网站被攻击了,网站负责人还要被处罚,这到底是怎么回事?实际上,《网络安全法》规定,网站运营者应负担网站网络安全保护义务。
近年来,网络安全形势日趋严峻,威胁持续上升。为检验企事业单位关键信息基础设施安全防护能力,提升网络安全应急处置队伍应对能力,自2016年起,我国每年都会定期开展“HW行动”,以全国范围内的真实网络目标为对象进行实战攻防活动。
今年是建党100周年,也是COP15(联合国《生物多样性公约》第十五次缔约方大会)的召开之年。新一轮的“HW行动”近期正在开展,我省安全主管部门加大了对各类网站的检测力度,严查可能出现的网络安全风险问题。
大部分被通报的网站会面临两种类型的漏洞。
1、软件代码漏洞
简单来说就是自行开发或使用的第三方公司提供的软件存在漏洞,这一类的漏洞一般是软件开发者代码编写不规范造成的隐患,或者是编程语言的局限性导致的漏洞,软件代码漏洞可能会被入侵者利用。
2、服务器漏洞
在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。一般服务器供应商只提供计算环境和网络带宽服务,服务器的密码和系统安全设置都掌握在用户自己手中,服务器安全依赖于使用主体对服务器的安全部署。蓝队云结合近几年在“HW行动”中被通报的网站漏洞情况,将常见漏洞做了以下整理:
1、跨站脚本XSS
黑客通过“HTML注入”篡改了网页,插入了恶意脚本,从而在用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。
2、SQL注入
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。
3、WEB服务器漏洞
服务器解析漏洞依然广泛存在,常见Web服务器的解析漏洞有Apache/Nginx/IIS等。
4、数据库漏洞
常见的数据库漏洞主要有Oracle/MySQL两大类。内外部黑客会想法利用管理、网络、主机或数据库的自身漏洞尝试入侵到数据库中,以达到自身的目的。
5、弱口令
弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,通过系统弱口令,可被黑客直接获得系统控制权限。
6、信息泄漏漏洞
最常见的信息泄漏包含电子邮件地址泄漏、数据库信息泄漏、内网IP地址泄漏、网站路径泄漏风险,这类漏洞信息泄露可能是不慎泄露的,也有可能是攻击者通过恶意的交互从网站获得数据。 联系我时,请说是在114黄页信息网看到的,谢谢!
【重要提醒】 转发本信息给好友或分享到朋友圈,被转发超过20次,信息将自动置顶一周!
