欢迎访问合肥市大数据资产运营有限公司网站!
0551-65909059   公司OA
联系电话:
当前位置:首页>>项目展示>>数智投资公司 >>了解黑客的数据嗅觉,规避数据泄露的风险
今天是: 2024年12月12日   【农历:冬月十二】  星期四
了解黑客的数据嗅觉,规避数据泄露的风险


人们在享受数字时代的各种便利时,也难以摆脱数据风险所带来的各种担忧。虽然互联网的安全性越来越高,但是令人咋舌的数据泄露事件依然持续发生。

黑客的数据嗅觉

黑客的攻击是一种动态的过程,其最小的流程结构是“信息收集-攻击面分析-实施验证”,然后不断的循环这个过程,直到其到达预期目标。在这个过程中,大量的数据会在黑客的眼前流过,那么哪些数据会引起黑客的重点关注呢?


1.1 账号信息类数据

如Username、userid、passwd、uid等。当黑客看到这些字眼时,一般会针对认证功能、会话功能、权限功能发起攻击,如下:


攻击一,篡改用户名和用户id以获取其它用户的数据

图片


攻击二,重置其它用户的密码

图片


攻击三,采用某一弱密码大量撞库用户

图片


攻击四,对某一用户进行密码暴力破解

图片


攻击五,对用户id尝试sql注入

图片


1.2 金融交易类数据

如金额、数量 、套餐优惠、订单id,当黑客看到这些字眼时,一般会对订单的内容、优惠活动发起攻击,如下:孩子“情商管理”弱的原因


攻击六,篡改金额或数量以低价购买商品

图片


攻击七、不支付套餐而获取套餐内的优惠

图片


1.3 资源标识别类,如url

如http网址、文件路径,除此之外ftp、内部协议的标别等。当黑客看到这些字眼时,一般会针对资源管理、外部资源等功能发起攻击,如下:


攻击八、攻击篡改文件标识用以读取无法访问的文件

图片


攻击九、篡改url让目标访问到恶意url或非预期url

图片


攻击十、JNDI注入攻击(如fastjson的远程命令执行漏洞就是此类)

图片


1.4 源代码

一般指代码和配置文件。攻击者会审计代码用以挖掘漏洞,有时配置文件中也会泄露账号密码或会话令牌。


攻击十一、读取无法访问的配置文件

图片


规避数据泄漏的风险

为了规范数据处理活动,保障数据安全。我们既要通过管理手段建立防护体系,又要通过技术手段规避安全风险。

图片

众所周知,越早的介入安全管理,就有越好的效果。因此在研发过程中就考虑数据泄露的防护,就是我们常说的“花最小的代价,达到最大对效果”。如同黑客在攻击的过程中,是带着对数据的嗅觉。那么我们在研发的过程中,是不是也应该带着安全的嗅觉呢?

对研发过程中,提出以下几点建议:

1.凡是有用户输入的地方,都要考虑过滤。

2.不允许弱密码和弱登录。

3.完善权限校验。

4.凡是敏感数据,都要进行脱敏。如果业务上确实需要完整数据,建议采用单独的api接口,并进行次数的阀值设置,和超过阀值的校验处置。

5.对url进行可信校验。

6.凡是有资源标识的地方,都要考虑资源标识被操纵的风险。