TWO DAY | WEB安全之OWASP TOP10漏洞

一、OWASP簡介

OWASP:開放式Web應(yīng)用程序安全項(xiàng)目(Open Web Application Security
Project)，OWASP是一家國際性組織機(jī)構(gòu)，并且是一個開放的、非盈利組織，它致力于協(xié)助政府、企業(yè)開發(fā)、升級各類應(yīng)用程序以保證其可信任性。所有OWASP的工具、文檔、研討以及所有分會都對任何就應(yīng)用安全領(lǐng)域感興趣的人士自由開放。其最具權(quán)威的就是“10項(xiàng)最嚴(yán)重的Web
應(yīng)用程序安全風(fēng)險(xiǎn)列表”
，總結(jié)了Web應(yīng)用程序最可能、最常見、最危險(xiǎn)的十大漏洞，是開發(fā)、測試、服務(wù)、咨詢?nèi)藛T應(yīng)知應(yīng)會的知識，不過OWASP每四年發(fā)布一次，現(xiàn)在最新的OWASP是2021年公布的。

二、TOP10漏洞詳解

A1、注入漏洞

注入漏洞在 2013、2017、2021 的三個版本中都是入列，可見此漏洞的引入是多么的容易，同時也證明此漏洞的危害有多么嚴(yán)重。
（1）注入的概念
注入即是指web應(yīng)用程序?qū)τ脩糨斎霐?shù)據(jù)的合法性沒有判斷或過濾不嚴(yán)，攻擊者可以是在web應(yīng)用程序中事先定義好的查詢語句的結(jié)尾上添加額外的執(zhí)行語句，在管理員不知情的情況下實(shí)現(xiàn)非法操作，以此來實(shí)現(xiàn)欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢，從而進(jìn)一步得到相應(yīng)的數(shù)據(jù)信息。

也就是說，我服務(wù)器明明想要用戶你提交的是一個數(shù)據(jù)，可是你要么提交的是一個本本分分的數(shù)據(jù)，要么提交的是一個數(shù)據(jù)+命令

（2）注入分類

• sql注入
• –os-shell
• LDAP（輕量目錄訪問協(xié)議）
• xpath（XPath即為XML路徑語言，它是一種用來確定XML（標(biāo)準(zhǔn)通用標(biāo)記語言的子集）文檔中某部分位置的語言）
• HQL注入

（3）實(shí)例



（4）SQL 注入工具
作為最強(qiáng)大的 SQL 注入工具，這里要介紹下基于 python開發(fā)的 SQLmap，SQLmap 支持對 PostgreSql，MySQL，Access，MsSql Server 等數(shù)據(jù)庫的自動化注入。是在檢查SQL注入漏洞方面最得力的工具。
（5）SQL 注入防護(hù)
關(guān)閉 SQL 錯誤回顯
前端輸入字符白名單驗(yàn)證（長度、類型等）
對輸入的特殊字符使用轉(zhuǎn)義處理
SQL 操作使用 PreParedStatement
SQL 服務(wù)運(yùn)行于專門的賬號，并且使用最小權(quán)限
限制 SQL 服務(wù)的遠(yuǎn)程訪問，只開放給特定開發(fā)人員
代碼審計(jì)，最有效的檢測應(yīng)用程序的注入風(fēng)險(xiǎn)的方法之一
使用成熟的 waf

A2、失效的訪問控制

描述
訪問控制強(qiáng)制執(zhí)行策略，使用戶不能在其預(yù)期權(quán)限之外采取行動。故障通常會導(dǎo)致未經(jīng)授權(quán)的信息泄露、修改或破壞所有數(shù)據(jù)或執(zhí)行超出用戶限制的業(yè)務(wù)功能。常見的訪問控制漏洞包括：

• 通過修改 URL、內(nèi)部應(yīng)用程序狀態(tài)或 HTML 頁面，或僅使用自定義 API 攻擊工具來繞過訪問控制檢查。
• 允許將主鍵更改為其他用戶的記錄，允許查看或編輯其他人的帳戶。
• 特權(quán)提升。在未登錄的情況下充當(dāng)用戶或以用戶身份登錄時充當(dāng)管理員。
• 元數(shù)據(jù)操作，例如重放或篡改 JSON Web 令牌 (JWT) 訪問控制令牌，或用于提升權(quán)限或?yàn)E用 JWT 失效的 cookie
  或隱藏字段。
• CORS 錯誤配置允許未經(jīng)授權(quán)的 API 訪問。
• 強(qiáng)制以未經(jīng)身份驗(yàn)證的用戶身份瀏覽經(jīng)過身份驗(yàn)證的頁面或以標(biāo)準(zhǔn)用戶身份瀏覽特權(quán)頁面。訪問 API 時缺少對 POST、PUT 和 DELETE
  的訪問控制。

如何預(yù)防
訪問控制僅在受信任的服務(wù)器端代碼或無服務(wù)器 API 中有效，攻擊者無法修改訪問控制檢查或元數(shù)據(jù)。

• 除公共資源外，默認(rèn)拒絕。
• 實(shí)施一次訪問控制機(jī)制并在整個應(yīng)用程序中重復(fù)使用它們，包括最大限度地減少 CORS 的使用。
• 模型訪問控制應(yīng)該強(qiáng)制記錄所有權(quán)，而不是接受用戶可以創(chuàng)建、讀取、更新或刪除任何記錄。
• 獨(dú)特的應(yīng)用程序業(yè)務(wù)限制要求應(yīng)由領(lǐng)域模型強(qiáng)制執(zhí)行。
• 禁用 Web 服務(wù)器目錄列表并確保文件元數(shù)據(jù)（例如 .git）和備份文件不在 Web 根目錄中。
• 記錄訪問控制失敗，在適當(dāng)時提醒管理員（例如，重復(fù)失?。?。
• 速率限制 API 和控制器訪問，以最大限度地減少自動攻擊工具的危害。
• 注銷后，JWT 令牌應(yīng)在服務(wù)器上失效。
  開發(fā)人員和 QA 人員應(yīng)包括功能訪問控制單元和集成測試。

A3、加密機(jī)制失效

描述
首先是確定傳輸中和靜止數(shù)據(jù)的保護(hù)需求。例如，密碼、信用卡號、健康記錄、個人信息和商業(yè)秘密需要額外保護(hù)，主要是如果該數(shù)據(jù)屬于隱私法（例如歐盟的通用數(shù)據(jù)保護(hù)條例 (GDPR)）或法規(guī)（例如金融數(shù)據(jù)保護(hù)）例如 PCI 數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)。對于所有此類數(shù)據(jù)：

• 是否有任何數(shù)據(jù)以明文形式傳輸？這涉及 HTTP、SMTP 和 FTP
  等協(xié)議。外部互聯(lián)網(wǎng)流量是危險(xiǎn)的。驗(yàn)證所有內(nèi)部流量，例如，負(fù)載平衡器、Web 服務(wù)器或后端系統(tǒng)之間的流量。
• 默認(rèn)情況下或在較舊的代碼中是否使用任何舊的或弱的加密算法？
• 是否正在使用默認(rèn)加密密鑰、生成或重復(fù)使用弱加密密鑰，或者是否缺少適當(dāng)?shù)拿荑€管理或輪換？
• 用戶代理（例如，應(yīng)用程序、郵件客戶端）是否不驗(yàn)證收到的服務(wù)器證書是否有效？

請參閱 ASVS 加密 (V7)、數(shù)據(jù)保護(hù) (V9) 和 SSL/TLS (V10)

如何預(yù)防

• 對應(yīng)用程序處理、存儲或傳輸?shù)臄?shù)據(jù)進(jìn)行分類。根據(jù)隱私法、監(jiān)管要求或業(yè)務(wù)需求確定哪些數(shù)據(jù)是敏感的。
• 根據(jù)分類應(yīng)用控制。
• 不要不必要地存儲敏感數(shù)據(jù)。盡快丟棄它或使用符合 PCI DSS 的標(biāo)記化甚至截?cái)?。未保留的?shù)據(jù)不能被竊取。
• 確保加密所有靜態(tài)敏感數(shù)據(jù)。
• 確保擁有最新且強(qiáng)大的標(biāo)準(zhǔn)算法、協(xié)議和密鑰；使用適當(dāng)?shù)拿荑€管理。
• 使用安全協(xié)議（例如具有完美前向保密 (PFS) 密碼的 TLS、服務(wù)器的密碼優(yōu)先級和安全參數(shù)）加密所有傳輸中的數(shù)據(jù)。使用 HTTP
  嚴(yán)格傳輸安全 (HSTS) 等指令強(qiáng)制加密。
• 對包含敏感數(shù)據(jù)的響應(yīng)禁用緩存。
• 使用具有工作因子（延遲因子）的強(qiáng)自適應(yīng)和加鹽散列函數(shù)存儲密碼，例如 Argon2、scrypt、bcrypt 或 PBKDF2。
• 獨(dú)立驗(yàn)證配置和設(shè)置的有效性。

A4、安全配置錯誤

描述
如果應(yīng)用程序是：

• 在應(yīng)用程序堆棧的任何部分缺少適當(dāng)?shù)陌踩珡?qiáng)化或?qū)υ品?wù)的權(quán)限配置不正確。
• 啟用或安裝了不必要的功能（例如，不必要的端口、服務(wù)、頁面、帳戶或權(quán)限）。
• 默認(rèn)帳戶及其密碼仍處于啟用狀態(tài)且未更改。
• 錯誤處理向用戶顯示堆棧跟蹤或其他信息過多的錯誤消息。
• 對于升級的系統(tǒng)，最新的安全功能被禁用或未安全配置。
• 應(yīng)用程序服務(wù)器、應(yīng)用程序框架（例如，Struts、Spring、ASP.NET）、庫、數(shù)據(jù)庫等中的安全設(shè)置未設(shè)置為安全值。
• 服務(wù)器不發(fā)送安全標(biāo)頭或指令，或者它們未設(shè)置為安全值。
• 軟件已過時或易受攻擊（請參閱 A06:2021-易受攻擊和過時的組件）。

如果沒有協(xié)調(diào)一致的、可重復(fù)的應(yīng)用程序安全配置過程，系統(tǒng)將面臨更高的風(fēng)險(xiǎn)。

如何預(yù)防
應(yīng)實(shí)施安全安裝過程，包括：

• 可重復(fù)的強(qiáng)化過程使部署另一個適當(dāng)鎖定的環(huán)境變得快速而輕松。開發(fā)、QA
  和生產(chǎn)環(huán)境都應(yīng)配置相同，在每個環(huán)境中使用不同的憑據(jù)。這個過程應(yīng)該是自動化的，以最大限度地減少設(shè)置新安全環(huán)境所需的工作。
• 一個沒有任何不必要的功能、組件、文檔和示例的最小平臺。刪除或不安裝未使用的功能和框架。
• 作為補(bǔ)丁管理流程的一部分，審查和更新適用于所有安全說明、更新和補(bǔ)丁的配置的任務(wù)（請參閱
  A06:2021-易受攻擊和過時的組件）。查看云存儲權(quán)限（例如，S3 存儲桶權(quán)限）。
• 分段應(yīng)用程序架構(gòu)通過分段、容器化或云安全組 (ACL) 在組件或租戶之間提供有效且安全的分離。
• 向客戶端發(fā)送安全指令，例如安全標(biāo)頭。
• 驗(yàn)證配置和設(shè)置在所有環(huán)境中的有效性的自動化過程。

A5、易受攻擊或過時組件

描述
你可能很脆弱：

• 如果您不知道您使用的所有組件的版本（客戶端和服務(wù)器端）。這包括您直接使用的組件以及嵌套的依賴項(xiàng)。
• 如果軟件易受攻擊、不受支持或已過期。這包括操作系統(tǒng)、Web/應(yīng)用程序服務(wù)器、數(shù)據(jù)庫管理系統(tǒng) (DBMS)、應(yīng)用程序、API
  和所有組件、運(yùn)行時環(huán)境和庫。
• 如果您不定期掃描漏洞并訂閱與您使用的組件相關(guān)的安全公告。
• 如果您沒有以基于風(fēng)險(xiǎn)的方式及時修復(fù)或升級底層平臺、框架和依賴項(xiàng)。這通常發(fā)生在修補(bǔ)是變更控制下的每月或每季度任務(wù)的環(huán)境中，使組織面臨數(shù)天或數(shù)月不必要地暴露于固定漏洞的風(fēng)險(xiǎn)。
• 如果軟件開發(fā)人員不測試更新、升級或修補(bǔ)的庫的兼容性。
• 如果您不保護(hù)組件的配置（請參閱 A4:2021-安全配置錯誤）。

如何預(yù)防
應(yīng)該有一個補(bǔ)丁管理流程來：

• 刪除未使用的依賴項(xiàng)、不必要的功能、組件、文件和文檔。
• 使用版本、OWASP Dependency Check、retire.js
  等工具持續(xù)清點(diǎn)客戶端和服務(wù)器端組件（例如框架、庫）及其依賴項(xiàng)的版本。成分。使用軟件組合分析工具來自動化該過程。訂閱與您使用的組件相關(guān)的安全漏洞的電子郵件警報(bào)。
• 僅通過安全鏈接從官方來源獲取組件。首選簽名包以減少包含修改后的惡意組件的機(jī)會（請參閱 A08:2021-軟件和數(shù)據(jù)完整性故障）。
• 監(jiān)視未維護(hù)或未為舊版本創(chuàng)建安全補(bǔ)丁的庫和組件。如果無法打補(bǔ)丁，請考慮部署虛擬補(bǔ)丁來監(jiān)控、檢測或防止發(fā)現(xiàn)的問題。

每個組織都必須確保在應(yīng)用程序或產(chǎn)品組合的生命周期內(nèi)制定持續(xù)的監(jiān)控、分類和應(yīng)用更新或配置更改的計(jì)劃。

A6、身份驗(yàn)證失敗

描述
確認(rèn)用戶的身份、身份驗(yàn)證和會話管理對于防止與身份驗(yàn)證相關(guān)的攻擊至關(guān)重要。如果應(yīng)用程序存在以下情況，則可能存在身份驗(yàn)證漏洞：

• 允許自動攻擊，例如撞庫，其中攻擊者擁有有效用戶名和密碼的列表。
• 允許蠻力或其他自動攻擊
• 允許使用默認(rèn)密碼、弱密碼或眾所周知的密碼，例如“Password1”或“admin/admin”。
• 使用弱或無效的憑據(jù)恢復(fù)和忘記密碼流程，例如無法確保安全的“基于知識的答案”。
• 使用純文本、加密或弱散列密碼（請參閱 A3:2017-敏感數(shù)據(jù)暴露）。
• 缺少或無效的多因素身份驗(yàn)證。
• 在 URL 中公開會話 ID（例如，URL 重寫）。
• 成功登錄后不要輪換會話 ID。
• 不會正確地使會話 ID 無效。用戶會話或身份驗(yàn)證令牌（主要是單點(diǎn)登錄 (SSO) 令牌）在注銷或一段時間不活動期間未正確失效。

如何預(yù)防

• 在可能的情況下，實(shí)施多因素身份驗(yàn)證以防止自動憑證填充、暴力破解和被盜憑證重用攻擊。
• 不要使用任何默認(rèn)憑據(jù)進(jìn)行交付或部署，尤其是對于管理員用戶。
• 實(shí)施弱密碼檢查，例如針對前 10,000 個最差密碼列表測試新密碼或更改的密碼。
• 將密碼長度、復(fù)雜性和輪換策略與 NIST 800-63b 的第 5.1.1
  節(jié)中關(guān)于記憶秘密的指南或其他現(xiàn)代的、基于證據(jù)的密碼策略保持一致。
• 通過對所有結(jié)果使用相同的消息，確保注冊、憑據(jù)恢復(fù)和 API 路徑能夠抵御帳戶枚舉攻擊。
• 限制或增加延遲失敗的登錄嘗試。當(dāng)檢測到憑證填充、暴力破解或其他攻擊時，記錄所有故障并提醒管理員。
• 使用服務(wù)器端、安全、內(nèi)置的會話管理器，在登錄后生成新的高熵隨機(jī)會話 ID。會話 ID 不應(yīng)在 URL
  中，安全存儲，并在注銷、空閑和絕對超時后失效。

A7、軟件和數(shù)據(jù)完整性故障

描述
軟件和數(shù)據(jù)完整性故障與不能防止完整性違規(guī)的代碼和基礎(chǔ)設(shè)施有關(guān)。例如，在對象或數(shù)據(jù)被編碼或序列化為攻擊者可以看到和修改的結(jié)構(gòu)的情況下，很容易受到不安全的反序列化的影響。另一種形式是應(yīng)用程序依賴來自不受信任的來源、存儲庫和內(nèi)容交付網(wǎng)絡(luò) (CDN) 的插件、庫或模塊。不安全的 CI/CD 管道可能會導(dǎo)致未經(jīng)授權(quán)的訪問、惡意代碼或系統(tǒng)受損。最后，許多應(yīng)用程序現(xiàn)在包括自動更新功能，其中更新在沒有充分完整性驗(yàn)證的情況下被下載并應(yīng)用于以前受信任的應(yīng)用程序。攻擊者可能會上傳自己的更新以分發(fā)并在所有安裝上運(yùn)行。

如何預(yù)防

• 確保未簽名或未加密的序列化數(shù)據(jù)不會在沒有某種形式的完整性檢查或數(shù)字簽名的情況下發(fā)送到不受信任的客戶端，以檢測序列化數(shù)據(jù)的篡改或重放
• 通過簽名或類似機(jī)制驗(yàn)證軟件或數(shù)據(jù)來自預(yù)期來源
• 確保庫和依賴項(xiàng)（例如 npm 或 Maven）使用受信任的存儲庫
• 確保使用軟件供應(yīng)鏈安全工具（例如 OWASP Dependency Check 或 OWASP
  CycloneDX）來驗(yàn)證組件不包含已知漏洞
• 確保您的 CI/CD 管道具有正確的配置和訪問控制，以確保流經(jīng)構(gòu)建和部署過程的代碼的完整性。

A8、安全日志記錄和監(jiān)控失敗

描述
回到 2021 年 OWASP 前 10 名，該類別旨在幫助檢測、升級和響應(yīng)主動違規(guī)行為。如果沒有日志記錄和監(jiān)控，就無法檢測到漏洞。任何時候都會發(fā)生日志記錄、檢測、監(jiān)控和主動響應(yīng)不足的情況：

• 不記錄可審計(jì)的事件，例如登錄、失敗登錄和高價值交易。
• 警告和錯誤不會生成、不充分或不清楚的日志消息。
• 不會監(jiān)控應(yīng)用程序和 API 的日志是否存在可疑活動。
• 日志僅存儲在本地。
• 適當(dāng)?shù)木瘓?bào)閾值和響應(yīng)升級流程沒有到位或有效。
• DAST 工具（例如 OWASP ZAP）的滲透測試和掃描不會觸發(fā)警報(bào)。
• 應(yīng)用程序無法實(shí)時或接近實(shí)時地檢測、升級或警告主動攻擊。

通過使用戶或攻擊者可以看到日志記錄和警報(bào)事件，您很容易受到信息泄漏的影響（請參閱 A01:2021 – 損壞的訪問控制）。

如何預(yù)防
開發(fā)人員應(yīng)實(shí)施以下部分或全部控制措施，具體取決于應(yīng)用程序的風(fēng)險(xiǎn)：

• 確保所有登錄、訪問控制和服務(wù)器端輸入驗(yàn)證失敗都可以用足夠的用戶上下文來記錄，以識別可疑或惡意帳戶，并保留足夠的時間以允許延遲取證分析。
• 確保以日志管理解決方案可以輕松使用的格式生成日志。
• 確保日志數(shù)據(jù)編碼正確，以防止對日志或監(jiān)控系統(tǒng)的注入或攻擊。
• 確保高價值交易具有帶有完整性控制的審計(jì)跟蹤，以防止篡改或刪除，例如僅追加數(shù)據(jù)庫表或類似的。
• DevSecOps 團(tuán)隊(duì)?wèi)?yīng)該建立有效的監(jiān)控和警報(bào)，以便快速檢測和響應(yīng)可疑活動。
• 制定或采用事件響應(yīng)和恢復(fù)計(jì)劃，例如 NIST 800-61r2 或更高版本。

有商業(yè)和開源應(yīng)用程序保護(hù)框架（例如 OWASP ModSecurity 核心規(guī)則集）和開源日志關(guān)聯(lián)軟件（例如 ELK堆棧）具有自定義儀表板和警報(bào)功能。

A9、服務(wù)器端求偽造（SSRF）

描述
每當(dāng) Web 應(yīng)用程序在未驗(yàn)證用戶提供的 URL 的情況下獲取遠(yuǎn)程資源時，就會出現(xiàn) SSRF 缺陷。它允許攻擊者強(qiáng)制應(yīng)用程序?qū)⒕脑O(shè)計(jì)的請求發(fā)送到意外目的地，即使受到防火墻、VPN 或其他類型的網(wǎng)絡(luò) ACL 的保護(hù)也是如此。

隨著現(xiàn)代 Web 應(yīng)用程序?yàn)樽罱K用戶提供方便的功能，獲取 URL 成為一種常見情況。因此，SSRF 的發(fā)病率正在增加。此外，由于云服務(wù)和架構(gòu)的復(fù)雜性，SSRF 的嚴(yán)重性越來越高。

SSRF漏洞利用方式

• 能掃描內(nèi)部網(wǎng)絡(luò)，獲取端口，服務(wù)信息
• 攻擊運(yùn)行在內(nèi)網(wǎng)或本地的應(yīng)用程序
• 對內(nèi)網(wǎng)web進(jìn)行指紋識別
• 對內(nèi)部主機(jī)和端口發(fā)送請求包進(jìn)行攻擊
• file協(xié)議讀取本地文件

如何預(yù)防
開發(fā)人員可以通過實(shí)施以下部分或全部深度防御控制來防止 SSRF：

從網(wǎng)絡(luò)層：
在單獨(dú)的網(wǎng)絡(luò)中分段遠(yuǎn)程資源訪問功能以減少 SSRF 的影響

強(qiáng)制執(zhí)行“默認(rèn)拒絕”防火墻策略或網(wǎng)絡(luò)訪問控制規(guī)則，以阻止除基本 Intranet 流量之外的所有流量

從應(yīng)用層：

• 清理和驗(yàn)證所有客戶端提供的輸入數(shù)據(jù)
• 使用肯定的允許列表強(qiáng)制執(zhí)行 URL 架構(gòu)、端口和目標(biāo)
• 不要向客戶端發(fā)送原始響應(yīng)
• 禁用 HTTP 重定向
• 注意 URL 一致性，以避免 DNS 重新綁定和“檢查時間、使用時間”(TOCTOU) 競爭條件等攻擊

不要通過使用拒絕列表或正則表達(dá)式來緩解 SSRF。攻擊者擁有有效負(fù)載列表、工具和技能來繞過拒絕列表。

A10、不安全的設(shè)計(jì)

描述
不安全設(shè)計(jì)是一個廣泛的類別，代表許多不同的弱點(diǎn)，表現(xiàn)為“缺失或無效的控制設(shè)計(jì)”。缺少不安全的設(shè)計(jì)是缺少控制的地方。例如，想象一下應(yīng)該加密敏感數(shù)據(jù)的代碼，但沒有方法。無效的不安全設(shè)計(jì)是可以實(shí)現(xiàn)威脅的地方，但域（業(yè)務(wù)）邏輯驗(yàn)證不足會阻止該操作。例如，假設(shè)域邏輯應(yīng)該根據(jù)收入等級處理流行病稅收減免，但不驗(yàn)證所有輸入都已正確簽名并提供比應(yīng)授予的更重要的減免收益。

安全設(shè)計(jì)是一種文化和方法，它不斷評估威脅并確保代碼經(jīng)過穩(wěn)健設(shè)計(jì)和測試，以防止已知的攻擊方法。安全設(shè)計(jì)需要安全的開發(fā)生命周期、某種形式的安全設(shè)計(jì)模式或鋪砌道路組件庫或工具，以及威脅建模。

如何預(yù)防

• 與 AppSec 專業(yè)人員建立并使用安全的開發(fā)生命周期，以幫助評估和設(shè)計(jì)與安全和隱私相關(guān)的控制
• 建立和使用安全設(shè)計(jì)模式庫或準(zhǔn)備使用組件的鋪好的道路
• 將威脅建模用于關(guān)鍵身份驗(yàn)證、訪問控制、業(yè)務(wù)邏輯和關(guān)鍵流
• 編寫單元和集成測試以驗(yàn)證所有關(guān)鍵流都能抵抗威脅模型

個人防范安全漏洞的辦法！

如何保護(hù)自己免受安全漏洞影響
盡管沒有人能幸免于數(shù)據(jù)泄露，但是良好的計(jì)算機(jī)安全習(xí)慣可以讓您不那么容易受到攻擊，并幫助您在破壞較少的情況下渡過數(shù)據(jù)泄露的難關(guān)。這些提示應(yīng)有助于防止黑客在計(jì)算機(jī)和其他設(shè)備上侵害您的人身安全。

使用強(qiáng)密碼，其中包含隨機(jī)的大小寫字母、數(shù)字和符號字符串。它們比簡單的密碼更難破解。不要使用容易猜到的密碼，例如姓氏或生日。使用密碼管理器來保護(hù)密碼安全。
對不同的賬戶使用不同的密碼。如果使用相同的密碼，則獲取了一個賬戶的訪問權(quán)限的黑客將能夠進(jìn)入您的所有其他賬戶。如果使用不同的密碼，則只有一個賬戶處于風(fēng)險(xiǎn)之中。
關(guān)閉不使用的賬戶，而不是讓它們處于休眠狀態(tài)。這樣可以減少安全漏洞。如果不使用某個賬戶，則可能永遠(yuǎn)不會意識到它已遭到入侵，并且它可能成為其他賬戶的后門。
定期更改密碼。許多公開報(bào)告的安全漏洞的一個特征是它們發(fā)生的時間很長，有些漏洞直到發(fā)生數(shù)年后才被報(bào)告出來。定期更改密碼可以降低未公告的數(shù)據(jù)泄露帶來的風(fēng)險(xiǎn)。
如果要淘汰計(jì)算機(jī)，請正常擦除舊硬盤。不要只是刪除文件；請使用數(shù)據(jù)銷毀程序徹底擦除驅(qū)動器，覆蓋磁盤上的所有數(shù)據(jù)。全新安裝操作系統(tǒng)也會成功擦除驅(qū)動器。
備份文件。一些數(shù)據(jù)泄露導(dǎo)致文件被加密，用戶必須滿足勒索軟件的要求才能重新訪問這些文件。如果可移動驅(qū)動器上有單獨(dú)的備份，則萬一發(fā)生數(shù)據(jù)泄露，您的數(shù)據(jù)也是安全的。
保護(hù)手機(jī)。使用屏幕鎖并定期更新手機(jī)的軟件。不要破解手機(jī)的 root 權(quán)限或?qū)⑹謾C(jī)越獄。破解設(shè)備的 root 權(quán)限會使黑客有機(jī)會安裝他們的軟件并更改手機(jī)的設(shè)置。
使用反病毒和反惡意軟件保護(hù)計(jì)算機(jī)和其他設(shè)備?？ò退够床《拒浖且粋€不錯的選擇，它可以讓您的計(jì)算機(jī)不受感染，確保黑客無法在系統(tǒng)中立足。
小心點(diǎn)擊。未經(jīng)請求的包含網(wǎng)站鏈接的電子郵件可能是網(wǎng)絡(luò)釣魚嘗試。有些可能聲稱來自您的聯(lián)系人。如果它們包含附件或鏈接，請確保它們是真實(shí)的之后再打開，并對附件使用反病毒程序。
訪問賬戶時，盡量使用安全的HTTPS 協(xié)議，而不僅僅是 HTTP。
監(jiān)視銀行對賬單和信用報(bào)告有助于保持安全。被盜的數(shù)據(jù)可能會在數(shù)據(jù)泄露發(fā)生多年后在暗網(wǎng)上出現(xiàn)。這可能意味著，在您忘記了損害該賬戶的數(shù)據(jù)泄露發(fā)生很久后，才出現(xiàn)身份盜竊企圖。
清楚個人信息的價值，除非必要，否則不要提供。太多的網(wǎng)站想知道您的信息；例如，為什么商業(yè)雜志需要您的準(zhǔn)確出生日期？ 或者拍賣網(wǎng)站需要您的 SSN？文章來源地址http://www.zghlxwxcb.cn/news/detail-661124.html

聲明

1. 本著知識自由免費(fèi)的原則分享,博客內(nèi)容以空間網(wǎng)絡(luò)安全和開發(fā)相關(guān)內(nèi)容為主;
2. 如果文章內(nèi)容如有涉及侵犯您的知識產(chǎn)權(quán)和版權(quán)問題,請通知本人,本人會及時刪除相關(guān)博文內(nèi)容;
3. 本人致力于中國企業(yè)網(wǎng)絡(luò)安全建設(shè),同時希望自己的分享可幫助更多的網(wǎng)絡(luò)安全人員更好的為企業(yè)服務(wù);
4. 告誡讀者,請勿將所學(xué)所得用于非法用途,否則與本人無關(guān);
5. 學(xué)習(xí)本博客內(nèi)容您需要學(xué)習(xí)了解《中華人民共和國網(wǎng)絡(luò)安全法》,《互聯(lián)網(wǎng)信息服務(wù)管理辦法》,《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》,《中華人民共和國保守國家秘密法》,《中華人民共和國刑法》等內(nèi)容,請勿從事違法犯罪活動

到了這里，關(guān)于TWO DAY | WEB安全之OWASP TOP10漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！