https实现平台信息安全传输

作者： 时间：2014-11-19

    经历诸多个人数据被窃事件之后，网络信息安全越发成为网民和企业关注的头等大事。大型网络平台一般会从两方面入手，一方面是注意防范网站安全漏洞，防止因为漏洞给黑客可乘之机，窃取用户私人信息；另一方面是安装网站服务器证书，对网站信息传输进行加密，防止黑客从服务器与网站浏览器之间截获信息。

常见的安全漏洞有：

1、恶意文件执行

     问题：黑客们可以远程执行代码、远程安装rootkits工具或者完全攻破一个系统。任何一款接受来自用户的文件名或者文件的网络应用软件都是存在漏洞的。漏洞可能是用PHP语言写的，PHP是网络开发过程中应用最普遍的一种脚本语言。

     真实案例：一位青少年程序员在2002年发现了Guess.com网站是存在漏洞的，攻击者可以从Guess数据库中窃取20万个客户的资料，包括用户名、信用卡号和有效期等。Guess公司在次年受到联邦贸易委员会调查之后，同意升级其安全系统。


     如何保护用户：不要将用户提供的任何文件写入基于服务器的资源，比如镜像和脚本等。设定防火墙规则，防止外部网站与内部系统之间建立任何新的连接。


2、注入漏洞


     问题：当用户提供的数据被作为指令的一部分发送到转换器（将文本指令转换成可执行的机器指令）的时候，黑客会欺骗转换器。攻击者可以利用注入漏洞创建、读取、更新或者删除应用软件上的任意数据。在最坏的情况下，攻击者可以利用这些漏洞完全控制应用软件和底层系统，甚至绕过系统底层的防火墙。


    真实案例：俄罗斯黑客在2006年1月份攻破了美国罗得岛政府网站，窃取了大量信用卡资料。黑客们声称SQL注入攻击窃取了5.3万个信用卡账号，而主机服务供应商则声称只被窃取了4113个信用卡账号。


    如何保护用户：尽可能不要使用转换器。OWASP组织说：“如果你必须使用转换器，那么，避免遭受注入攻击的最好方法是使用安全的API，比如参数化指令和对象关系映射库。”