时时彩改单套利是真的吗 2015年11月数据安全漏洞分析报

2015年11月数据安全漏洞分析报

漏洞类型涉及,SQL注入、系统漏洞、弱口令等7类,其中SQL注入仍然是漏洞类型的重灾区。可以看到SQL注入漏洞数量长期占据高位2015年8 11月漏洞变化趋势

9月份系统漏洞的异军突起是因为struts2等框架软件被爆出一些漏洞的利用方式。金融业同比10月在比例上出现了大幅的增长(从10月份的7%增长到11月份的18%)11月仅安华每日安全资讯统计出的126个高危漏洞中就有23个金融业的漏洞(包含了银行、互联网金融、证券、保险等几个子类)占11月漏洞总数的18%11月数据安全漏洞行业分布情况

11月金融业被集中爆出漏洞与自身网站代码质量有密切关系。金融行业漏洞中有13个漏洞是绕过WAF的SQL注入漏洞还存在四个弱口令漏洞和一个getshell漏洞由于一些SQL注入攻击手段可以绕过waf,所以单纯依靠waf防护不能达到一个理想的防护效果。例如本月的某互联网金融主站存在的SQL注入、某银行官网SQL注入、某市人社局网站注入等都是SQL注入绕过Waf的造成的漏洞。要想达到理想的防护效果被入侵单位或厂商就要对网站的源码进行完善修改,从根源上杜绝SQL注入。如果无法对源码进行修改,那就不能只单独依靠WAF来防止SQL注入,需要通过其他软件,例如数据库防火墙等数据库防护产品与WAF协同防护23个金融业漏洞主要问题都出在和互联网交互的地方。其中互联网金融的漏洞数量尤为突出,这与互联网金融行业重业务发展轻安全有很大关系,强大的业务能力和脆弱的安全性对比显得尤为突出。弱口令这种漏洞缺乏严格和准确的定义,通常被认为是很容易被别人猜到的密码或破解工具能够很容易破解的口令均为弱口令。本文下面提到的弱口令不只是单纯的暴力破解口令和默认口令,更偏向身份验证漏洞。总结8月到11月4个月弱口令的分布可以看到政府和金融业是弱口令的多发行业2015年8月 11月弱口令漏洞行业分布图

11月漏洞中金融行业弱口令有4个,占11月弱口令总数的1/3。弱口令问题在互联网金融身上有明显的体现,这同样和互联网金融忽视安全只求业务的野蛮生长有密切关系(1)不暴力密码,
时时彩改单套利是真的吗 2015年11月数据安全漏洞分析报
暴力用户

说到弱口令第一个让人能想到的就是暴力破解密码。这方面的工具也有很多,无论是手动还是用工具都是根据字典对某一用户名进行密码遍历。目前防护这种破解方法的主要手段是采取同一个用户名输入多次错误密码,直接对账号进行锁定处理那么换个思路考虑,如果暴力破解是针对一个固定的密码,切换不同的用户,来遍历适合这个密码的用户,无论试多少次也不会发生账号锁定情况。这就说明换一个思路就可以突破前台对用户名密码进行暴力破解的防护机制这是方法是前台逻辑无法解决的问题,原因在于账号一直在变化,前台逻辑无法判断锁哪个用户,如果把全部用户都锁定虽然可以解决这个问题。但实际上会引出两个新问题:

1.造成短时间内的DDOS攻击(所有用户都无法访问服务器)2.对合法用户的正常权利造成影响,用户体验变低还有一种方式是针对多次登陆失败的ip进行锁ip处理。但锁ip很容易造成同一网段中的合法用户业无法正常访问,给合法用户使用带来不便,使正在运行的业务造成中断针对这种暴力破解用户名的方式,只能通过对用户名的长度和组成元素的复杂度来加大破解难度(2)前台防守逻辑过于简单

据统计发现弱口令多发的两个行业一个是金融行业一个是政府机关。这两个行业往往从业人员和客户群体普遍年纪偏大,这类人群往往喜欢用好记的密码。还有一种情况往往在设定密码的时候用户名会起到提示作用,甚至有的直接就是用户名和密码同名。网站在防范机制上前台应该给出相应提示禁止这种账号的注册并添加逻辑验证保障用户名或无需登陆就可查询的信息和密码无明显关系,如果出现相关信息则提示用户密码设置不成功,
时时彩改单套利是真的吗 2015年11月数据安全漏洞分析报
建议设置更为复杂的密码。