【大发2分彩app下载安装】为何连谷歌也无法杜绝这种“蠢事”?

  • 时间:
  • 浏览:1
  • 来源:彩神APP下载-彩神APP官方

1.刚刚 小网站或许数据库会明文存储密码,而知名互联网公司绝无可能性,但后者的业务系统颇为繁复,关联功能可能性意外隐藏着明文存储漏洞,刚刚 例行安全检测都额外注意这点。

2.尽管大公司多数明文存储漏洞不在 造成影响,但全是漏网之鱼,被外界捕捉。

3.明文存储密码漏洞的主要由灯下黑、设计考虑不周、历史遗留、过于自信这十个 因素造成的。

日前,谷歌公开承认其产品G Suite占据 低级安全漏洞。

G Suite管理控制台允许管理员为用户重置密码,然而该功能竟然以纯文本的形式明文存储用户的密码而非加密存储,如今该功能已被移除。

资料显示,G Suite 是由GmailGoogle文档、 Google云端硬盘等应用组合而成的一有有有2个办公套装,全球共有 100 万个机构订阅了该服务,包括 100% 的世界 100 强公司。

“虽然那此密码不在 经过哈希加密储存,但它们仍保留 Google 经过安全加密的基础设施中。”Google 工程部副总裁 Suzanne Frey安抚用户:“此问题图片已得到防止,朋友不在 明确证据表明那此密码遭到了不当访问或滥用。” 

然而,明文存储密码你刚刚 低级安全漏洞,在谷歌体系内占据 了14年未被发现,为什么在检测不在 来?除了谷歌,历史上诸多知名互联网公司都被明文存储密码漏洞困扰过,为什么在此类漏洞屡禁不绝?

关联功能可能性占据 漏洞

低级安全漏洞有刚刚 ,网站参数过滤不严原应分析的跨站漏洞、设计缺乏原应分析的任意密码重置漏洞与任意支付漏洞、弱口令漏洞、明文存储密码漏洞等。

这其中弱口令漏洞与明文存储密码漏洞被公认为最“愚蠢”的漏洞。

密码才能才能明文存储,这是最基本的安全常识,经验充足的应用进程员都明白才能才能给黑客任何可趁之机,后者会带来隐私泄露的可怕后果。

刚刚 ,网站存储用户密码都须要进行加密,譬如张三注册账号时设定密码为567122cdefe”,后台直接看才能才能你刚刚 密码,可是我一串字符。

假使 用的是MD5加密妙招,不在 想看 的可能性是a9541a219863e8aa16位)或ad2517b1a9541a219863e8aaff3593ec36位),这有有有2个字符串还能才能 进行二次加密,以增强密码的保护速率单位。

安全妙招了,哪怕黑客入侵了网站数据库,可是我会轻易破解密文从而得到真实的密码,刚刚 明文存储历来为应用进程设计大忌。

有业内人士告诉记者,刚刚 小网站或许数据库会明文存储密码,而知名互联网公司绝无可能性,但后者的业务系统颇为繁复,关联功能可能性意外隐藏着明文存储漏洞,刚刚 例行安全检测都额外注意这点。

譬如微软收购的GitHub,可是我在2018年例行安全检测中发现一有有有2个明文存储漏洞:用户重置密码时安全组织组织结构日志记录也同步明文保存了一份。

 

隐私泄露触目惊心

尽管大公司多数明文存储漏洞不在 造成影响,但全是漏网之鱼,被外界捕捉。

大名鼎鼎的Facebook组织组织结构登录系统曾将6亿用户的密码以明文存储保存,可被Facebook的组织组织结构员工搜索、访问。

该漏洞最早能才能 追溯到2012年,到2019年一共被组织组织结构员工访问超过了 900万次,不过Facebook软件工程师Scott Renfro对外表示朋友在调查中不在 发现滥用那此数据的迹象。

然而Facebook公开要求所有用户更改密码则暴露其对泄密事件信心缺乏。

多方人士指点记者,暗网中流传多份数据文件,全是涉及Facebook的用户隐私数据,201810月全是黑客以2.100美元的单价销售Facebook账号的登录信息,涉及1000万用户。

而安全监控公司 4iQ最近表示,暗网总出 一份高达 41 GB的数据文件,内含14 亿份以明文形式存储的账号和密码,涉及FacebookLinkedInMySpaceTwitter等多家知名互联网公司。

泄露的数据来看,123456123456789qwertypassword等密码用得较多。

国内不少互联网公司也在明文存储密码上栽过跟头,最著名的当属2011年的“泄密门”。

201112月,CSDN网站备份数据库遭黑客攻击,1000万用户的登录名、密码数据被窃取,刚刚天涯、世纪佳缘、走秀等多家网站的用户数据库也在网上被曝光。

有黑客向记者回忆:“当时第一眼想看 从网上下载的天涯、CSDN等原始数据库文件,青春恋爱物语是明文密码,青春恋爱物语艳压了,为什么在会不在 草率。

上亿网站用户的密码曝光后,黑客发动了后续的撞库攻击,获得了更多此人 隐私,甚至包括支付敏感数据,影响极其恶劣。

所谓撞库攻击,可是我利用用户一有有有2个密码走天下的习惯,通过不断尝试登录、企图掌控用户的完整篇 网络痕迹与隐私数据。

“泄密门”风波刚刚,也总爱有知名网站、APP被证实占据 明文存储密码,譬如乌云网曾披露银联手机支付APPunionpay.db数据库中明文存储了账号和密码。

四大因素诱发漏洞

明文存储密码漏洞主要由灯下黑、设计考虑不周、历史遗留、过于自信这十个 因素造成。

灯下黑

多名安全人士告诉记者,安全测试时可能性手尾不在 防止干净,也可能性留下安全漏洞,总出 灯下黑的状况。

譬如GitHub的明文存储密码漏洞出在安全组织组织结构日志上,该漏洞你说歌词 是某次安全测试时开启了明文日志,而最终忘记添加该日志所原应分析的。

刚刚 完成安全测试后,应关闭调试模式并删除正式环境不须要的功能或代码。

设计考虑不周

假使 应用进程在设计时考虑不周,无意中也会制造漏洞。

譬如Twitter使用一有有有2个名为bcrypt的函数对密码进行掩码防止,但在密码被bcrypt函数防止刚刚以明文形式储存的,这就为直接获取到用户密码留下了“窗口”。

历史遗留

罗马全是一天建成的,知名互联网公司也全是一天长大的,在成长过程中难免遗留各种问题图片,漏洞可是我例外。

时任 CSDN 产品总监范凯曾总结经验教训:“CSDN网站早期使用明文是可能性和一有有有2个第三方chat应用进程整合验证带来的,刚刚的应用进程员始终未对此进行防止,总爱到10094月当时的应用进程员修改了密码保存妙招,改成了加密密码。

2010年来CSDN上班刚刚发现CSDN账号的安全性仍占据 潜在的问题图片:虽然密码保存可能性修改为加密密码,但老的保存过的明文密码未清理;帐号数据库运行在Windows Server上的SQL Server,仍有被攻击和挂马的潜在危险。”

一名匿名人士也告诉记者,他所在的公司人员流动性较大,早年的应用进程不太规范,又经太少方修改一度也出过类事的低级安全漏洞,好在后期重塑架构体系,此类问题图片才得以防止。

历史遗留是颇为棘手的问题图片,早防止比晚防止好。



过于自信

对公司的安全体系比较信任,而公司安全人员在例行安全检测时又不在 做到任何细节不放过,原应分析刚刚 漏洞时隔多年才被发现。

一名资深应用进程员向记者透露:“曾为某消费APP设计过活动页面,用户可在该活动页面优惠充值,上线刚刚请安完整篇 同事检测过,不在 发现问题图片。上线后也一切正常,直到白帽黑客发邮件通知,才知道页面占据 1分钱充值任意金额漏洞。”

这四大因素,归根结底可是我安全意识淡薄。

电影《蜘蛛侠》有一句经典台词“能力越大,责任越大”,大公司肩负无数用户的信任,须牢牢绷紧安全意识这根弦,才能保护用户的隐私不受侵犯。