昨天,乌云平台发布了2014年10大安全风险,互联网泄密、不安全的第三方应用、系统错误/逻辑错误带来的暴力破解、SQL注入、XSS等成为2014年最大的安全风险。
A1-互联网泄密事件/撞库攻击
以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,共1.2亿条。经典案例:
WooYun: CSDN数据库泄露,大量用户真实账号密码外泄
11年底CSDN在乌云上被披露数据库已经泄露,用户的用户名以及明文密码在互联网上流传开,揭开了互联网数据库泄露事件冰山一角,陆续多家大型网站被窃取的数据库开始在互联网上流传。
A2-引用不安全的第三方应用
第三方开源应用、组件、库、框架和其他软件模块; 过去几年中,安全领域在如何处理漏洞的评估方面取得了长足的进步,几乎每一个业务系统都越来越多地使用了第三方应用,从而导致系统被入侵的威胁也随之增加。由于第三方应用平行部署在业务系统之上,如果一个易受攻击的第三方应用被利用,这种攻击将导致严重的数据失窃或系统沦陷。经典案例:
WooYun: 淘宝主站运维不当导致可以登录随机用户并且获取服务器敏感信息