了解黑客的數據嗅覺，規避數據泄露的風險

2022-07-08

來源：

字號：[大中小]

人們在享受數字時代的各種便利時，也難以擺脫數據風險所帶來的各種擔憂。雖然互聯網的安全性越來越高，但是令人咋舌的數據泄露事件依然持續發生。

黑客的數據嗅覺

黑客的攻擊是一種動態的過程，其最小的流程結構是“信息收集-攻擊面分析-實施驗證”，然后不斷的循環這個過程，直到其到達預期目標。在這個過程中，大量的數據會在黑客的眼前流過，那么哪些數據會引起黑客的重點關注呢？

1.1 賬號信息類數據

如Username、userid、passwd、uid等。當黑客看到這些字眼時，一般會針對認證功能、會話功能、權限功能發起攻擊，如下：

攻擊一，篡改用戶名和用戶id以獲取其它用戶的數據

攻擊二，重置其它用戶的密碼

攻擊三，采用某一弱密碼大量撞庫用戶

攻擊四，對某一用戶進行密碼暴力破解

攻擊五，對用戶id嘗試sql注入

1.2 金融交易類數據

如金額、數量、套餐優惠、訂單id，當黑客看到這些字眼時，一般會對訂單的內容、優惠活動發起攻擊，如下：孩子“情商管理”弱的原因

攻擊六，篡改金額或數量以低價購買商品

攻擊七、不支付套餐而獲取套餐內的優惠

1.3 資源標識別類，如url

如http網址、文件路徑，除此之外ftp、內部協議的標別等。當黑客看到這些字眼時，一般會針對資源管理、外部資源等功能發起攻擊，如下：

攻擊八、攻擊篡改文件標識用以讀取無法訪問的文件

攻擊九、篡改url讓目標訪問到惡意url或非預期url

攻擊十、JNDI注入攻擊（如fastjson的遠程命令執行漏洞就是此類）

1.4 源代碼

一般指代碼和配置文件。攻擊者會審計代碼用以挖掘漏洞，有時配置文件中也會泄露賬號密碼或會話令牌。

攻擊十一、讀取無法訪問的配置文件

規避數據泄漏的風險

為了規范數據處理活動，保障數據安全。我們既要通過管理手段建立防護體系，又要通過技術手段規避安全風險。

眾所周知，越早的介入安全管理，就有越好的效果。因此在研發過程中就考慮數據泄露的防護，就是我們常說的“花最小的代價，達到最大對效果”。如同黑客在攻擊的過程中，是帶著對數據的嗅覺。那么我們在研發的過程中，是不是也應該帶著安全的嗅覺呢？

對研發過程中，提出以下幾點建議：

1.凡是有用戶輸入的地方，都要考慮過濾。

2.不允許弱密碼和弱登錄。

3.完善權限校驗。

4.凡是敏感數據，都要進行脫敏。如果業務上確實需要完整數據，建議采用單獨的api接口，并進行次數的閥值設置，和超過閥值的校驗處置。

5.對url進行可信校驗。

6.凡是有資源標識的地方，都要考慮資源標識被操縱的風險。

上一篇：市大數據公司推進重要產品追溯項目工作

為民辦實事|房產搖號系統持續助力民生住房保障下一篇：

黑客的數據嗅覺

1.1 賬號信息類數據

攻擊一，篡改用戶名和用戶id以獲取其它用戶的數據

攻擊二，重置其它用戶的密碼

攻擊三，采用某一弱密碼大量撞庫用戶

攻擊四，對某一用戶進行密碼暴力破解

攻擊五，對用戶id嘗試sql注入

1.2 金融交易類數據

攻擊六，篡改金額或數量以低價購買商品

攻擊七、不支付套餐而獲取套餐內的優惠

1.3 資源標識別類，如url

攻擊八、攻擊篡改文件標識用以讀取無法訪問的文件

攻擊九、篡改url讓目標訪問到惡意url或非預期url

攻擊十、JNDI注入攻擊（如fastjson的遠程命令執行漏洞就是此類）