超级会员免费看
信息安全与Web应用安全解析
1. 信息安全事件回顾与启示
在互联网的发展历程中,出现了众多严重的安全事件。例如,SQL Slammer蠕虫利用微软SQL Server的缓冲区溢出漏洞,导致服务拒绝状况。2007年,美国连锁商店TJ Maxx遭遇黑客攻击,约4600万张信用卡和借记卡信息被盗。黑客通过不安全的无线接入点进入TJ Maxx的一家门店系统,进而侵入其公司系统。同样,支付处理商CardSystems也因网络安全防护不足和未及时更新杀毒定义,导致超4000万张信用卡号码被盗。
近年来,Web应用攻击事件频发。SQL注入攻击就是极具破坏力的一种,由于数据库输入验证不足以及操作系统、应用程序和数据库平台未及时打补丁,攻击者可借此窃取数据库中的宝贵信息。MySpace曾遭受跨站脚本攻击,黑客Samy触发攻击后,网站被迫关闭超12小时。此外,像巴克莱银行、美国运通等银行,以及谷歌的Gmail和Google Apps都被发现存在Web应用安全漏洞。
从这些安全事件中可以发现,攻击者往往能成功侵入配置不当或未及时打补丁的系统。凯文·米特尼克攻击、TJ Maxx黑客事件、MySpace的Samy蠕虫等,都是组织防御失误的结果。这充分说明,信息安全并非一次性工作,而是一个持续且不断发展的过程,组织和个人需全面、系统地应对。
2. 信息安全的常见误区与现实情况
信息安全领域存在一些常见的误区,以下为你详细剖析:
- 误区一:不存在内部威胁
内部人员是组织关键信息被盗和遭受攻击的重要源头。他们可能比外部黑客更具危险性,因为他们有机会接触敏感信息。心怀不满的员工、商业间谍或粗心大意的员工都可能
订阅专栏 解锁全文
扫一扫
7096
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
