大多数Web应用程序并不安全
虽然SSL已得到广泛使用,并且会定期进行安全扫描。最近几年,我们测试过数百个Web应用程序,下面是应用程序受一些常见类型的漏洞影响的比例。
不完善的身份验证措施(62%)。这类漏洞包括应用程序登录机制中的各种缺陷,可能会使攻击者破解保密性不强的密码。
不完善的访问控制措施(71%)。这一问题涉及的情况包括:应用程序无法为数据和功能提供全面保护,攻击者可以查看其他用户保存在服务器中的敏感信息,或者执行特权操作。
SQL注入(32%)。攻击者可通过这一漏洞提交专门设计的输入,干扰应用程序与后端数据库的交互活动。
跨站点脚本(94%)。攻击者可利用该漏洞攻击应用程序的其他用户、访问其信息、代表他们执行未授权操作,或者向其发动其他攻击。
信息泄露(78%)。这一问题包括应用程序泄露敏感信息。
跨站点请求伪造(92%)。利用这种漏洞,攻击者可以诱使用户在无意中使用自己的用户权限对应用程序执行操作。
中央纪委国家监委网站:刘翔峰有关问题的发生,为什么内部没有早发现早解决?医院内部管理、制度流程是不是有漏洞?监管部门的日常监督管理是不是有力、到位?等等问题都值得从个案中反思,并且严肃认真加以解决。
刘翔峰问题,决不完全是个人行为,而是有保护伞,有利益链,有共同参与者。否则,这种品行的人,不可能被当作典型,也不可能有那么多举报都石沉大海。因此,调查刘翔峰的同时,必须把其背后的东西也挖出来,否则,斩草不除根,新草还会出。
【价值40亿元加密货币被盗,或为最大加密货币盗窃案之一】
据新浪科技,区块链网站Poly Network周二表示,黑客利用了其系统中的一个漏洞,偷走了数千枚数字代币,包括以太坊等,总计价值约6.1亿美元(约合人民币40亿元)。这可能是有史以来最大的加密货币盗窃案之一。
但在Poly Network向黑客发出通牒,要求他们“建立联系并归还被窃取的资产”,并警告他们否则将会被各国执法部门追捕后,黑客们开始返还他们窃取的部分加密货币。他们向Poly Network发送了一条嵌入加密货币交易的信息,称他们“准备归还”资金。
Poly Network作出回应,要求黑客将这些加密货币发送到三个地址。截至美东时间周三上午11点,价值约2.58亿美元的加密货币已被退还到Poly Network的地址。
安全公司SlowMist的研究人员表示,总共有价值超过6.1亿美元的加密货币被转移到三个地址。其中包括2.73亿美元的以太坊、2.53亿美元的币安币、8500万美元的泰达币。
SlowMist在推特上表示,其研究人员已经“掌握了攻击者的邮箱、IP和设备指纹”,并正在“追踪与Poly Network攻击者有关的可能身份线索”。研究人员得出的结论是,这次盗窃“很可能是一次长期计划、有组织和准备的袭击”。Poly Network敦促加密货币交易所将来自与黑客有关的地址的代币列入“黑名单”。据泰达币的发行方称,黑客盗走的价值约3300万美元的泰达币(Tether)已被冻结。
如果觉得《网站漏洞检查 网站漏洞分析》对你有帮助,请点赞、收藏,并留下你的观点哦!
