搜索讓世界變的簡單

以信息傳播的速度，人們很容易忘記互聯網相對年輕。有了指數增長的潛力，首先是負面的預見，我們可以開始看到互聯網在使用數據推動技術進步時的好處；和整個人類。

致力于漏洞分析、開發和研究的網絡安全項目現在正與行業領導者和公司合作，例如 Cisco Talos、Google, 和 IBM 的目的是故意暴露設計缺陷。故意破壞軟件的努力本質上是惡意和粗魯的。然而，這些蓄意攻擊提供了透明度，促進了潛在威脅的安全加強。在實踐中，好人最好在壞人利用漏洞之前發現它。零日漏洞在公開披露之前提供給供應商，使開發人員有機會實施補丁。這個想法是共同努力，因為谷歌等公司與 GNU 項目等自由軟件項目合作，為開源項目提供了一個改進的平臺。

使用分析數據保護用戶

開源項目主要由社區驅動，許多項目是成員開發和研究貢獻的產物。Open Web Application Security Project，縮寫為OWASP，是一個致力于Web應用程序安全的非盈利組織。提供 Web App 安全和分析數據，這個開源社區對服務器級別有更直接的影響。雖然像思科、谷歌和 IBM 這樣的大公司處于最前沿，但像 OWASP 這樣的項目已經使用 2017 年收集的數據編制了Web 應用程序中的十大安全風險。

頂級網絡安全風險

1. 注入：SQL、XML 解析器、操作系統命令、SMTP 標頭注入型攻擊顯著增加——2017 年比 2016 年增長了 37%。代碼注入攻擊可以包括整個系統，完全控制。SQL 注入破壞了數據庫，查詢通常包含個人信息的最重要的組件。
2. 身份驗證：蠻力、字典、會話管理攻擊隨著單詞列表不斷膨脹，弱密碼變得更容易受到字典攻擊。避免設置不利于密碼復雜性的特殊字符限制和最大長度值。成功的身份驗證會生成具有空閑超時的隨機會話 ID。
3. 安全配置錯誤：未修補的缺陷、默認帳戶、未受保護的文件/目錄錯誤是幾乎五分之一漏洞的核心。
4. XML 外部實體：DDoS、XML 上傳、使用 XML-RPC 的 URI 評估CMS，包括 WordPress 和 Drupal，容易受到遠程入侵。有許多用于發送 DoS/DDoS 流量的pingback 攻擊實例。在大多數情況下，可以完全刪除 XML-RPC 文件。XML 處理器可以評估 URI，可以利用它來上傳惡意內容。
5. 日志記錄和監控不足：防止不可挽回的數據泄漏需要意識。68% 的違規行為需要數月或更長時間才能被發現。日志記錄和監控警報對于記錄違規行為至關重要。

網絡安全的未來

了解風險是最好的防御措施。在一個漏洞百出的世界網絡中，為看似不可避免的攻擊做好準備是最大的財富。毫無疑問，安全始于個人。大多數 IT 專業人士同意，相關課程應該是一項要求。漏洞會隨著技術的進步而出現，作為一個社區，我們可以看到數據和分析在創新中的重要性。