【IT168 调查报告】报告核心观点
1. 千帆过尽,SQL注入仍“不改”
2. 本月金融业漏洞增长尤为突出
3. 11月常见数据泄露原因分析
4. 解决弱口令安全建议
报告正文
2015年11月,安华每日安全资讯总结发布了126个数据泄密高危漏洞,这些漏洞分别来自乌云、补天、漏洞盒子等平台,涉及8个行业,公司机构、互联网、交通运输、教育、金融、能源、运营商、政府。漏洞类型涉及,SQL注入、系统漏洞、弱口令等7类,其中SQL注入仍然是漏洞类型的重灾区。
千帆过尽,SQL注入仍“不改”
数据安全问题多数是从Web端开始,SQL注入成为Web端的一个顽疾。根据统计的11月份数据安全漏洞其中56个是与SQL注入相关的漏洞,数量占总量的44%,依旧是最多被发现的漏洞类型。这些漏洞遍及公司机构、互联网、政府等7个行业。
▲11月平台SQL注入漏洞占主要比重
安华金和数据库攻防实验室统计了8月到11月,4个月间最具代表性的三种漏洞类型的变化趋势(系统漏洞、SQL注入、弱口令)。可以看到SQL注入漏洞数量长期占据高位。
▲2015年8-11月漏洞变化趋势
9月份系统漏洞的异军突起是因为struts2等框架软件被爆出一些漏洞的利用方式。至使一些未来得及更新版本的框架软件纷纷“中枪”。其中趋势中最耐人寻味的是弱口令的数量不减反增。弱口令应该是最容易规避,最易被修复的漏洞。但是值得注意的一点是现在的弱口令破解技术已经不是单纯的密码破解,很多以前的防护手段已经不再有效。
11月金融业漏洞增长尤为突出
从11月126个受到数据泄露漏洞威胁的行业来看,政府、互联网、公司机构依旧是重灾区,但从安华每日安全资讯统计的数量来看比例都成减少趋势。金融业同比10月在比例上出现了大幅的增长(从10月份的7%增长到11月份的18%)11月仅安华每日安全资讯统计出的126个高危漏洞中就有23个金融业的漏洞(包含了银行、互联网金融、证券、保险等几个子类)占11月漏洞总数的18%。
▲11月数据安全漏洞行业分布情况
11月金融业被集中爆出漏洞与自身网站代码质量有密切关系。金融行业漏洞中有13个漏洞是绕过WAF的SQL注入漏洞还存在四个弱口令漏洞和一个getshell漏洞。
由于一些SQL注入攻击手段可以绕过waf,所以单纯依靠waf防护不能达到一个理想的防护效果。例如本月的某互联网金融主站存在的SQL注入、某银行官网SQL注入、某市人社局网站注入等都是SQL注入绕过Waf的造成的漏洞。要想达到理想的防护效果被入侵单位或厂商就要对网站的源码进行完善修改,从根源上杜绝SQL注入。如果无法对源码进行修改,那就不能只单独依靠WAF来防止SQL注入,需要通过其他软件,例如数据库防火墙等数据库防护产品与WAF协同防护。
23个金融业漏洞主要问题都出在和互联网交互的地方。其中互联网金融的漏洞数量尤为突出,这与互联网金融行业重业务发展轻安全有很大关系,强大的业务能力和脆弱的安全性对比显得尤为突出。双乾支付的COO从利波曾直言:“当下很火的P2P平台是黑客的常驻地,因许多中小平台网站“裸奔”,缺乏专业运维技术人员,黑客仅靠简单的攻击手段就可以导致其瘫痪。更有甚者,一些中小P2P平台未进行数据备份,一旦遭到攻击,就会直接导致用户信息泄露,平台关门倒闭。”在当今的环境下,支撑企业发展的不单是业务,安全同样是重要的一环。
11月常见数据泄露原因分析
▲11月份数据泄漏威胁主要原因
本月值得关注的是弱口令漏洞占比提高。弱口令这种漏洞缺乏严格和准确的定义,通常被认为是很容易被别人猜到的密码或破解工具能够很容易破解的口令均为弱口令。本文下面提到的弱口令不只是单纯的暴力破解口令和默认口令,更偏向身份验证漏洞。总结8月到11月4个月弱口令的分布可以看到政府和金融业是弱口令的多发行业。
▲2015年8月-11月弱口令漏洞行业分布图
11月漏洞中金融行业弱口令有4个,占11月弱口令总数的1/3。弱口令问题在互联网金融身上有明显的体现,这同样和互联网金融忽视安全只求业务的野蛮生长有密切关系。
(1)不暴力密码,暴力用户
说到弱口令第一个让人能想到的就是暴力破解密码。这方面的工具也有很多,无论是手动还是用工具都是根据字典对某一用户名进行密码遍历。目前防护这种破解方法的主要手段是采取同一个用户名输入多次错误密码,直接对账号进行锁定处理。
那么换个思路考虑,如果暴力破解是针对一个固定的密码,切换不同的用户,来遍历适合这个密码的用户,无论试多少次也不会发生账号锁定情况。这就说明换一个思路就可以突破前台对用户名密码进行暴力破解的防护机制。
这是方法是前台逻辑无法解决的问题,原因在于账号一直在变化,前台逻辑无法判断锁哪个用户,如果把全部用户都锁定虽然可以解决这个问题。但实际上会引出两个新问题:
还有一种方式是针对多次登陆失败的ip进行锁ip处理。但锁ip很容易造成同一网段中的合法用户业无法正常访问,给合法用户使用带来不便,使正在运行的业务造成中断。
针对这种暴力破解用户名的方式,只能通过对用户名的长度和组成元素的复杂度来加大破解难度。
(2)前台防守逻辑过于简单
据统计发现弱口令多发的两个行业一个是金融行业一个是政府机关。这两个行业往往从业人员和客户群体普遍年纪偏大,这类人群往往喜欢用好记的密码。还有一种情况往往在设定密码的时候用户名会起到提示作用,甚至有的直接就是用户名和密码同名。网站在防范机制上前台应该给出相应提示禁止这种账号的注册并添加逻辑验证保障用户名或无需登陆就可查询的信息和密码无明显关系,如果出现相关信息则提示用户密码设置不成功,建议设置更为复杂的密码。这种明显关系包括账号和密码只是互相反转、密码只是用户名+某种单调符号、密码疑似电话号码、密码疑似生日等易被猜测出的信息。
(3)重置密码缺乏验证手段
目前大多数网站都可以通过一些注册信息重置密码,但是其中有一些网站在重置密码的过程中缺乏足够的验证手段,这就给攻击者留下了入侵手段。
目前重置密码主要通过两种方式验证,一种是需要邮箱的特殊链接,一种是短信验证。下面是一个修改包中邮箱名重置任意账号密码的案例:
首先在目标网站上注册一个用户,然后进行密码重置,邮箱收到一封邮件,邮件中有一个特殊链接,打开这个特殊链接提示输入新密码,输入新密码后,点击提交,这时如果拦截下提交的数据包,然后把图中的邮箱改成你想重置密码的账号对应的邮箱,这时重置目标邮箱的密码成功。
加强一些逻辑防守就可以杜绝这种通过本地代理改包的入侵方式。一般有两种方式:
1.在客户端提出重置密码后,把该用户密码所存的表中加入一个状态,该状态表示这个账号提出重置密码请求。修改密码的请求传入到服务器,在确认重置密码前,判断是否与提交重置密码的账户一致,如果不一致则不重置密码,一致则信任该操作重置密码。
2.给核心字符串加唯一标识例如
把email=xxxxx.com&newpassword=xxx&repassword=xxx
改成email=xxxxx.com&newpassword=xxx&repassword=xxx&key=xxxx
只要保证key的安全、唯一、机密性,则可以保障不被这种方式入侵。
同样手机验证码也有类似的情况,但需要手机验证码和重置密码之间是异步。这种情况一般在成熟的网站中并不常见。
解决弱口令建议
解决弱口令的关键之道在于用户名和密码的复杂度和程序逻辑没有安全缺陷。用户名和密码的复杂程度需要用户愿意为了自己的个人的信息安全做更多的努力和付出,这其中系统的开发者也需要在验证过程中设定更加严格的用户名和密码输入验证,使简单的用户名和密码无法注册成功,例如输入相同的用户名和密码,提示密码太简单要求客户重新输入等措施。
针对安全逻辑缺陷,开发者应该加强所有和密码账号相关功能的逻辑安全。例如例子中的密码重置功能,需要加入更复杂完善的安全校验来保障确实是目标用户在对该功能进行操作,防止不法分子利用代码逻辑缺陷对系统展开入侵。这种由于代码逻辑错误、缺失造成的安全问题,很难通过第三方软件来辅助规避。
弱口令虽然是一种技术含量不太高的入侵方式,但弱口令一般涉及用户或者系统的核心数据和安全。一旦用户口令被攻破,则一切防护手段都形同虚设。要加强针对弱口令的防护首要是加强WEB代码自身的逻辑强度和安全强度,对于厂商要特别加强自己在身份验证处的逻辑防守能力,特别是加强用户名的命名强度、密码和常规信息的区分度。禁止用户设置弱口令,辅助用户设置更为复杂的密码。同时也希望广大用户在享受便捷的时候对自己的个人信息负责,确实使用足够复杂的用户名和密码以保障自身的安全。
2015年11月数据安全高危漏洞
行业 | 标题 | 来源 | 编号 |
公司机构 | 伊利集团某平台sql注射漏洞泄露587个数据库数据(大量APP库) | 乌云 | |
公司机构 | 万达酒店及度假村APP存在SQL注入(含六千多酒店用户数据) | 乌云 | |
公司机构 | 中国十大旅行社之一康辉旅行社主站存在SQL注入漏洞(DBA权限) | 乌云 | |
公司机构 | 万科集团官网存在SQL注入(多达50+可拖库) | 乌云 | |
公司机构 | 爱康国宾某处逻辑漏洞导致近2000W+的订单信息可泄露(包括姓名\手机号\邮箱\体检地点\时间\涉及好多企业用户) | 乌云 | |
公司机构 | 海底捞某接口可导致一千多万用户数据泄漏(包括姓名\手机\邮箱等) | 乌云 | |
公司机构 | 南京12320预约挂号服务平台SQL注入(waf bypass/涉及大数量级真实身份信息、手机号、银行卡号) | 补天 | |
公司机构 | 潍柴集团内网漫游#OA、mail、传真服务、档案系统、svn、电子商务等所有内网平台沦陷#集团铭感资料泄露#各类工控系统任意访问#内网四百台服务器任意访问 | 补天 | |
公司机构 | 上海新华医院服务器泄露大量数据 | 补天 | |
公司机构 | 恒生电子某系统弱口令+SQL注入导致700+政府项目信息暴露 | 乌云 | |
公司机构 | 百世旗下海淘转运平台另一处SQL注入(涉及近27W用户信息) | 补天 | |
公司机构 | 凯立德官方商城存在漏洞三处打包(280万 用户信息泄露) | 补天 | |
公司机构 | 酷我音乐某域下存在xss,可获取他人用户信息 | 漏洞盒子 | vulbox-2015-012411 |
公司机构 | 惠普中国某站SQL注入泄露大量用户信息 | 漏洞盒子 | vulbox-2015-012543 |
公司机构 | 海尔集团某系统弱口令导致大量数据泄露 | 漏洞盒子 | vulbox-2015-012534 |
公司机构 | 长虹某系统sql注入,大量用户客户数据泄漏 | 漏洞盒子 | vulbox-2015-012526 |
公司机构 | 通达OA最新版(8.11.151030)系统某处任意sql语句执行(无需登陆) | 补天 | |
公司机构 | 中企动力某后台系统漏洞打包(root权限SQL注入\信息泄漏) | 乌云 | |
公司机构 | 郑州日产车主俱乐部SQL注入/359个表/200W会员信息/10W交易信息 | 乌云 | |
公司机构 | 彩生活多处SQL注入打包(DBA权限/8个库/193W用户信息含密码、手机号) | 乌云 | |
公司机构 | 辽宁省体彩中心某系统GetShell泄露大量用户/销售等信息#涉及销售/佣金(含银行卡/卡主)/中奖等明细数据#备份数据50G+ | 乌云 | |
公司机构 | 中国燃气控股有限公司漏洞导致103万供应商的账号/密码/公司名称/CEO名字/银行卡号/联系人/手机/邮箱/地址等泄露 | 补天 | |
公司机构 | 用友某通用平台sql注入漏洞6枚打包(无需登陆,无限制获取数据,影响大量企业) | 乌云 | |
互联网 | 某同城陌生人交友应用SQL注入数百万用户隐私不保 | 乌云 | |
互联网 | 优信二手车过户管理系统SQL注入(泄露大量车主信息及身份证正反面照片) | 乌云 | |
互联网 | CSDN社区某站被成功入侵挂黑页 | 乌云 | |
互联网 | 好贷网官网APP存在SQL注入漏洞(含130万借贷用户数据) | 乌云 | |
互联网 | 沈阳市预约挂号统一服务平台注入漏洞(可致十几万用户详细信息泄露) | 乌云 | |
互联网 | 拇指玩某处漏洞泄露一千万用户数据 | 补天 | |
互联网 | 凯撒旅游网泄露全部订单 | 漏洞盒子 | vulbox-2015-012205 |
互联网 | 新网互联某站被黑存在webshell可导致13万域名注册信息泄露 | 乌云 | |
互联网 | 美丽说www主站存在SQL注入漏洞(附利用脚本) | 乌云 | |
互联网 | 万达电商管理后台SQL注射漏洞一枚(可影响全站数据) | 乌云 | |
互联网 | shopex某站漏洞沦陷多个网站#泄漏三百个数据库root权限#2千万淘宝订单信息 | 补天 | |
互联网 | P2P安全之向上金服某站SQL注入(涉及近380W用户信息) | 乌云 | |
互联网 | P2P安全之新新贷某站命令执行可shell导致大量数据泄露 | 乌云 | |
互联网 | 乐视某漏洞泄漏全部购物成功用户信息 | 补天 | |
互联网 | 华医网某处高危漏洞,泄露至少1200w用户信息 | 补天 | |
互联网 | 陕西人才网某处高危漏洞,泄露230w用户信息 | 补天 | |
互联网 | 信阳人力资源网上超市SQL注入一枚,可内网渗透导致服务器沦陷,大量信息泄漏 | 补天 | |
互联网 | 早教网某站漏洞可导致百万数据泄漏 | 补天 | |
互联网 | 途牛网越权修改其它用户配送信息 | 补天 | |
互联网 | 中国通信人才网某处高危漏洞,泄露至少100w用户信息,可任意编辑 | 补天 | |
互联网 | 卖客疯存在某漏洞泄漏大量信息 | 漏洞盒子 | vulbox-2015-012550 |
金融 | P2P理财投资平台安全之乐投贷存在SQL注入(涉及15万用户账号密码,支付密码,姓名及银行卡号等信息) | 乌云 | |
互联网 | 环球网官方APP某模块多处SQL注入打包(含400W+用户数据) | 乌云 | |
互联网 | 爱卡汽车某漏洞导致40万车主信息\5万合同信息泄露 | 乌云 | |
互联网 | 拇指玩官方xss可以控制千万用户数据 (10215084个用户) | 乌云 | |
互联网 | 聚财猫APP用户银行卡身份证手机号信息泄漏,百万数量级,另其它越权 | 补天 | |
互联网 | 空中网服务器配置值班管理夸权限访问\高权限SQL注入(影响多个库) | 乌云 | |
互联网 | 好利网APP越权登录任意用户+越权获取全站几十万用户信息(密码md5\手机号\身份证\姓名\账户余额\银行卡) | 乌云 | |
互联网 | 久玖支付某业务系统漏洞( 涉及上万商户信息/日3亿交易流水/大量内部配置信息泄露) | 乌云 | |
互联网 | 好贷网主站存在存在SQL注入(需绕过) | 乌云 | |
金融 | P2P安全之新新贷某站命令执行可shell导致大量数据泄露 | 乌云 | |
金融 | P2P理财投资平台安全之乐投贷存在SQL注入(涉及15万用户账号密码,支付密码,姓名及银行卡号等信息) | 乌云 | |
互联网 | 技成培训网存漏洞#泄露大量信息(160万+用户账号#邮箱#密码) | 补天 | |
交通运输 | 佛山某邮政信息管理系统存在多个漏洞导致Getshell/命令执行/数据库泄漏-听说双十一过后邮政小包不少吧!数据还在时时同步!! | 补天 | |
交通运输 | 快递安全之顺丰快递多个问题(8w+用户信息泄露XSS越权) | 补天 | |
交通运输 | 中国国际航空某系统员工弱口令导致影响内网安全(弱口令\SQL注入\Getshell等) | 乌云 | |
交通运输 | 天天快递公司某处发现高危漏洞大量内部信息泄露 | 漏洞盒子 | vulbox-2015-012618 |
交通运输 | ems某系统漏洞,导致数大量数据泄漏 | 补天 | |
交通运输 | 东方航空某系统用户帐号暴露在公网确不及时修改导致内部13054条员工敏感泄漏 | 乌云 | |
教育 | 奥鹏教育主站SQL注入可获取用户信息配置信息等(IIS Unicode编码利用案例) | 乌云 | |
教育 | 浙江工业大学某学院Rsync未授权访问导致众多敏感信息泄露 | 补天 | |
教育 | 桂林电子科技大学某平台疑是被黑#system权限#全部工作人员详细信息#全校学生详细信息(连同家长信息) | 补天 | |
教育 | 安徽省教育招生考试院存在sql注入漏洞 | 补天 | |
教育 | 中北大学两枚高危漏洞#全校师生联系电话泄漏#sms接口泄漏、大量短信息泄漏#全校往届十年毕业生档案信息泄漏 | 补天 | |
教育 | 河南省专业技术人员继续教育信息管理系统某漏洞导致大量人员信息泄露 | 补天 | |
金融 | 泰康人寿某重要站点存在SQL注入漏洞(涉及29库上千表) | 乌云 | |
金融 | 北京立康保险代理有限公司某在线交易保险平台存在SQL注射漏洞(260个表/大量用户的真实姓名,明文密码,邮箱地址及电话号码泄露) | 乌云 | |
金融 | 河南某银行官网SQL注入泄露大量敏感数据(可绕过WAF) | 乌云 | |
金融 | 国联证券某系统多处高危漏洞,导致大量用户信息泄漏 | 漏洞盒子 | vulbox-2015-012302 |
金融 | 中国平安保险(集团)股份有限公司上万用户敏感信息泄漏(含车牌号,车主,车架号,地址,电话) | 乌云 | |
金融 | 泰康人寿某站点存在越权和注入等漏洞可导致泄漏任意企业用户敏感信息(姓名/手机号/邮箱等)大量用户以及当当网/东风/中石油/交通银行等员工躺枪 | 补天 | |
金融 | 中信证券某系统SQL注入漏洞泄露156W客户信息、资金余额、理财各种明细数据#可进入账号操作 | 补天 | |
金融 | 新华基金某漏洞泄露大量数据 | 漏洞盒子 | vulbox-2015-012587 |
金融 | 众安保险多处泄露大量保单(姓名\电话\身份证号码\邮箱\单号\住址) | 补天 | |
金融 | 某地金融资产交易所dba权限注入,数据全部泄露 | 补天 | |
金融 | 民安财产保险有限公司Getshell泄露超过500G数据库文件 | 补天 | |
金融 | P2P金融安全之钱爸爸sql注入漏洞(66W会员信息泄露) | 乌云 | |
金融 | 中国人民银行 某省分行某系统弱口令(涉及七万六千人银行从业人员信息) | 乌云 | |
金融 | 中国人寿官网用户信息大量泄漏 | 乌云 | |
金融 | 中信银行某站点后台弱口令导致Getshell(数据库信息泄露/影响内网安全) | 乌云 | |
金融 | 中国人民银行 某省分行某系统弱口令(涉及七万六千人银行从业人员信息) | 乌云 | |
金融 | 某市农商银行主站SQL注入(unicode编码绕过360防护) | 乌云 | |
金融 | 河南某银行系统网站SQL注入造成大量敏感信息泄露(可绕过WAF/87库) | 乌云 | |
金融 | 山西泽州农村商业银行SQL注入#DBA权限# | 补天 | |
能源 | 国家电网某管控终端系统SQL注入14个库DBA权限(已3389) | 乌云 | |
能源 | 中国电力某分站SQL注入漏洞(22个库) | 乌云 | |
能源 | 中国能建葛洲坝集团某系统漏洞泄露两百万社保数据#涉及养老保险、医疗、工伤等 | 补天 | |
运营商 | 中国联通某平台漏洞泄露浙江省所有基站/覆盖/网优/投诉(几十万)/报表信息 | 乌云 | |
运营商 | 中国银联某分公司商户站点存在sql漏洞,可导致大量商户交易流水存在泄漏风险 | 补天 | |
运营商 | 中国联通某重要站点SQL注入(近百万合作企业及业务员信息泄漏可load_file) | 乌云 | |
运营商 | 中国电信号某系统管理安全意识不足导致大量机票订单泄漏 | 漏洞盒子 | vulbox-2015-012390 |
运营商 | 12580某系统存在SQL注入(DBA权限+19个数据库+上百万的记录信息)+无验证导致弱口令可爆破泄漏几百万订单信息 | 补天 | |
政府 | 大庆市卫生局某系统漏洞泄露百万居民用户档案、健康报告等数据 | 补天 | |
政府 | 新乡市公安局车辆管理所某处SQL注入(目测全市车主信息) | 乌云 | |
政府 | 重庆人社局某站注入可导致200W数据泄露(绕过WAF) | 补天 | |
政府 | 陕西省民间组织管理局(全省500万老人姓名/照片/身份证/电话/家庭住址/社保发放银行/银行卡号等信息泄漏) | 补天 | |
政府 | 苏州车管所某处弱密码,泄露204万驾驶员信息 | 补天 | |
政府 | 西安车管所漏洞,大量数据泄漏 | 补天 | |
政府 | 国土资源部人事司SQL注入漏洞/dba权限 | 乌云 | |
政府 | 安平县卫生局某系统dba注入一枚(泄露300W 患者信息、#姓名#身份证#地址#户口信息#家庭编号等、加800W 药物信息、患者病情等..) | 补天 | |
政府 | 东莞市教育局办公后台弱口令致教师与东莞市所有中小学生档案信息泄露 | 乌云 | |
政府 | 浦东新区人力资源和社会保障局某系统getshell | 乌云 | |
政府 | 苏州市某住房和城乡某市建设局SQL多处打包(可跨库/sa权限/大量数据/漫游后台) | 乌云 | |
政府 | 广西省某重要系统SQL注入2枚,泄露全省企业数据 | 补天 | |
政府 | 海南省某重要系统SQL注入漏洞两枚,可导致大数量级信息存在风险 | 补天 | |
政府 | 河南省教育厅多处SQL注入#大数量级毕业生身份信息等敏感信息泄露 | 补天 | |
政府 | 河北疾控网某处SQL注入DBA权限涉及多个数据库 | 补天 | |
政府 | 安徽某养老保险漏洞,近上千万数据泄漏 | 补天 | |
政府 | 某政府在用系统三处通用注入漏洞可注射出数据库名 | 补天 | |
政府 | 山东省生育证预约系SQL注入泄露百万个人信息(看看哪些人要二胎) | 补天 | |
政府 | 益阳车管所高危漏洞(泄漏百万车主信息) | 补天 | |
政府 | 广西教育厅某系统两处漏洞泄露大量学生档案,以及大量父母个人信息#涉及全省高校/姓名/身份证/专业/手机号/收入等 | 补天 | |
政府 | 新乡人社局存在漏洞,大数量数据泄漏(含医保/养老保险/身份证号码等) | 补天 | |
政府 | 四川某居民卫生信息系统高危漏洞,泄露1600w居民档案 | 补天 | |
政府 | 汕尾市民政局两套系统漏洞泄露15W+居民个人/家庭档案、医疗救助费用报销数据 | 补天 | |
政府 | 河南省人口与计生委某系统漏洞泄露全省海量居民个人信息#涉及姓名/身份证/地址/家庭关系等,大数据大的惊人 | 补天 | |
政府 | 广电总局某系统未授权访问可查询任意户户通用户信息 | 乌云 | |
政府 | 山西省民政厅某系统2处漏洞泄露百万居民信息 | 补天 | |
政府 | 武汉市卫生局某系统多处漏洞泄露大量居民详细个人信息、医疗健康档案 | 补天 | |
政府 | 江苏省卫生厅某系统泄露内部海量敏感信息和百万卫生人员信息,看病住院成本太贵!!! | 补天 | |
政府 | 海南省某重要系统SQL注入漏洞2枚,可导致千万敏感信息泄漏 | 补天 | |
政府 | 某省级综治信息系统漏洞打包涉及千万级人口数据(弱口令+文件下载+Getshell可内网) | 乌云 | |
政府 | 银川市住房保障局某系统漏洞泄露30W+房产买卖信息#涉及买主个人信息/合同信息等 | 补天 |
联系作者
刘思成:安华金和数据库攻防实验室(DBSec Labs)安全研究员,专注于研究数据库漏洞的原理、利用方法和数据库防护技术。
Email:liusicheng@dbsec.cn
付蓉洁:安华金和市场部总监,负责公司整体品牌、产品及行业推广工作
Email:furongjie@dbsec.cn
沈雪峰:安华金和网络运营主管,安华每日安全资讯整理者
Email:shenxuefeng@dbsec.cn
关于安华金和
安华金和是我国专业的数据库安全产品和服务提供商,由长期致力于数据库内核研发大数据分析处理和信息安全领域专业资深人员共同创造,是国内知名提供全面的数据库安全产品、服务和解决方案服务商,覆盖数据库安全防护的事前检查、事中控制和事后审核,帮助用户全面实现数据库安全防护和安全合规。
云安全将是新的IT架构下的主要市场方向,安华金和将依托于在已形成的现有产品与技术基础,积极开拓在云上的数据库安全管理、数据库信息加密,与各云平台厂商和安全生态厂商共同合作,提供满足云平台下数据库安全基础架构产品。
安华金和产品及服务已经广泛地应用于政府、军队、军工、运营商、金融、企业信息防护等领域,建立了良好声誉,成为众多企业在该领域寻求安全产品和服务的首选。了解更多
有关数据库安全信息,请访问: www.dbsec.cn
安华金和官方微博:安华数据 http://weibo.com/DBSecurity
安华金和官方微信 搜索公众号 安华金和
