題目:
安全小課堂第6期——信息泄露之配置不當
一、 配置不當的分類;
二、 配置不當中最嚴重的類別(哪個類型導致的風險最大)、常見的類別。配置不當的危害。
三、 配置不當的防範措施,各公司是否有好的措施分享。流程方面:開發階段(安全意識、自檢);預上線階段(檢查);監控方面:上線之後(監控,安全模塊等)。
四、 圈內是否有檢測配置不當的好用的工具和模塊方法。
一、配置不當的分類、危害及檢查工具:
1、版本過低問題
1)反序列化漏洞:WebLogic、WebSphere、JBoss、Jenkins、OpenNMS
危害:getshell
工具:http://www.freebuf.com/vuls/86566.html
2)解析漏洞:nginx、apache、IIS
危害:潛在getshell
工具:http://drops.wooyun.org/papers/539
3)其他各種已知漏洞:
比如說jboss的各種geshell漏洞、redis任意文件讀取…
工具:https://github.com/ywolf/F-MiddlewareScan
2、弱口令問題:(webserver、NFS、Redis、Rsync、Memcache、mangodb…)
危害:數據泄露或者getshell
工具:https://github.com/ywolf/F-MiddlewareScan、hydra
3、Nginx+Apache配置不當
危害:導致敏感信息泄露包括web.xml、*.class文件
工具:訪問對應文件
4、NFS配置不當
危害:讀寫文件
工具:showmount、mount
5、OpenSSL心臟滴血
危害:敏感信息泄露,用戶身份信息等
工具:http://wangzhan.360.cn/heartbleed/
6、server-status信息泄露
危害:例如任何人口可以看到誰在訪問網站,甚至包括一些本來隱藏的管理頁面。
工具:訪問/server-status
7、備份文件下載
危害:泄露網站源代碼、用戶資料等敏感信息。
工具:組合各種常見備份文件名並訪問
8、編輯器生成的臨時文件(.bak、.vim、~)
危害:信息泄露,甚至getshell
工具:構造相應的文件並訪問
9、列目錄導致可看到敏感數據並查看
危害:輕則可以查看目錄結構,重則下載關鍵敏感信息
工具:組合各種常見目錄地址並訪問
10、snmp信息泄露:
危害:泄露認證信息,導致被入侵
工具:snmpwalk(集成於kali)
11、代碼管理工具信息泄露:(SVN, GIT, Mercurial/hg, bzr, ...)
危害:泄露源代碼,甚至導致被入侵
工具:https://github.com/kost/dvcs-ripper
12、DNS域傳送、拒絕服務
危害:泄露公司的網絡架構信息,導致域名無法解析
工具:nslookup、CVE-2015-5477
13、各種系統或者管理工具對外:(hadoop、zabbix、cacti、phpmyadmin、nagios…)
危害:信息泄露、getshell
工具:nmap + 目錄文件爆破 + 弱口令爆破
二、公司採取的防範措施:
1、業務上線前進行安全基線檢查,杜絕以上的問題。
2、對線上業務進行定時檢查。
3、對攻擊行爲進行監控。
參考: