大家结合自身的生活谈一下,对信息安全的认识?
1.信息安全和我们的生活息息相关:
(1)经常报道某某的银行账户存款被转;
(2)有时会莫名的收到中奖短信(带有中奖链接)
(3)网上公开售卖个人身份信息;
(4)电脑莫名中毒,手机突然出现恶意扣费;
(5)手机接入公共wifi,进行社交、支付等;
(6)账号、密码信息泄露;
2.信息安全的一些常识,需要逐步养成习惯:
(1)账户的用户名、密码长度,输入的组合要求;
(2)不同级别的账户,杜绝使用同一密码,如:社交类的、支付类的等;
(3)不要抱有贪便宜的心理,避免接入公共wifi尤其是进行支付业务,避免打开不明网站;
(4)电脑定期杀毒、打补丁,保管好手机;
(5)app尽量去应用商店下载,安装后记得设置权限,不要默认成所有权限都开放;
(6)普通小白用户,避免手机系统越狱(ios)、Root权限(Android);
3.安全测试,从端的角度划分:
(1)app端安全测试,主要是信息隐私这块,尤其是账号的;
(2)web端安全,主要包括:Cookie欺骗、文件上传漏洞、XSS跨站攻击和SQL注入;
4.平时测试时授权和认证可以思考的方向:
(1)平时会有越权测试,包括横向越权和纵向越权,然后使用用工具篡改;
(2)未经授权(如:登录),直接使用链接地址进行访问;
(3)截取高权限用户token值,填入低权限用户url中,篡改后会不会有不属于它的权限;
(4)使用guest(仅有访问权限),访问后进行修改和删除等操作;
5.web安全性测试:
(1)利用安全性测试技术,找到潜在的漏洞;
(2)程序员,有意、无意留下的后门;
6.web安全性测试,主要内容包括:
(1)认证与授权;
(2)Session与Cookie,SessionID---Cookie欺骗;
(3)DDOS拒绝服务攻击,疯狂地向服务器发请求;
(4)文件上传漏洞;
(5)XSS跨站攻击;
(6)SQL注入;
(7)暴力破解;
《为什么你不该用免费公共WiFi?》文章引用地址, //www.greatytc.com/p/0f0f21bd66fd