本文由葡萄城技術團隊於原創並首發
轉載請註明出處:葡萄城官網,葡萄城為開發者提供專業的開發工具、解決方案和服務,賦能開發者。
2018 網路安全事故頻發,從資料洩露、資訊竊取,到 DDOS 攻擊、勒索病毒,不僅威脅的總數在增加,威脅態勢也變得更加多樣化,攻擊者在不斷開發新的攻擊途徑的同時,也盡力在攻擊過程中掩蓋其蹤跡,使網路安全防護變得越發棘手。未來是萬物互聯的時代,唯有把握住網路資訊保安,才能避免被降維打擊。
為了回饋社群,我們特邀葡萄城高階架構師、安全專家Carl作為分享嘉賓,於葡萄城技術公開課上,以 WebApp 安全防護為出發點,帶你瞭解更多意想不到的安全防護措施與黑客攻擊手段,助你提高網路安全意識,最終學會如何規避風險隱患,避免遭受網路安全攻擊。
本次課程共分三節,計劃講的內容如下:
第一節:開闊眼界 – 提升安全意識
提升網路安全意識對專案團隊中的每一個角色、每一個流程都至關重要。同時,也只有具備了網路安全意識,才願意為資料安全投入更多的時間和精力。下面,我將為您展示部分2018年發生的網路安全事故,這些事故造成的損失,也許遠遠超出你的想象。
2018 網路安全事故回顧
Facebook資料洩露事件:2018年9月,Facebook因安全系統漏洞而遭受黑客攻擊,導致約5000萬使用者資訊洩露。
上市公司資料堂,涉嫌侵犯數百億條公民個人資訊:大資料行業知名企業資料堂在短短8個月的時間內,日均洩露公民個人資訊1.3億餘條,累計傳輸資料壓縮後約為4000GB。
圓通10億快遞資訊洩露: 10億條使用者資料遭公開售賣,這些資料包括寄(收)件人姓名、電話、地址等隱私資訊。
萬豪酒店5億使用者開房資訊洩露:萬豪酒店客房預訂資料庫遭黑客入侵,約5億名客戶的資訊可能被洩露。
更多資料洩露事件
- 國泰航空資料洩露,940萬乘客受影響
- MongoDB 資料庫被入侵, 1100 萬份郵件記錄遭洩露
- SHEIN 資料洩露影響 642 萬使用者
- GovPayNet憑證系統存在漏洞,1400萬交易記錄被曝光
- 小米有品平臺洩露個人隱私 約2000萬使用者資料遭洩露
- …
- 美國亞特蘭大市政府受到勒索軟體攻擊
- 美國巴爾的摩市遭遇勒索軟體攻擊,導致911緊急排程服務的計算機輔助排程(CAD)功能掉線
- 臺積電勒索病毒事件,約造成17.6 億元的營收損失,股票市值下跌78億
- 很多個人電腦和中小網站都曾遭受攻擊
- 平昌冬奧會開幕式伺服器遭到身份不明的黑客入侵
- GitHub遭1.35T級流量攻擊
- CPU資料快取機制漏洞
- iOS 平臺WebView元件漏洞(UIWebView/ WKWebView)跨域訪問漏洞(CNNVD-201801-515)
- Oracle WebLogic Server WLS核心元件遠端程式碼執行漏洞
- 微信支付SDKXXE漏洞
- Apache Struts2 S2-057安全漏洞
勒索病毒事件
DDoS 攻擊
年度重大漏洞盤點
第二節:知己知彼 – 黑客如何攻擊系統
一名黑客攻擊網站的典型步驟,主要分為以下5步:
- 資訊收集和漏洞掃描
- 漏洞利用
- 上傳木馬
- 獲取伺服器的控制權
- 清理痕跡
總結:
黑客不是手動測試系統漏洞的,而是有很多強大的工具可以自動化完成
黑客不是利用系統中的一個漏洞,而是要利用一系列,不同層次的漏洞
黑客經常批量攻擊一系列網站,選取其中漏洞較多,較好利用的重點突破
第三節:十大安全風險(OWASP Top 10)
不安全的軟體正在破壞著我們的金融、醫療、國防、能源和其他重要的基礎設施。隨著我們的軟體變得愈加龐大、複雜且相互關聯,實現應用程式安全的難度也呈指數級增長。而現代軟體開發過程的飛速發展,使得快速、準確地識別軟體安全風險變得愈發的重要,OWASP 組織也因此誕生。
OWASP,即開放式Web應用程式安全專案(Open Web Application Security Project),作為一個開源的、非盈利的全球性安全組織,它提供了有關計算機和網際網路應用程式的公正、實際、有成本效益的資訊,其目的是協助個人、企業和機構來發現並使用可信賴的軟體。
OWASP Top 10是由OWASP組織公佈,最具權威性的“10項最嚴重的Web應用程式安全風險預警”,其就安全問題從威脅性和脆弱性兩方面進行可能性分析,並結合技術和商業影響的分析結果,輸出公認的、最嚴重的十類Web應用安全風險排名。OWASP Top 10旨在針對上述風險,提出解決方案,幫助IT公司和開發團隊規範應用程式開發流程和測試流程,提高Web產品的安全性。
OWASP敦促所有公司在其組織內採用OWASP Top 10文件,並確保其Web應用程式最大限度地降低這些風險,採用OWASP Top 10可能是將企業內的軟體開發文化轉變為生成安全程式碼文化最行之有效的一步。
OWASP Top 10包括:
- 注入
- 失效的身份認證
- 敏感資訊洩露
- XML外部實體(XXE)
- 失效的訪問控制
- 安全配置錯誤
- 跨站指令碼(XSS)
- 不安全的反序列化
- 使用含有已知漏洞的元件
10. 不足的日誌記錄和監控
講師介紹:
Carl(陳慶),葡萄城高階架構師、安全專家、葡萄城技術公開課講師。擁有15年專案開發經驗,專注於產品架構、程式設計技術等領域,對網路安全有著獨到見解,曾擔任微軟TechEd講師,樂於研究各種前沿技術並分享。
請點選該地址報名觀看直播:http://live.vhall.com/137416596
錯過本場直播?沒關係,所有直播內容我們會存放在葡萄城公開課頁面,便於您隨時觀看、學習。後續我們也會將Carl老師講的內容整理成文章,釋出在社群,敬請關注。
“賦能開發者”葡萄城除了為所有開發人員提供免費的開發技巧分享、專案實戰經驗外,還提供了眾多高水準、高品質的開發工具和開發者解決方案,可有效幫助開發人員提高效率,縮短專案週期,使開發人員能更專注於業務邏輯,順利完成高質量的專案交付,歡迎您深入瞭解。