艾薩克·牛頓爵士有一句名言:“我們所知道的是一滴,而我們不知道的是海洋����。”同樣的事情發(fā)生在談?wù)撐覀兊幕ヂ?lián)網(wǎng)安全或網(wǎng)站安全。它雖小��,卻很廣闊���,不可能保護(hù)它�����。著名的密碼學(xué)家Bruce Schneier曾經(jīng)說過:“我經(jīng)常被問及互聯(lián)網(wǎng)用戶能做些什么來保證他們的安全��。”我的第一個(gè)回答通常是�����,沒有——你完蛋了����。
網(wǎng)絡(luò)安全問題:
它是超越頂部和高度復(fù)雜的東西���,但它是關(guān)于對(duì)你的數(shù)據(jù)和系統(tǒng)的正確保護(hù)���。如果沒有采取任何措施來保護(hù)自己,互聯(lián)網(wǎng)就會(huì)被搞砸���,而互聯(lián)網(wǎng)一直是好人和壞人之間的戰(zhàn)爭(zhēng)�。我們也稱之為道德黑客和犯罪黑客�。他們有相當(dāng)多的工作,也有相似的知識(shí)����。不同的是他們的動(dòng)機(jī),他們對(duì)某件事的態(tài)度�。最近,在WP移動(dòng)探測(cè)器插件的新零日的攻擊下��,WordPress網(wǎng)站出現(xiàn)了一個(gè)新聞����。WP移動(dòng)探測(cè)器插件是一個(gè)有效的工具,它可以簡(jiǎn)單地檢測(cè)到移動(dòng)用戶訪問一個(gè)站點(diǎn)�����,并允許站長(zhǎng)裝載一個(gè)特定的移動(dòng)友好的主題��。
由WP移動(dòng)插件發(fā)起的攻擊:
攻擊者使用這個(gè)插件在WordPress網(wǎng)站上上傳后門腳本,以顯示成人主題搜索引擎優(yōu)化���。這些受影響的網(wǎng)站會(huì)導(dǎo)致網(wǎng)站價(jià)值的嚴(yán)重惡化����。這種漏洞幾乎在20年后就開始了�,這是一個(gè)非常嚴(yán)重的問題。在這種情況下���,攻擊者可以很容易地在WP站點(diǎn)上上傳任何文件�,從而調(diào)用文件上載安全性的基本經(jīng)驗(yàn)�����。
避免了一場(chǎng)嚴(yán)重的漏洞:
對(duì)于那些擁有WordPress網(wǎng)站的人來說����,這是一件可怕的事情。但應(yīng)該知道的是�,許多開發(fā)人員避免了一個(gè)可怕的攻擊,他們將這個(gè)漏洞通知了開發(fā)人員�,后來又通知了WordPress插件目錄。這個(gè)動(dòng)作很快,WordPress不僅從目錄中刪除了插件��,還發(fā)布了3.6版本���,這個(gè)漏洞已經(jīng)修復(fù)了。當(dāng)插件被刪除時(shí)����,它有超過1萬的安裝,但更新后只有1000多一點(diǎn)��。類似于“零日”的類似代碼也出現(xiàn)在另一個(gè)名為ImageMagick的插件中�,它直接用于間接調(diào)整終端用戶上傳的圖像。安全公司如Sucuri已經(jīng)證實(shí)這兩個(gè)漏洞之間存在聯(lián)系��,因此沒有恐慌����。然而,有一件事是肯定的���,那就是你可能會(huì)努力嘗試�����,但肯定會(huì)遭到攻擊����,但你必須準(zhǔn)備好應(yīng)對(duì)任何類型的漏洞。
本文由重慶網(wǎng)站建設(shè)公司派臣科技收集于網(wǎng)絡(luò)并整理發(fā)布�。
