“网站漏洞”成电信诈骗帮凶 专家呼吁进行“立体防护”-阿里云开发者社区

开发者社区> 晚来风急> 正文

“网站漏洞”成电信诈骗帮凶 专家呼吁进行“立体防护”

简介:
+关注继续查看

近日,备受关注的山东准大学生徐玉玉遭电信诈骗后死亡案告破。 根据9月10日公安部公布的徐玉玉案诈骗细节,嫌疑人利用技术手段攻破“山东省2016高考网上报名信息系统”, 并在网站植入木马病毒,获取了网站后台登录权限,盗取了包括徐玉玉在内的大量考生报名信息。

根据公开报道信息,2011年至今,已有累计13亿条用户隐私信息因网站漏洞被泄漏。记者在采访中获悉,虽然信息泄漏事件愈演愈烈,但网站安全问题却被普遍漠视,很多企业明明知道自己被拖库,用户信息已被泄露,仍然采取“捂盖子”的方法,只要没有被曝光,就睁一只眼闭一只眼。

安全专家指出,无处不在的网站漏洞已经成为电信诈骗的帮凶。针对普遍存在的网站漏洞问题,我们亟需采取全方位防护措施,进行“立体防护”。

网站漏洞已成为电信诈骗帮凶

在徐玉玉案件中,黑客利用网站漏洞窃取了考生信息,这说明教育行业网站漏洞已经成为电信诈骗集团获取个人信息的帮凶。更令人担忧的是教育行业普遍存在的网站漏洞。根据360互联网安全中心发布的《中国互联网安全报告》:基于国内知名漏洞响应平台2015年收录的漏洞信息分析,在5995个网站漏洞中,教育培训行业被报漏洞1169个,排名居第二位。

与广泛存在的网站漏洞形成鲜明对比的是,相关部门对于网站漏洞问题的忽视。根据同一份报告,针对披露的网站漏洞,教育、能源、医疗卫生三个行业的修复情况不容乐观,修复率仅约为1.8%-3.4%之间。

一方面是广泛存在的网站漏洞,一方面是对网络漏洞的忽视或熟视无睹。这意味着今后还有可能发生更多“徐玉玉”事件。改善相关行业的网站安全意识,提升网站的防护水平显然已经迫在眉睫。

网站安全管理存在三大突出问题

随着互联网应用的普及,网站已经成为各级政府及其所属单位履行职能、面向社会提供服务的重要手段和渠道,在提高行政效能、提升公信力等方面发挥着重要作用。但与此同时,网站安全管理也存在非常严重的问题,基层党政机关、事业单位和国有企业网站众多,网站规模小且分散,安全监管和防护能力差。

据360网站安全事业部专家分析,网站安全问题突出表现在以下几个方面:

一是缺少对安全状况的监测,无法及时发现网站出现的安全状况,比如:网站漏洞、网页挂马、黑词黑链、网页篡改等等情况;

二是缺少对出现对以上安全状况的及时修复机制或者是无力修复;

三是缺少应急响应机制,发现了问题无法提供相应的应急响应,导致恶劣后果的进一步加大;

而以上各种状况出现之后,会引起各种无法预知的后果,比如信息泄露、财产损失、名誉破坏、甚至如徐玉玉事件的发生。

网站安全需要“立体防护”

面对黑客或黑客行为客观存在的现实,我们所能做的就是通过一些安全监控和防护手段来降低信息泄露的风险。

360网站安全事业部的专家表示,面对普遍存在的安全漏洞,对于网站安全需要“立体防护”,通过云端SaaS服务、硬件盒子的部署、人员安全意识培养、安全制度、监管制度的建立等方式,全面提升网站安全的防护能力。

首先是提升对于网站安全重要性的认识。数据泄露重则引起经济损失、名誉破坏,以及类似徐玉玉的安全事件。国家已经加强了信息泄露的问责处罚机制,网站管理者的安全意识需要同步提升。

从网站的开发与运营角度,网站管理者在开发阶段就需要利用代码检测工具,对第三方开发的网站进行网站源代码检查,确保网站开发符合安全流程,降低漏洞存在机率。

在网站运营期,网站管理者需部署必要的安全防护软件或接入云防护系统。根据其承载业务的重要性、普遍性、行业性等维度划分等级,建立基于等保而高于等保的安全标准及响应机制。对网站进行的24小时监测措施的工具,进行网站漏洞扫描、、网页挂马监测等监测,以应对黑客的入侵。

此外,针对一旦发现漏洞,能够有相应的应急处置机制和手段,确保漏洞得到及时修复,将数据泄露的风险降到最低。

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
如何防止网站被SQL注入攻击之java网站安全防护
SQL注入攻击(SQL injection)是目前网站安全以及服务器安全层面上是最具有攻击性,危害性较高,被黑客利用最多的一个漏洞,基本上针对于网站代码,包括JAVA JSP PHP ASP apache tomcat 语言开发的代码都会存在sql注入漏洞。
2035 0
网站漏洞修复之UEditor漏洞 任意文件上传漏洞 2018 .net新版
UEditor于近日被曝出高危漏洞,包括目前官方UEditor 1.4.3.3 最新版本,都受到此漏洞的影响,ueditor是百度官方技术团队开发的一套前端编辑器,可以上传图片,写文字,支持自定义的html编写,移动端以及电脑端都可以无缝对接,自适应页面,图片也可以自动适应当前的上传路径与页面比例大小,一些视频文件的上传,开源,高效,稳定,安全,一直深受站长们的喜欢。
22 0
网站漏洞修复之图片验证码
在对网站安全进行整体的安全检测的时候,用户登陆以及用户留言,评论,设置支付密码,以及一些网站功能方面都会用到图片验证码,针对于验证码我们SINE安全对其进行了详细的网站安全检测,以及图片验证码安全防护方面,都会详细的跟大家讲解一下。
1547 0
价值7k美刀的Flickr网站漏洞是怎么样的?
本文讲的是价值7k美刀的Flickr网站漏洞是怎么样的?,Flickr是雅虎旗下图片分享网站,Reizelman发现该网站存在三个漏洞,三个漏洞相互配合使用,可以接管他人Flickr帐户。
1222 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
8950 0
网站安全检测之用户密码找回网站漏洞的安全分析与利用
我们SINE安全在对网站,以及APP端进行网站安全检测的时候发现很多公司网站以及业务平台,APP存在着一些逻辑上的网站漏洞,有些简简单单的短信验证码可能就会给整个网站带来很大的经济损失,很简单的网站功能,比如用户密码找回上,也会存在绕过安全问题回答,或者绕过手机号码,直接修改用户的账户密码。
10 0
网站安全有哪些防护措施?
网站安全是指出于防止网站受到外来电脑入侵者对其网站进行挂马,篡改网页等行为而做出一系列的防御工作。启动一个新网站是一个令人兴奋的项目,充满了许多重要的步骤和决定。但是,作为网站的所有者,您不仅要处理被黑客入侵的后果,还要对其页面上的内容以及人们用来与之交互的机制负责。
1316 0
+关注
9380
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
《Nacos架构&原理》
立即下载
《看见新力量:二》电子书
立即下载
云上自动化运维(CloudOps)白皮书
立即下载