众所周知,黑客入侵、网络攻击以及其他数字化安全漏洞从来都有百害而无一利。一个行业的烦恼可能是另一个行业的噩梦——如果你读过 Veracode 的《软件安全报告声明,卷6》,就会知道大多数安全漏洞在某些特定行业更为频繁。
1. 代码质量问题
这个问题排在第一是有理由的。根据 Veracode 的研究,所有受调查企业提交的应用至少有半数存在代码质量问题。虽然难以置信,这也是一种行动倡议:所有行业都应该切实执行安全编码,比如早期的专家投入,频繁且自动化的对问题进行排查等。
2. 加密问题
加密问题是最常见的安全漏洞之一,因为密码学隐藏了重要的数据:如果密码、支付信息或个人数据需要存储或者传输,它们必须通过某种方法进行加密。密码学也是一个自行其是的领域,白帽、黑帽专家不计其数,因此,请找专家解决加密问题,而不是埋头苦干。以上都是常识。
3. 信息泄露
信息泄露的形式很多,但基本定义非常简单:攻击者或其他人看到了不该看的信息,且该信息可造成危害(比如:发起注入攻击,或盗取用户数据)即为信息泄露。因为信息泄露的形式千变万化,必须找一个真正谨慎的专家来处理。无需多言。
4. CRLF 注入
CRLF 注入,从基本层面来说,是一种更强大的攻击方式。在意想不到的位置添加行末命令,攻击者可以注入代码进行破