大家結(jié)合自身的生活談一下,對信息安全的認識豌习?
1.信息安全和我們的生活息息相關(guān):
(1)經(jīng)常報道某某的銀行賬戶存款被轉(zhuǎn)筏餐;
(2)有時會莫名的收到中獎短信(帶有中獎鏈接)
(3)網(wǎng)上公開售賣個人身份信息意鲸;
(4)電腦莫名中毒抓于,手機突然出現(xiàn)惡意扣費;
(5)手機接入公共wifi羊异,進行社交事秀、支付等彤断;
(6)賬號、密碼信息泄露易迹;
2.信息安全的一些常識宰衙,需要逐步養(yǎng)成習慣:
(1)賬戶的用戶名、密碼長度睹欲,輸入的組合要求供炼;
(2)不同級別的賬戶,杜絕使用同一密碼窘疮,如:社交類的袋哼、支付類的等;
(3)不要抱有貪便宜的心理闸衫,避免接入公共wifi尤其是進行支付業(yè)務涛贯,避免打開不明網(wǎng)站;
(4)電腦定期殺毒蔚出、打補丁弟翘,保管好手機;
(5)app盡量去應用商店下載骄酗,安裝后記得設置權(quán)限稀余,不要默認成所有權(quán)限都開放;
(6)普通小白用戶趋翻,避免手機系統(tǒng)越獄(ios)滚躯、Root權(quán)限(Android);
3.安全測試嘿歌,從端的角度劃分:
(1)app端安全測試,主要是信息隱私這塊茁影,尤其是賬號的宙帝;
(2)web端安全,主要包括:Cookie欺騙募闲、文件上傳漏洞步脓、XSS跨站攻擊和SQL注入;
4.平時測試時授權(quán)和認證可以思考的方向:
(1)平時會有越權(quán)測試浩螺,包括橫向越權(quán)和縱向越權(quán)靴患,然后使用用工具篡改;
(2)未經(jīng)授權(quán)(如:登錄)要出,直接使用鏈接地址進行訪問鸳君;
(3)截取高權(quán)限用戶token值,填入低權(quán)限用戶url中患蹂,篡改后會不會有不屬于它的權(quán)限或颊;
(4)使用guest(僅有訪問權(quán)限)砸紊,訪問后進行修改和刪除等操作;
5.web安全性測試:
(1)利用安全性測試技術(shù)囱挑,找到潛在的漏洞醉顽;
(2)程序員,有意平挑、無意留下的后門游添;
6.web安全性測試,主要內(nèi)容包括:
(1)認證與授權(quán);
(2)Session與Cookie通熄,SessionID---Cookie欺騙唆涝;
(3)DDOS拒絕服務攻擊,瘋狂地向服務器發(fā)請求棠隐;
(4)文件上傳漏洞石抡;
(5)XSS跨站攻擊;
(6)SQL注入助泽;
(7)暴力破解啰扛;
《為什么你不該用免費公共WiFi?》文章引用地址, http://www.reibang.com/p/0f0f21bd66fd