天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

瑞星SNS安全报告:从隐私泄漏到蠕虫攻击

2011-8-23天空软件佚名
p>        6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫的攻击。此事件给严重依赖社交网络的网友们敲响了警钟。在此之前,国内多家著名的SNS网站和大型博客网站都曾遭遇过类似的攻击事件,只不过没有形成如此大规模传播。虽然此次XSS蠕虫攻击事件中,恶意黑客攻击者并没有在恶意脚本中植入挂马代码或其他窃取用户账号密码信息的脚本,但是这至少说明,病毒木马等黑色产业已经将眼光投放到这个尚存漏洞的领域。

        如何能够更好地保护用户隐私信息?安全人员首先要做的就是深入了解SNS网站面临的安全问题。通过分析国内主流SNS网站,研究人员发现出其两大主要安全问题:用户隐私保护不力和XSS蠕虫病毒攻击。在此基础上,我们还可以将问题进一步细化,如与隐私相关的信息泄露、钓鱼攻击、网络诈骗等,与XSS相关的恶意代码传播、大范围用户信息窃取及基于XSS的DDoS攻击等。下面我们结合实际情况对SNS网站面临的安全问题进行详细的描述和分析。

        唾手可得的隐私信息

        用户隐私问题一直是互联网上一个比较敏感的话题,随着SNS网站的出现及快速发展,用户隐私问题也变得异常严重。从目前我国SNS网站的服务人群来看,主要的用户为学生、白领及其他一些特定的人群,且此类网站大多数为强制实名制,因此使得此类用户的隐私信息更容易暴露在其他用户面前,如果恶意黑客利用此类信息那么后果将难以想像。我们通过人人网的搜索功能,获取某一账户的个人信息如图1所示。

图1:通过人人网搜索到的某用户隐私信息

        从图1可以发现该用户的个人信息对外都是可见的,那么如果黑客结合搜索引擎进行“人肉搜索”的话,那么获取到的将会是更多可被黑客恶意利用的敏感信息,利用用户的个人信息或其他隐私信息,黑客便可以进行钓鱼攻击或者欺诈等。

        跳板式获取的隐私信息

        虽然某些SNS网站对用户信息相关数据有完备的隐私控制策略,但是这种策略并非不能够被黑客加以利用。在人人网上对用户的信息查看时,我们发现,如果用户设置了相应的隐私控制策略以后,一般用户是无法访问该用户的个人主页信息的,如图2所示。

图2:设置隐私相关策略后仍有可被黑客利用的信息

本文来源:天空软件 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行