@深巷
2年前 提问
1个回答
Web站点上可能被攻击者利用信息有哪些
帅末
2年前
Web站点上可能被攻击者利用信息有以下这些:
站点架构:一些站点会对其系统架构进行描述,例如会说“本单位对站点的软硬件设施进行了升级改造,选用在Linux系统上运行的ApacheWeb服务器,使用Oracle数据库作为后台数据库,采购了某品牌某型号的防火墙,增强了系统的安全措施等,殊不知这类信息给攻击带来了便利。
联系方式:企业员工的电话号码、邮箱地址和家庭住址等信息对于社会工程学非常有用。
招聘信息:招聘信息往往会暴露公司需要哪方面的人才。比如需要招聘一名Oracle数据库管理员,则说明公司内部运行的数据库肯定有Oracle数据库。
公司文化:大多数机构的Web站点常常会披露机构的组织结构、会议安排、重要公告、工作日程、工作地点和产品资料等,这些都可以用来进行社会工程学攻击。
商业伙伴:可以了解公司的业务关系,对于公司的某些敏感信息很可能从其安全管理薄弱的合作伙伴那里取得。
提高web应用系统的安全措施有以下这些:
应当避免在Web应用系统中直接使用HTTP协议以明文方式来传输用户敏感信息。
应当避免在Web应用系统的HTTPS协议中使用弱密钥加密算法来加密数据。
加强对数字证书的管理,及时安装和更新数字证书,保持数字证书的有效性。
加强对Web应用系统及其安全组件的漏洞管理,定期检测漏洞,及时安装补丁,更新版本。
根据Web应用系统的性质,可采用一次性口令身份认证方式来保护用户登录信息。