电脑爱好者,提供IT资讯信息及各类编程知识文章介绍,欢迎大家来本站学习电脑知识。 最近更新 | 联系我们 RSS订阅本站最新文章
电脑爱好者
站内搜索: 
当前位置:首页>> 网络安全>>360云安全事件暴露的网站安全反思 升级网站防帐号泄露:

360云安全事件暴露的网站安全反思 升级网站防帐号泄露

来源:cncfan.com | 2011-1-8 | (有6362人读过)

2011年元旦前夕金山发布公告称360搜集用户账号密码,引起轩然大波,事件截止到现在,真相已浮出水面:并非360搜集用户账号密码,实为云安全自动采集ie疑似中毒数据所致。

这次事件由以下几个元素构成,缺一不可:

1、用户打开了云安全功能。目前市面所有网盾类安全工具都有云安全功能,也就是说,用户如果开启了云安全杀毒,查毒等,本机的可以exe数据,或者url都会通过杀毒软件或者ie自动上传到杀毒厂商的云安全服务器中。

2、用户恰好打开了带有用户账号密码的 url地址。比如部分网站在验证用户登录时,并非用post方式获取,而是采用了get明文方式传输账号密码等,这样url本身已经是不安全的。

3、360的服务器恰巧被别的黑客入侵并开放80端口,不排除竞争对手所为。

4、谷歌的蜘蛛恰巧抓到了黑客开放的80服务器的缓存txt数据。

 

针对第二条,详细说明下,很多后台程序例如form method方式,这里一般有post和get 2个方法,大部分网站都是默认post方式提交数据,用户账号密码相对安全,而很多小网站,或者程序新手开发的不规则网站,偶尔利用了get方式来获取帐号,用户点击提交或者登录按钮后,url会变成这样的链接:http://www.domain.com/login.asp?action=login&username=user&password=pw123456 这样的方式,浏览器中有此url后,如果用户开启了网盾的云安全功能,用户在收到疑似ie攻击后,网盾便会收集地址栏中的地址提交到云安全服务器中。

为了避免以后这类事件的发生,用户可以选择关闭云安全功能,或者通知网站所有者修改登录提交部分,以加固安全,防止用户账号密码泄露到地址栏中。

电脑爱好者原创文章请注明来源:http://www.cncfan.com/html/?71_7909.html

 

网络安全热门文章排行
网站赞助商
购买此位置

 

关于我们 | 网站地图 | 文档一览 | 友情链接| 联系我们

Copyright © 2003-2024 电脑爱好者 版权所有 备案号:鲁ICP备09059398号