【误区】
我的这个链接(公网开放 无权限限制)虽然可以访问到一些敏感数据,但是我只在相关方之间交流传递,不会泄漏到外面的。
【纠正】
涉及敏感数据的链接必须加密分享或使用,规避信息泄露。
链接可能被网络爬虫等非正常途径被获取。
【误区】
https协议加密了的请求就是安全的。要抓包需要在用户端安装信任证书的,如果用户都已经安装了抓包证书,那是自愿被抓包。抓包也只能抓包到用户自己本身的数据,不会有什么安全风险。
【误区】
用户可能被钓鱼等情况下在不知情的情况下被安装证书。
如果请求内涉及敏感信息,不能仅仅依赖https协议。
bp等抓包工具是攻击者、渗透人员常用的工具。
如果存在越权等漏洞,可以找包到其他用户的数据。
【误区】
加密传输做了,就不用做存储加密了
【纠正】
加密传输解决的是传输安全的问题,存储加密解决的是数据存储安全。是二个维度,不能忽略存储数据安全。
【误区】
限制仅内网访问就安全了
【误区】
产品安全是开发的事情
【纠正】
是所有人的事情,包括产品经理、需求、研发、测试、运维等。不是单一的问题
【误区】
办公、网络安全是IT的事情
【纠正】
是的,是信息安全的职责和本职工作。但是需要大家一起配合,遵守相关要求和规范,一起保障企业信息安全。
【误区】
公司的安全危害不涉及个人的损失
【纠正】
公司不安全,那每个人都不安全。比如员工个人信息泄露,被诈骗。邮箱泄露被钓鱼等
【误区】
我的密码很安全 不会被暴力破解。它很长也覆盖了多种字符类型
我绞尽脑汁想一个复杂密码 然后就在哪都用它就好了
【误区】
我的电脑没什么重要数据 黑客不会感兴趣
【误区】
渗透测试就是点点点 很容易被自动化检测程序取代
【纠正】
根据工信部发布的《网络安全产业人才岗位能力要求》,对渗透测试有明确的要求,其中最核心的是用攻击者视角去发现问题,攻击者的思路是不能标准化或自动化的。但是常规的渗透测试工作,我们也在尝试自动化,我们可以把更多精力放在攻防研究和技能突破。
经验、创造力和好奇心是渗透测试的核心,而这都是专业渗透人员独有的。在自动化测试完成之后,要配合人工测试方式,从攻击者的视角发现问题。
评论区