您当前的位置:首页 > 电脑百科 > 网络技术 > 网络安全

网络攻防演练:易忽视的社交媒体安全

时间:2021-07-04 09:31:10  来源:今日头条  作者:联软科技

微信公众号、小程序的普及,为我们的日常生活提供了很多便利,看病挂号、开卡缴费、在线办理业务......,越来越多人习惯在微信公众号和小程序上处理事务。作为新型资产的一种,社交媒体很容易成为忽视的项目。

 

今年我们在参与企业攻防演习中,碰到了企业对于互联网资产梳理的需求,其实在以往与客户的交流中,我们就发现很多企业忽略了社交媒体的重要性,容易给企业网络安全留下了隐患,也容易给攻防演练行动留下缺口。以往年攻防演练行动攻击为案例,攻击者可通过收集到微信公众号AppID,将AppID录入数据泄露监控模块中,发现github有配置信息泄露,包含内网信息,最终达到突破攻击的效果。

网络攻防演练:易忽视的社交媒体安全

 

公众号,小程序容易忽视的安全点:

 


数据代码泄露
 

现阶段公众号,小程序一般都由第三方外包商承担。一些厂商由于安全意识不足,为方便修改、部署,会将代码上传到开源社区统一处理。在运营服务中,会发现大多数企业都出现类似问题,企业无法得知开发代码是否被上传到开源社区。其AppID,secret泄露会导致攻击者控制此公众号、小程序,可篡改信息,并获取数据库信息。甚至作为跳板,突破攻击到达企业内网。

网络攻防演练:易忽视的社交媒体安全

 


数据无法统一管控
 

中大型企业会存在海量营业网点、分公司。每个区域会有对应的公众号、小程序。作为总部安全负责人,无法细致了解到每个网点的情况信息。网络安全属于短板效应,如果有一处入口没有管控起来,危险可知。

网络攻防演练:易忽视的社交媒体安全

 


钓鱼仿冒
 

越来越多人习惯在公众号、小程序处理事务,了解公司动态资讯。众多服务功能给手机用户提供了很大的方便,但是此处已被灰黑产盯上,收购一些符合要求的服务号,高仿其他业务名字进行”钓鱼”。这就需要企业定期梳理是否存在钓鱼仿冒公众号、小程序资产。

网络攻防演练:易忽视的社交媒体安全

 

针对公众号、小程序的资产泄露问题,联软的互联网安全资产监控平台支持全面平台自动化梳理企业公众号,小程序资产。监控其AppID,变更情况,后台接口等信息。并与威胁情报联动,将持续监控是否需有代码泄露,AppID密码泄露等情况。

网络攻防演练:易忽视的社交媒体安全

 

在攻防演习中,互联网资产梳理、暴露面收敛、风险检测与持续监测等是参加演习的单位在前期必须做且要做好的工作。联软会全面助力企业网络安全防护,帮助企业构建和完善资产安全运营,做好每一次网络防护。

 



Tags:网络攻防   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
微信公众号、小程序的普及,为我们的日常生活提供了很多便利,看病挂号、开卡缴费、在线办理业务......,越来越多人习惯在微信公众号和小程序上处理事务。作为新型资产的一种,社交...【详细内容】
2021-07-04  Tags: 网络攻防  点击:(81)  评论:(0)  加入收藏
▌简易百科推荐
一、背景介绍永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获...【详细内容】
2021-12-27  Kali与编程    Tags:勒索病毒   点击:(3)  评论:(0)  加入收藏
一、SQL注入漏洞SQL 注入攻击( SQL Injection ),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串...【详细内容】
2021-12-10  华清信安    Tags:Web漏洞   点击:(23)  评论:(0)  加入收藏
AD域是目前大型企业常用的内网管理方案,但随着近年来实网演习的常态化和不断深入,AD域安全越来越得到企业的重视。不论是在演练还是在真实的高级攻击场景中,在复盘中可以看出,大...【详细内容】
2021-10-27    中国信息安全  Tags:AD域   点击:(38)  评论:(0)  加入收藏
网友们,过去一年,您的网络安全段位提升了吗?需要更多的专属利器加持吗?今年我们又为您准备了丰富的网络安全知识大餐,助您驰骋网络,为网络安全护航!2021年10月11日至17日为“国家网...【详细内容】
2021-10-13    九派教育  Tags:网络安全   点击:(49)  评论:(0)  加入收藏
拓扑环境 Kali Linux(攻击机) Centos6.4(web服务器) win7(域成员主机无法上网) win2008R2(域控无法上网) 目的通过Kali Linux拿到域控权限2021最新整理网络安全\渗透测试/安全学习(全...【详细内容】
2021-09-17  KaliMa    Tags:内网渗透   点击:(84)  评论:(0)  加入收藏
前言这又是一个关于域内基础概念与原理的系列Active Directory 的查询基础语法BaseDNBaseDN 即基础可分辨名称,其指定了这棵树的根。比如指定 BaseDN 为DC=whoamianony,DC=or...【详细内容】
2021-09-06  KaliMa    Tags:内网渗透   点击:(46)  评论:(0)  加入收藏
堡垒机,听起来就是一个够酷的名字,有用户笑言,听着名儿就觉着安全,就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。 那么,作为内网安全的"终结者",堡垒机究竟是个什么模样...【详细内容】
2021-08-26  IT技术管理那些事儿    Tags:堡垒机   点击:(76)  评论:(0)  加入收藏
1、VMware Workstation Pro 16: https://download3.vmware.com/software/wkst/file/VMware-workstation-full-16.1.0-17198959.exe VMware Workstation Pro 15【建议】 ht...【详细内容】
2021-08-25  Kali与编程    Tags:虚拟机软件   点击:(71)  评论:(0)  加入收藏
很多小伙伴都想入行网络安全,因为网络安全高薪,未来发展前景好,但是不知道网络安全学习路线是什么样的?网络安全学多久能找工作?我们就来梳理一下。 网络安全虽然好上手,入门难度...【详细内容】
2021-08-23  知了堂    Tags:网络安全   点击:(72)  评论:(0)  加入收藏
入侵一些网站,电脑,制作一些病毒,学会多项编程,这是一个普通黑客都会的技能,那么真正黑客能厉害到什么程度呢?除了勒索病毒,熊猫烧香等自动感染的病毒被大家熟知外,还有更厉害的骚操...【详细内容】
2021-08-19  IT技术管理那些事儿    Tags:漏洞   点击:(66)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条