電腦愛好者,提供IT資訊信息及各類編程知識文章介紹,歡迎大家來本站學習電腦知識。 最近更新 | 聯系我們 RSS訂閱本站最新文章
電腦愛好者
站內搜索: 
當前位置:首頁>> 網絡安全>>360云安全事件暴露的網站安全反思 升級網站防帳號泄露:

360云安全事件暴露的網站安全反思 升級網站防帳號泄露

來源:cncfan.com | 2011-1-8 | (有4630人讀過)

2011年元旦前夕金山發布公告稱360搜集用戶賬號密碼,引起軒然大波,事件截止到現在,真相已浮出水面:并非360搜集用戶賬號密碼,實為云安全自動采集ie疑似中毒數據所致。

這次事件由以下幾個元素構成,缺一不可:

1、用戶打開了云安全功能。目前市面所有網盾類安全工具都有云安全功能,也就是說,用戶如果開啟了云安全殺毒,查毒等,本機的可以exe數據,或者url都會通過殺毒軟件或者ie自動上傳到殺毒廠商的云安全服務器中。

2、用戶恰好打開了帶有用戶賬號密碼的 url地址。比如部分網站在驗證用戶登錄時,并非用post方式獲取,而是采用了get明文方式傳輸賬號密碼等,這樣url本身已經是不安全的。

3、360的服務器恰巧被別的黑客入侵并開放80端口,不排除競爭對手所為。

4、谷歌的蜘蛛恰巧抓到了黑客開放的80服務器的緩存txt數據。

 

針對第二條,詳細說明下,很多后臺程序例如form method方式,這里一般有post和get 2個方法,大部分網站都是默認post方式提交數據,用戶賬號密碼相對安全,而很多小網站,或者程序新手開發的不規則網站,偶爾利用了get方式來獲取帳號,用戶點擊提交或者登錄按鈕后,url會變成這樣的鏈接:http://www.domain.com/login.asp?action=login&username=user&password=pw123456 這樣的方式,瀏覽器中有此url后,如果用戶開啟了網盾的云安全功能,用戶在收到疑似ie攻擊后,網盾便會收集地址欄中的地址提交到云安全服務器中。

為了避免以后這類事件的發生,用戶可以選擇關閉云安全功能,或者通知網站所有者修改登錄提交部分,以加固安全,防止用戶賬號密碼泄露到地址欄中。

電腦愛好者原創文章請注明來源:http://www.awqkxh.tw/html/?71_7909.html

 

網絡安全熱門文章排行
網站贊助商
購買此位置

 

關于我們 | 網站地圖 | 文檔一覽 | 友情鏈接| 聯系我們

Copyright © 2003-2019 電腦愛好者 版權所有 備案號:魯ICP備09059398號


内蒙古十一选五的走势图百度乐彩网