本文由葡萄城技術(shù)團隊于原創(chuàng)并首發(fā) 轉(zhuǎn)載請注明出處:葡萄城官網(wǎng)���,葡萄城為開發(fā)者提供專業(yè)的開發(fā)工具、解決方案和服務�����,賦能開發(fā)者�。
2018 網(wǎng)絡安全事故頻發(fā),從數(shù)據(jù)泄露�、信息竊取,到 DDOS 攻擊��、勒索病毒�,不僅威脅的總數(shù)在增加,威脅態(tài)勢也變得更加多樣化�����,攻擊者在不斷開發(fā)新的攻擊途徑的同時���,也盡力在攻擊過程中掩蓋其蹤跡�,使網(wǎng)絡安全防護變得越發(fā)棘手���。未來是萬物互聯(lián)的時代����,唯有把握住網(wǎng)絡信息安全�����,才能避免被降維打擊�����。 為了回饋社區(qū)���,我們特邀葡萄城高級架構(gòu)師�����、安全專家Carl作為分享嘉賓����,于葡萄城技術(shù)公開課上�,以 WebApp 安全防護為出發(fā)點,帶你了解更多意想不到的安全防護措施與黑客攻擊手段�����,助你提高網(wǎng)絡安全意識,最終學會如何規(guī)避風險隱患���,避免遭受網(wǎng)絡安全攻擊��。 本次課程共分三節(jié)�,計劃講的內(nèi)容如下: 第一節(jié):開闊眼界 – 提升安全意識提升網(wǎng)絡安全意識對項目團隊中的每一個角色����、每一個流程都至關重要。同時����,也只有具備了網(wǎng)絡安全意識,才愿意為數(shù)據(jù)安全投入更多的時間和精力�。下面,我將為您展示部分2018年發(fā)生的網(wǎng)絡安全事故���,這些事故造成的損失�,也許遠遠超出你的想象��。 2018 網(wǎng)絡安全事故回顧Facebook數(shù)據(jù)泄露事件:2018年9月���,F(xiàn)acebook因安全系統(tǒng)漏洞而遭受黑客攻擊�����,導致約5000萬用戶信息泄露�。 上市公司數(shù)據(jù)堂,涉嫌侵犯數(shù)百億條公民個人信息:大數(shù)據(jù)行業(yè)知名企業(yè)數(shù)據(jù)堂在短短8個月的時間內(nèi)��,日均泄露公民個人信息1.3億余條���,累計傳輸數(shù)據(jù)壓縮后約為4000GB。 圓通10億快遞信息泄露: 10億條用戶數(shù)據(jù)遭公開售賣���,這些數(shù)據(jù)包括寄(收)件人姓名�、電話�����、地址等隱私信息���。 萬豪酒店5億用戶開房信息泄露:萬豪酒店客房預訂數(shù)據(jù)庫遭黑客入侵�����,約5億名客戶的信息可能被泄露���。 更多數(shù)據(jù)泄露事件- 國泰航空數(shù)據(jù)泄露����,940萬乘客受影響
- MongoDB 數(shù)據(jù)庫被入侵���, 1100 萬份郵件記錄遭泄露
- SHEIN 數(shù)據(jù)泄露影響 642 萬用戶
- GovPayNet憑證系統(tǒng)存在漏洞���,1400萬交易記錄被曝光
- 小米有品平臺泄露個人隱私 約2000萬用戶數(shù)據(jù)遭泄露
- …
- 美國亞特蘭大市政府受到勒索軟件攻擊
- 美國巴爾的摩市遭遇勒索軟件攻擊,導致911緊急調(diào)度服務的計算機輔助調(diào)度(CAD)功能掉線
- 臺積電勒索病毒事件��,約造成17.6 億元的營收損失����,股票市值下跌78億
- 很多個人電腦和中小網(wǎng)站都曾遭受攻擊
- 平昌冬奧會開幕式服務器遭到身份不明的黑客入侵
- GitHub遭1.35T級流量攻擊
- CPU數(shù)據(jù)緩存機制漏洞
- iOS 平臺WebView組件漏洞(UIWebView/ WKWebView)跨域訪問漏洞(CNNVD-201801-515)
- Oracle WebLogic Server WLS核心組件遠程代碼執(zhí)行漏洞
- 微信支付SDKXXE漏洞
- Apache Struts2 S2-057安全漏洞
勒索病毒事件DDoS 攻擊年度重大漏洞盤點第二節(jié):知己知彼 – 黑客如何攻擊系統(tǒng)一名黑客攻擊網(wǎng)站的典型步驟,主要分為以下5步: - 信息收集和漏洞掃描
- 漏洞利用
- 上傳木馬
- 獲取服務器的控制權(quán)
- 清理痕跡
總結(jié): 黑客不是手動測試系統(tǒng)漏洞的��,而是有很多強大的工具可以自動化完成 黑客不是利用系統(tǒng)中的一個漏洞�,而是要利用一系列,不同層次的漏洞 黑客經(jīng)常批量攻擊一系列網(wǎng)站���,選取其中漏洞較多�,較好利用的重點突破 第三節(jié):十大安全風險(OWASP Top 10)不安全的軟件正在破壞著我們的金融、醫(yī)療�����、國防�����、能源和其他重要的基礎設施�����。隨著我們的軟件變得愈加龐大���、復雜且相互關聯(lián),實現(xiàn)應用程序安全的難度也呈指數(shù)級增長��。而現(xiàn)代軟件開發(fā)過程的飛速發(fā)展�����,使得快速�、準確地識別軟件安全風險變得愈發(fā)的重要,OWASP 組織也因此誕生�����。 OWASP,即開放式Web應用程序安全項目(Open Web Application Security Project)���,作為一個開源的���、非盈利的全球性安全組織,它提供了有關計算機和互聯(lián)網(wǎng)應用程序的公正�����、實際����、有成本效益的信息,其目的是協(xié)助個人�����、企業(yè)和機構(gòu)來發(fā)現(xiàn)并使用可信賴的軟件�。 OWASP Top 10是由OWASP組織公布,最具權(quán)威性的“10項最嚴重的Web應用程序安全風險預警”��,其就安全問題從威脅性和脆弱性兩方面進行可能性分析�����,并結(jié)合技術(shù)和商業(yè)影響的分析結(jié)果,輸出公認的�、最嚴重的十類Web應用安全風險排名。OWASP Top 10旨在針對上述風險�����,提出解決方案����,幫助IT公司和開發(fā)團隊規(guī)范應用程序開發(fā)流程和測試流程,提高Web產(chǎn)品的安全性����。 OWASP敦促所有公司在其組織內(nèi)采用OWASP Top 10文檔�,并確保其Web應用程序最大限度地降低這些風險,采用OWASP Top 10可能是將企業(yè)內(nèi)的軟件開發(fā)文化轉(zhuǎn)變?yōu)樯砂踩a文化最行之有效的一步�。 OWASP Top 10包括: - 注入
- 失效的身份認證
- 敏感信息泄露
- XML外部實體(XXE)
- 失效的訪問控制
- 安全配置錯誤
- 跨站腳本(XSS)
- 不安全的反序列化
- 使用含有已知漏洞的組件
10. 不足的日志記錄和監(jiān)控 講師介紹: Carl(陳慶),葡萄城高級架構(gòu)師���、安全專家�����、葡萄城技術(shù)公開課講師�����。擁有15年項目開發(fā)經(jīng)驗��,專注于產(chǎn)品架構(gòu)��、編程技術(shù)等領域���,對網(wǎng)絡安全有著獨到見解�,曾擔任微軟TechEd講師�,樂于研究各種前沿技術(shù)并分享。 
請點擊該地址報名觀看直播:http://live./137416596 錯過本場直播�?沒關系,所有直播內(nèi)容我們會存放在葡萄城公開課頁面����,便于您隨時觀看、學習����。后續(xù)我們也會將Carl老師講的內(nèi)容整理成文章,發(fā)布在社區(qū)�����,敬請關注。 “賦能開發(fā)者”葡萄城除了為所有開發(fā)人員提供免費的開發(fā)技巧分享�����、項目實戰(zhàn)經(jīng)驗外�����,還提供了眾多高水準�����、高品質(zhì)的開發(fā)工具和開發(fā)者解決方案���,可有效幫助開發(fā)人員提高效率��,縮短項目周期,使開發(fā)人員能更專注于業(yè)務邏輯�����,順利完成高質(zhì)量的項目交付���,歡迎您深入了解�。
|
