烏云平臺發布2014年Top10安全風險
昨天,烏云平臺發布了2014年10大安全風險,互聯網泄密、不安全的第三方應用、系統錯誤/邏輯錯誤帶來的暴力破解、SQL注入、XSS等成為2014年最大的安全風險。
A1-互聯網泄密事件/撞庫攻擊
以大量的用戶數據為基礎,利用用戶相同的注冊習慣(相同的用戶名和密碼),嘗試登陸其它的網站。2011年,互聯網泄密事件引爆了整個信息安全界,導致傳統的用戶+密碼認證的方式已無法滿足現有安全需求。泄露數據包括:天涯:31,758,468條,CSDN:6,428,559條,微博:4,442,915條,人人網:4,445,047條,貓撲:2,644,726條,178:9,072,819條,嘟嘟牛:13,891,418條,7K7K:18,282,404條,共1.2億條。經典案例:
WooYun: CSDN數據庫泄露,大量用戶真實賬號密碼外泄
11年底CSDN在烏云上被披露數據庫已經泄露,用戶的用戶名以及明文密碼在互聯網上流傳開,揭開了互聯網數據庫泄露事件冰山一角,陸續多家大型網站被竊取的數據庫開始在互聯網上流傳。
A2-引用不安全的第三方應用
第三方開源應用、組件、庫、框架和其他軟件模塊; 過去幾年中,安全領域在如何處理漏洞的評估方面取得了長足的進步,幾乎每一個業務系統都越來越多地使用了第三方應用,從而導致系統被入侵的威脅也隨之增加。由于第三方應用平行部署在業務系統之上,如果一個易受攻擊的第三方應用被利用,這種攻擊將導致嚴重的數據失竊或系統淪陷。經典案例:
WooYun: 淘寶主站運維不當導致可以登錄隨機用戶并且獲取服務器敏感信息
OpenSSL漏洞的公開,導致眾多大型互聯網廠商遭殃。
A3-系統錯誤/邏輯缺陷帶來的暴力猜解
由于應用系統自身的業務特性,會開放許多接口用于處理數據,如果接口或功能未進行嚴謹的安全控制或判斷,將會促進駭客加快攻擊應用程序的過程,大大降低了駭客發現威脅的人力成本。 隨著模塊化的自動化攻擊工具包越來越趨向完善,將給應用帶來最大的威脅。經典案例:
WooYun: 大公司詬病系列#1 重置京東任意用戶密碼
京東員工郵箱登陸外網可訪問,導致暴力猜解出眾多員工郵箱弱密碼。
A4-敏感信息/配置信息泄露
由于沒有一個通用標準的防御規則保護好中間件配置信息、DNS信息、業務數據信息、用戶信息、源碼備份文件、版本管理工具信息、系統錯誤信息和敏感地址信息(后臺或測試地址)的泄露,攻擊者可能會通過收集這些保護不足的數據,利用這些信息對系統實施進一步的攻擊。經典案例:
WooYun: 攜程安全支付日志可遍歷下載 導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)
用戶敏感信息放在Web目錄,導致可以直接下載。
A5-應用錯誤配置/默認配置
數應用程序、中間件、服務端程序在部署前,未針對安全基線缺乏嚴格的安全配置定義和部署,將為攻擊者實施進一步攻擊帶來便利。常見風險:flash默認配置,Access數據庫默認地址,WebDav配置錯誤,Rsync錯誤配置,應用服務器、Web服務器、數據庫服務器自帶管理功能默認后臺和管理口令。經典案例:
WooYun: 敏感信息泄露系列#6 服務端默認配置導致海量用戶信息泄露 (目測酷狗有3.6億用戶)
備份數據庫可以直接瀏覽到并下載。
A6-SQL注入漏洞
注入缺陷不僅僅局限于SQL,還包括命令、代碼、變量、HTTP響應頭、XML等注入。 程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,當不可信的數據作為命令或查詢的一部分被發送到解釋器時,注入就會發生。攻擊者的惡意數據欺騙解釋器,讓它執行意想不到的命令或者訪問沒有準確授權的數據。經典案例:
WooYun: 蝦米網SQL注入,1400萬用戶數據,各種交易數據,主站數據,均可拖,緊急!!
作為一個可以直接影響到核心數據的經典漏洞,至今仍然頻繁出現在人們的視野中。
A7-XSS跨站腳本攻擊/CSRF
屬于代碼注入的一種,XSS發生在當應用程序獲得不可信的數據并發送到瀏覽器或支持用戶端腳本語言容器時,沒有做適當的校驗或轉義。XSS能讓攻擊者在受害者的瀏覽器上執行腳本行,從而實現劫持用戶會話、破壞網站Dom結構或者將受害者重定向到惡意網站。經典案例:
WooYun: 一個可大規模悄無聲息竊取淘寶/支付寶賬號與密碼的漏洞 -(埋雷式攻擊附帶視頻演示)
XSS攻擊最希望達到:隱蔽,長期控制,此漏洞都達到了。
A8-未授權訪問/權限繞過
多數業務系統應用程序僅僅只在用戶客戶端校驗授權信息,或者干脆不做訪問控制規則限制,如果服務端對來自客戶端的請求未做完整性檢查,攻擊者將能夠偽造請求,訪問未被授權使用的功能。經典案例:
WooYun: 搜狗某重要后臺未授權訪問(涉及重要功能及統計信息)
重要功能的后臺一定要安全。
A9-賬戶體系控制不嚴/越權操作
與認證和會話管理相關的應用程序功能常常會被攻擊者利用,攻擊者通過組建的社會工程數據庫,檢索用戶密碼,或者通過信息泄露獲得的密鑰、會話token、GSID和利用其它信息來繞過授權控制訪問不屬于自己的數據。如果服務端未對來自客戶端的請求進行身份屬主校驗,攻擊者可通過偽造請求,越權竊取所有業務系統的數據。經典案例:
WooYun: 樂視網2200萬用戶任意用戶登錄
越權登陸任意用戶。
A10-內部重要資料/文檔外泄
無論是企業還是個人,越來越依賴于對電子設備的存儲、處理和傳輸信息的能力。 企業重要的數據信息,都以文件的形式存儲在電子設備或數據中心上,企業雇員或程序員為了辦公便利,常常將涉密數據拷貝至移動存儲介質或上傳至網絡,一旦信息外泄,將直接加重企業安全隱患發生的概率。經典案例:
WooYun: 淘寶敏感信息泄漏可進入某重要后臺(使用大量敏感功能和控制內部服務器)
