167

安全的三个关键因素:密码!密码!还是密码!

密码弱仍然是英国公司面临的最大的安全问题,因为用户经常使用默认密码或同步登录。

根据科技行业机构techUK的报告,虽然新的威胁不断涌现,但“众所周知的安全漏洞仍是常见的。”

这份报告基于过去十二个月techUK进行的渗透测验,并和Home Office协作完成的。

报告结果显示的前十位安全漏洞分别是:

  1. 账号安全性弱:如果你的账号密码安全性弱的话,别人很容易就可以访问你的应用程序或系统。
  2. 安全套接层(SSL)问题:测试表明使用弱密码导致安全问题,自签署证书和过期证书容易导致密码泄露。
  3. 跨网站脚本(XSS):XSS是常见的安全漏洞之一,黑客可以利用它在网站中注入可执行代码。
  4. 清除测试协议:测试应用程序和系统时使用这项协议很不错,但却留下了“测试工具”的痕迹,黑客可能会利用它发动攻击。
  5. 没有暴力破解防护:暴力破解指通过自动尝试不同的密码组合和方法来攻击一些简单的应用程序,是一个很有效的方法。
  6. 目录列表:如果黑客发现你的目录结构,他有可能利用特定的文件或目录列表去攻击你的系统或应用程序,这样成功的几率会大大提高。
  7. 没有“点击劫持”防护:点击劫持是一种视觉欺骗手段,黑客在网页上嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。
  8. Cookies:当Cookies没有只标记为HTTP形式或没有标记为安全的,它也可能成为安全威胁。
  9. 主机配置问题:主机必须被正确设置才能防止黑客的攻击或其他安全问题的发生。其中最值得注意的是防火墙和IP泄露。
  10. 信息暴露特别是用户Enumeration接口:应用程序或密码重置机制的功能反应可能会以用户名和密码的结构给黑客留下意外的“线索”。

但是这并不都是坏消息。techUK的技术总监Gordon Morrison说:“现在存在着完善的修复来防止这些安全漏洞并避免受害者坠入网络犯罪。”

此外,他还举例,BSI公司提供的说明书描述了良好的软件工程的构成,其中包括PAS 754、软件可信度-治理和管理。

来源:ZDnet