cdn谨防_防ddos攻击设备_超稳定-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防CDN > cdn谨防_防ddos攻击设备_超稳定

cdn谨防_防ddos攻击设备_超稳定

小墨安全管家 2021-08-31 01:17 高防CDN 89 ℃
DDoS防御
7月25日,briankrebs在他的博客Krebs On Security上,报道了LifeLock怎么处理与营销活动相关的"取消订阅"信息的缺陷。关于那些不熟悉LifeLock的人来讲,它是赛门铁克在美国市场提供身份监控和爱护服务的子公司。Brian概述了一具阻碍LifeLock营销材料接收者的咨询题,他们希翼经过单击营销材料中的"please remove me from this list"(请将我从列表中删除)样式的链接,从而阻碍LifeLock营销材料的收件人。不幸的是,那个过程中存在一具漏洞,允许任何人发觉与其他用户相关联的电子邮件地址。在赛门铁克的回应中,他们表示,咨询题仅限于使用第三方营销平台处理营销传播,防DDoS,而非核心LifeLock服务,除了安全研究人员的努力,没有迹象表明有其他访咨询尝试。我们都能够学习的领域以此为背景,我们能够看到那个地点发生了一些活动:未经过TLS彻底或正确地爱护取消订阅的网页。这能够在证书带有黄色图标的屏幕截图中看到。此图标表示页面上存在未受爱护的内容或使用了过时的密码套件。无论怎么样,任何在那个页面上提交个人身份信息的用户都应该小心,因为不能彻底信任该页面来安全地处理数据。电子邮件链接使用了一具特别容易识别的标记,名为"subscriberKey",研究人员可以伪造这种令牌,从而从其他用户那儿泄露信息。此令牌实际上是一具会话ID,应设计为符合OWASP准则,该准则规定,CC防御,"会话ID必须脚够长,以防止暴力攻击,攻击者能够遍历整个ID值范围并验证是否存在有效会话。"一具用户应该只能访咨询自个儿的个人识别数据,而不能访咨询其他用户的数据。应该始终经过登录过程验证该访咨询。简单地方击电子邮件中的退订链接,这本身算是一种固有的不安全的交流方式,绝不应该返回任何个人信息。该网站没有遵循LifeLock当前的品牌和模板格式,包括将其标识为赛门铁克产品组合的一部分。我们多年来向来被培训,品牌错误是电子邮件欺诈者的特征。赛门铁克发觉第三方参与了个人信息的处理。企业越来越多地转向第三方服务提供商,但提供商中的任何安全咨询题也基本上与提供商签订合同的组织的安全咨询题。LifeLock隐含地假设,DDoS防御,他们发送给营销信息的电子邮件地址代表了对其服务感兴趣的美国个人。除非作为用户使用LifeLock的一部分,Symantec明确收集并验证电子邮件地址,否则无法保证电子邮件是针对美国用户的,同时个人数据的定义因司法管辖区而异。审查安全最佳实践有了这些观看结果,再加上旨在识别可疑网站的常规安全培训,LifeLock和Symantec为啥没有审查他们的退出流程,DDoS高防,以确保它符合当前的安全最佳实践和品牌标准。同样值得质疑的是,除了电子邮件地址之外,还向第三方提供了哪些数据。尽管我怀疑这起事件会上升到GDPR规定的披露程度,但鉴于我们观看到的咨询题,应审查传递给第三方处理的个人识别信息(PII)的安全性。您是否遵循十大软件安全最佳实践?

cdn谨防_防ddos攻击设备_超稳定


DDoS防御

当前位置:主页 > 高防CDN > cdn谨防_防ddos攻击设备_超稳定

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119