admin管理员组文章数量:1659556
众所周知,一些不友好人士,通过漏洞对应用进行网络攻击,小则应用卡顿、功能不可用;大则应用信息泄露、用户数据泄露、应用崩溃不可逆。那么在预防之前我们先科普一波。
漏洞和网络攻击
漏洞/安全漏洞/缺陷:漏洞是在硬件、软件、协议的具体实现或者系统安全策略上存在的缺陷,且被攻击者掌控,并通过缺陷在未授权的情况下进行访问或者破坏活动。
网络攻击:是指攻击者利用IT系统中的缺陷(漏洞),出于盗窃、勒索、破坏或其他恶意原因试图获得对 IT 系统的未授权访问。
漏洞的存在,很容易导致黑客的侵入及病毒的驻留,会导致数据丢失和篡改、隐私泄露乃至金钱上的损失,如:网站因漏洞被入侵,网站用户数据将会泄露、网站功能可能遭到破坏而中止乃至服务器本身被入侵者控制。
目前数码产品发展,漏洞从过去以电脑为载体延伸至数码平台,如手机二维码漏洞,安卓应用程序漏洞等等..
漏洞等级
漏洞一般按照严重程度分为4个等级:紧急、重要、警告、注意。
致命的硬件和操作系统漏洞
CPU漏洞:
比如Intel Pentium芯片中存在的逻辑错误(“骑士”VoltJockey漏洞、“熔断”Meltdown漏洞、“幽灵”Spectre漏洞、“预兆”Foreshadow漏洞等),如果不友好人士通过这个去攻击我们的系统,基本都是致命的;中心机房瘫痪、运行之上的各种应用瘫痪。
如下浪潮针对骑士漏洞的处理说明。
安全预警--intel处理器“VoltJockey”等安全漏洞-浪潮
操作系统漏洞:
2014年2月12日凌晨,微软发布7个漏洞补丁,包括4个“严重”级别的补丁和3个“重要”级别的漏洞。分别修复了Internet Explorer、.Net、Windows中存在的多个漏洞和一个Windows8专属漏洞。 2014年1月16日,发布1月安全公告,其中4个漏洞补丁级别均为“重要”,它们分别修复了MS Office Word、Windows 7内核和旧版本Windows 内核驱动中存在的多个远程代码执行和提权漏洞。同时推送的还有Adobe Flash Player 12的版本更新安装包及Adobe Reader安全更新。
应对漏洞的办法
因为硬件、软件、协议在设计之初就不是100%完美,所以应对方法都有一定的滞后性。一般都是白帽子黑客的漏洞扫描,或者黑帽子黑客的恶意攻击,这些漏洞才会被察觉,以及修复。修复漏洞过程的时间差,都是系统安全风险高峰期。
1.重点关注“国家信息安全漏洞共享平台”的“安全公告”、“漏洞列表”、“补丁信息”等栏目。(地址 https://wwwvd/webinfo/list?type=14 )。
2.重点关注你所使用组件的官网补丁声明。如MySQL、Tomcat、Nginx、Redis、ElasticSearch、KFK等等。
3.在重点关注后,即使升级补丁或者小版本。并且安全问题不是小事,还需要有相应的规章制度进行严格管控,这个每个单位和公司都不同,就不说了,但是可以参考“等保三级”。
4.针对java web应用的安全问题,将在后面进行重点的详细的说明。
版权声明:本文标题:Java web应用性能分析之漏洞和网络攻击 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1729837937a1214529.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论