂欢节即将来临,所有的商家和消费者都在翘首以待。但是,在疯狂买买买的狂欢中,你是否关注到一系列安全问题?莫担心,华为云已经为你识别双十一的十大安全坑,为你安全购物狂欢保驾护航。
有哪些十大安全坑?
一、横行无忌的大流量坑
即DDoS大流量攻击,被攻击者广泛用在网站攻击上。攻击者通过调动海量的流量,去访问某个特定的网站,让网站服务器资源耗尽,从而无法处理正常的用户访问甚至直接宕机崩溃。
二、花言巧语的注入坑
即SQL注入,被广泛用于非法获取网站控制权限。攻击者通过把自己构造的SQL命令插入到网站中(通过提交表单、输入域名、页面请求等方式),最终达到欺骗服务器,让其执行恶意SQL命令的目的。
三、暗地搞鬼的跨站坑
即跨站脚本攻击,通常发生在客户端,常被用于窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等。攻击者往页面里插入恶意代码,当用户浏览该页时,嵌入其中的代码即被执行。
四、简单幼稚的弱口令坑
通常认为,容易被人猜解或被破解工具破解的均为弱口令,如“123”、“abc”等。另外,在网上泄露过,被黑客收入密码字典的口令,无论设置得多复杂,都被认为是弱口令。
五、冒充他人的会话劫持坑
这是一种通过获取用户会话ID,使用该 ID登录目标账号,冒充合法用户的攻击行为。会话劫持的第一步是取得一个合法的会话标识,以伪装成合法用户,因此需要保证会话标识不被泄漏。
六、将错就错的包含已知漏洞的组件坑
网站、应用等系统,在安装和使用相关软件、插件的时候,如果没有进行安全检测,排查出安全漏洞并打补丁,导致使用了包含已知漏洞的组件,使得整个系统的安全性降低,出现可被攻击者攻破的弱点。
七、爱走后门的文件上传坑
通常是由于网站提供了文件上传功能,比如上传照片等,但没有严格限制用户上传的文件后缀及类型,使得攻击者可通过上传任意类型文件,比如本该上传照片,却上传了网站后门木马,进而获得网站的控制权限。
八、旁门左路的重定向坑
重定向,顾名思义,即从一个网址导流到另一个网址(URL)。在Web应用中,重定向是极为普遍的,如果这些重定向未被验证,那么攻击者就可以引导用户访问他们想要用户访问的网站,如钓鱼、赌博、色情等恶意网站。
九、喜欢裸奔的未加密传输坑
把数据特别是敏感数据,比如登陆请求中的账号密码等敏感信息,未加密就进行传输,则攻击者可以窃听网络流量,以劫获这些信息。可以使用如SSH等对数据加密后再传输。
十、伪装成瘾的跨站请求伪造坑
指攻击者伪装受信任用户,向受信任的网站发送请求,达到攻击目的,比如以用户名义发送邮件,发消息,盗取账号,甚至购买商品,虚拟货币转账等,会导致个人隐私泄露及财产损失。
如何避免入坑?
这些坑是不是很烦人?
为帮助大家多坑避雷,2019年10月31日-2019年11月20日,华为云11.11活动,DDoS高防、Web应用防火墙、漏洞扫描三款安全精品大优惠:DDoS高防帮你防住流量坑、Web应用防火墙帮你防住注入鬼跨站坑、漏洞扫描服务帮你防住弱口令鬼组件坑,发现网站和系统上的威胁,安全欢度双十一。
只有20天时间,机会难得!你,还不出手?