正在上网的你-小心碰到这些安全隐患.doc

正在上网的你，小心碰到这些安全隐患 1. 用户隐私，各大互联网产品 / 移动终端 App 上的，实在不敢想象，各类隐私库明里暗里都出来了； 这个已经恶化，不要问我为什么… 2. 移动终端尤其是安卓上的混乱：权限混乱、生态混乱； 这个开始有点点好转苗头。 3. 浏览器上的混乱（Web 前端）：XSS 盲打 + XSS 钩子满世界，不一定那次就踏进去了； 这个…纽约时报都来报道某水坑攻击了，烂了，疯了。 4. 提供互联网服务的团队基本没什么安全意识，这很可怕，互联网步伐加快，可安全意识没赶上，被脱裤，被利用是迟早的事； 开始有点点好转，至少被大量安全事件冲击，那些老板们开始在意了… 5. 云端数据，各种 Web 服务等都开始逐渐托管到云上，各家的云，出问题就是一窝端，业务先行，安全保护、异常监控、弥补措施都还不一定完善； Docker 流行了…至少又多了个攻击维度，尤其是苦笑的 namespace 问题… 6. Web 服务组件持续广泛，漏洞频繁，看看我们团队的应急响应就知道； 没啥改善，比如 Drupal、WordPress 等知名组件漏洞不断，还比如系统级的心脏出血、破壳等史诗级漏洞… 7. 全民安全意识还是很差； 叹… 8. 黑产 / 灰产还是很嚣张啊很嚣张，虽然工信部今年说要严打； 叹叹… 9. “棱镜”还是明里暗里的； 叹叹叹… 10. 不过我们还是看到了希望，黑客们在驱动世界，好的影响开始逐渐出来了； 至少这点欣慰，变革是漫长的… 继续补充下几条： 1. 网信办成立，对国内互联网安全的影响说是立竿见影也不夸张。举个小例子：连续两届的网信办安全周，开始全民普及安全意识，国家机器在动，你感受下？这个点带来些什么影响就不多说了，至少是利好； 2. 说说物联网安全吧，确实这两年曝光越来越多，如路由器安全、摄像头安全、工控安全等等（先不要提那些智能设备），都是一个个强大分支，它们被拿来做 DDoS、刷比特币、境外势力...我们这两年跟进比较多，明显的感觉是：物联网基础设施比想象的脆弱，尤其是工控，被评为「最脆弱的重要系统」一点也不为过； 3. 黑产中得特别强调下 DDoS，尤其是反射放大的 DDoS 攻击，这两年开始风靡全球，气焰嚣张，流量动辄几百 G，根本受不了，这是无数互联网企业的梦魇；