昨日, 烏雲平臺發佈了2014年十大安全風險: 互聯網泄密、不安全的第三方應用、 系統錯誤/邏輯錯誤帶來的暴力破解、SQL注入、 XSS等成爲2014年最大的安全風險。
No.1 互聯網泄密事件/撞庫攻擊
以大量的用戶數據爲基礎,利用用戶相同的註冊習慣(相同的用戶名和密碼),嘗試登陸其它的網站。2011年,互聯網泄密事件引爆了整個信息安全界,導致傳統的用戶+密碼認證的方式已無法滿足現有安全需求。
泄露的數據包括:天涯:31,758,468條,CSDN:6,428,559條,微博:4,442,915條,人人網:4,445,047條,貓撲:2,644,726條,178:9,072,819條,嘟嘟牛:13,891,418條,7K7K:18,282,404條,共1.2億條。
經典案例:CSDN數據庫泄露,大量用戶真實賬號密碼外泄:
CSDN社區網站被入侵,近600w用戶賬號密碼被泄露,黑客將連接公佈到互聯網,導致任何人可以獲得該數據,數據真實有效。該事件可能對各大互聯網公司包括新浪微博,企業安全等造成嚴重威脅,嚴重建議用戶修改賬號密碼,禁止企業用戶使用內部辦公郵箱在外部註冊以及各處使用同一密碼。
No.2 引用不安全的第三方應用
第三方開源應用、組件、庫、框架和其他軟件模塊。過去幾年中,安全領域在如何處理漏洞的評估方面取得了長足的進步,幾乎每一個業務系統都越來越多地使用了第三方應用,從而導致系統被入侵的威脅也隨之增加。由於第三方應用平行部署在業務系統之上,如果一個易受攻擊的第三方應用被利用,這種攻擊將導致嚴重的數據泄露或系統淪陷。
經典案例:淘寶主站運維不當導致可以登錄隨機用戶並且獲取服務器敏感信息:
針對Openssl heartbeat漏洞的exp已經流出,經過測試可以dump出任何使用openssl庫進程的內存數據,每次64kb,位置隨機,但是由於exp起來十分容易速度很快並且可以多線程,一會就獲得了幾千個用戶的cookie,隨機抽取了幾個發現可以任意登錄。經過大量測試,該漏洞不但能獲取cookie等信息,還能獲取web應用的源碼,web服務器的配置,包括ssl 證書私鑰和加密私鑰的key。正在針對大量https服務器做測試,獲取私鑰只是時間問題,建議淘寶全站更換SSL證書。
No.3 系統錯誤/邏輯缺陷帶來的暴力猜解
由於應用系統自身的業務特性,會開放許多接口用於處理數據,如果接口或功能未進行嚴謹的安全控制或判斷,將會促進駭客加快攻擊應用程序的過程,大大降低了駭客發現威脅的人力成本。 隨着模塊化的自動化攻擊工具包越來越趨向完善,將給應用帶來最大的威脅。
經典案例:大公司詬病系列#1 重置京東任意用戶密碼:
京東員工郵箱登陸外網可訪問,結果導致暴力猜解出衆多員工郵箱弱密碼:大公司人員的習慣研究,公司做得越來越大的時候,總會出現那麼幾個安全意識薄弱的人員(俗稱豬一樣的隊友),他們往往會做出一些讓人無法理解的事情,比如:直接點擊郵件內的 EXE 附件,或者使用和用戶名一樣的密碼,或者用戶名+當前年份的密碼。
No.4 敏感信息/配置信息泄露
由於沒有一個通用標準的防禦規則保護好中間件配置信息、DNS信息、業務數據信息、用戶信息、源碼備份文件、版本管理工具信息、系統錯誤信息和敏感地址信息(後臺或測試地址)的泄露,攻擊者可能會通過收集這些保護不足的數據,利用這些信息對系統實施進一步的攻擊。
經典案例:攜程安全支付日誌可遍歷下載,導致大量用戶銀行卡信息泄露:
用戶敏感信息放在Web目錄,導致可以直接下載:攜程將用於處理用戶支付的服務接口開啓了調試功能,使所有向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器,類似IIS或Apache的訪問日誌,記錄URL POST內容。同時因爲保存支付日誌的服務器未做校嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取。其中泄露的信息包括用戶的:持卡人姓名、持卡人身份證、所持銀行卡類別(比如,招商銀行信用卡、中國銀行信用卡)、所持銀行卡卡號、所持銀行卡CVV碼、所持銀行卡6位Bin(用於驗證支付信息的6位數字)。
No.5 應用錯誤配置/默認配置
數應用程序、中間件、服務端程序在部署前,未針對安全基線缺乏嚴格的安全配置定義和部署,將爲攻擊者實施進一步攻擊帶來便利。常見風險:flash默認配置,Access數據庫默認地址,WebDav配置錯誤,Rsync錯誤配置,應用服務器、Web服務器、數據庫服務器自帶管理功能默認後臺和管理口令。
經典案例:敏感信息泄露系列#6 服務端默認配置導致海量用戶信息泄露:
備份數據庫可以直接瀏覽到並下載:由於酷狗某臺服務器IIS配置錯誤,導致任意HTTP請求均可列出服務器上的WEB目錄,致使駭客可下載到任意數據或文件,駭客可以通過收集或挖掘這些保護不足的數據,利用這些信息對酷狗信息系統實施進一步的攻擊。通過互聯網掃描,發現酷狗用戶數據庫備份文件可直接通過互聯網公開下載,從而造成海量用戶信息泄露(目測酷狗有3.6億用戶)!
No.6 SQL注入漏洞
注入缺陷不僅僅侷限於SQL,還包括命令、代碼、變量、HTTP響應頭、XML等注入。 程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷、審計,當不可信的數據作爲命令或查詢的一部分被髮送到解釋器時,注入就會發生。攻擊者的惡意數據欺騙解釋器,讓它執行意想不到的命令或者訪問沒有準確授權的數據。
經典案例:蝦米網SQL注入,1390萬用戶數據…整個淪陷:
作爲一個可以直接影響到核心數據的經典漏洞,至今仍然頻繁出現在人們的視野中:1390萬用戶數據、交易數據、主站數據,整個淪陷。
No.7 XSS跨站腳本攻擊/CSRF
屬於代碼注入的一種,XSS發生在當應用程序獲得不可信的數據併發送到瀏覽器或支持用戶端腳本語言容器時,沒有做適當的校驗或轉義。XSS能讓攻擊者在受害者的瀏覽器上執行腳本行,從而實現劫持用戶會話、破壞網站Dom結構或者將受害者重定向到惡意網站。
經典案例:一個可大規模悄無聲息竊取淘寶/支付寶賬號與密碼的漏洞 (埋雷式攻擊附帶視頻演示):
XSS攻擊最希望達到:隱蔽,長期控制,此漏洞都達到了。有些漏洞,如果只是從技術層面來說明問題,廠商似乎感覺不到它的危害。整個漏洞利用過程也錄了個視頻,奉獻給普通網民,廠商努力修復,我們網民自己也得增強安全意識,那些抱着“這麼大公司不可能有大漏洞”之幻想的網民們該醒醒了。
No.8 未授權訪問/權限繞過
多數業務系統應用程序僅僅只在用戶客戶端校驗授權信息,或者乾脆不做訪問控制規則限制,如果服務端對來自客戶端的請求未做完整性檢查,攻擊者將能夠僞造請求,訪問未被授權使用的功能。
經典案例:搜狗某重要後臺未授權訪問(涉及重要功能及統計信息):
重要功能的後臺一定要安全!
No.9 賬戶體系控制不嚴/越權操作
與認證和會話管理相關的應用程序功能常常會被攻擊者利用,攻擊者通過組建的社會工程數據庫,檢索用戶密碼,或者通過信息泄露獲得的密鑰、會話token、GSID和利用其它信息來繞過授權訪問控制不屬於自己的數據。如果服務端未對來自客戶端的請求進行身份屬主校驗,攻擊者可通過僞造請求,越權竊取所有業務系統的數據。
經典案例:樂視網2200萬用戶任意用戶登錄:
修改任意uid即可, 越權登陸任意用戶。
No.10 內部重要資料/文檔外泄
無論是企業還是個人,越來越依賴於對電子設備的存儲、處理和傳輸信息的能力。 企業重要的數據信息,都以文件的形式存儲在電子設備或數據中心上,企業僱員或程序員爲了辦公便利,常常將涉密數據拷貝至移動存儲介質或上傳至網絡,一旦信息外泄,將直接加重企業安全隱患發生的概率。
經典案例:淘寶敏感信息泄漏可進入某重要後臺(使用大量敏感功能和控制內部服務器):
後臺能幹嘛:給支付寶賬號充值、任意支付寶賬號認證、任意支付寶淘寶綁定、爲訂單付款、爲訂單發貨、爲訂單退款、解綁用戶支付寶、刪除支付寶賬號、修改訂單價格、給訂單包郵、升級店鋪等級、給寶貝添加評、價修改用戶密碼、修改用戶手機號、刪除用戶、修改用戶身份證號碼、刪除購物車、實時查詢、註冊手機的校驗碼、處罰會員、修改賣家好評率、品牌授權、創建天貓品牌等上百項重要功能。
轉自:聯軟科技
