:为了安全,不要去百度网盘下东西,考虑网盘内可能存有病
:平时上网不要在随意下载未知名的文件,单位很多办公电脑以前都是各种奇怪的游戏软件,还有360,金山,电脑管家等全家桶。办公的人都不知道自己怎么下载来的。引来病毒也是有的事。目前特殊时期,暂时规定不能自行下载软件,相关下载都需经过安全检查。设备上都做了ACL限制和终端隔离,网络设备商已经出了相关安防指导,我们总部IT和网络安全部门已经连发三封邮件了。
:莫名的恐慌,小白更是会胡乱下载,下载东西习惯到官网下,虽然不能保证百分百。如果个人电脑中招了,重装系统可以解决吧,论数据备份的重要性。
:所以网管就把网站禁用了,安全教育不能少,措施也不能少,下载后检验md5值,虽然有点费事,但是起码安全一丢丢。根本的问题还要自己解决。数据就悲剧了。
:对于小白用户来说,养成一个良好的上网、使用习惯,能够防御普遍性***就足够了。
:扫面开放端口,不断传递数据,观看返回数据的变化?类似暴力破解?
:但最主要的还是Windows,也就是微软默许了这个行为,不然哪有安全厂商的天下。一般软件在测试的时候,都会留下后门或者快捷键,Windows系统大,因此漏洞也就多了。打个比方,你写10000行代码肯定比你写100行代码错误的地方要多得多。
:苹果和安卓主要是应用商店的应用证书安全白名单机制,像安卓没有root你装下来源不明的应用也一样能读取和监控你手机的大量信息。
:其实就是因为没有开源BUG和漏洞才多的吧,就像我们前端的
不需要知道源码也知道你ajax请求的地址和参数,然后就尝试能不能XSS。
:其实每个平台的漏洞都差不多,只不过window的漏洞影响面大,所以大家都知道。另外window的市场很大,更受***青睐,更愿意下功夫去挖它的漏洞。
:脱壳是对付加密的,而且从黑盒测试中可以返现很多漏洞的。一般公司的测试都不看代码,有经验的测试能够发现很多bug,不过利用bug比如做堆栈溢出以后执行特定代码需要编程功力,发现0day的都是大牛,首先搞出某种***方式的也是大牛,其他的人只要沿着这个思路不停地去尝试***系统,就可以找出很多漏洞了。这个不需要看源代码,比如搞sql注入的,现在大把的工具给你用。
另外有些漏洞是扫街出来的,比如你给一个web服务器发送一些特定数据,然后它crash了,或者出来一堆莫名其妙的输出,说明这里有个漏洞,很可能是个溢出,然后你尝试更改发送数据,分析那里的二进制数据代码,也许就发现了一个新漏洞了。
:其实做后台开发把代码给代码漏洞扫描工具扫描过一遍以后也是同样的感觉。
:移动支付最需要我们做的就是关闭一些不必要的免密支付,比如取消对手机设置指纹。支付宝免密码支付,太有安全隐患了,如果企业自己设计支付类的第三方产品,一定要考虑这些。比如通过一定的数据收集分析该用户的消费习惯,如果发现有异常,就直接提醒用户,但是分析用户消费习惯。这个是不太好界定什么才是异常消费,因此用户习惯才是关键。
:如果产品中涉及到支付,可以调用支付宝插件,集成接口。但是还没有支付宝官方声明的安全问题
:说到底,还是很久以前说过的那句话,安全着东西主要还是看人,无论预防还是***,人才是最大的漏洞。互联网没有啥安全可言的,暗网下多少见不得人的勾当,我们现在使用到的互联网只是整个互联网的九牛一毛而已。
:服务端Linux的安全性要比win高出很多了吧,再加上大公司一般都有很高端和齐全的安全设备在出口和专人维护,想突破还是很困难的,手机端的支付密码也都是加密传输的,就算被捕获,不懂密码学也不好破解的。
