報(bào)告核心觀點(diǎn)

1.千帆過盡，SQL注入仍“不改”

2.本月金融業(yè)漏洞增長尤為突出

3.11月常見數(shù)據(jù)泄露原因分析

4.解決弱口令安全建議

報(bào)告正文

2015年11月，安華每日安全資訊總結(jié)發(fā)布了126個(gè)數(shù)據(jù)泄密高危漏洞，這些漏洞分別來自烏云、補(bǔ)天、漏洞盒子等平臺(tái)，涉及8個(gè)行業(yè)，公司機(jī)構(gòu)、互聯(lián)網(wǎng)、交通運(yùn)輸、教育、金融、能源、運(yùn)營商、政府。漏洞類型涉及，SQL注入、系統(tǒng)漏洞、弱口令等7類，其中SQL注入仍然是漏洞類型的重災(zāi)區(qū)。

千帆過盡，SQL注入仍“不改”

數(shù)據(jù)安全問題多數(shù)是從Web端開始，SQL注入成為Web端的一個(gè)頑疾。根據(jù)統(tǒng)計(jì)的11月份數(shù)據(jù)安全漏洞其中56個(gè)是與SQL注入相關(guān)的漏洞，數(shù)量占總量的44%，依舊是最多被發(fā)現(xiàn)的漏洞類型。這些漏洞遍及公司機(jī)構(gòu)、互聯(lián)網(wǎng)、政府等7個(gè)行業(yè)。

 

11月平臺(tái)SQL注入漏洞占主要比重

安華金和數(shù)據(jù)庫攻防實(shí)驗(yàn)室統(tǒng)計(jì)了8月到11月，4個(gè)月間最具代表性的三種漏洞類型的變化趨勢(系統(tǒng)漏洞、SQL注入、弱口令)。可以看到SQL注入漏洞數(shù)量長期占據(jù)高位。

 

2015年8-11月漏洞變化趨勢

9月份系統(tǒng)漏洞的異軍突起是因?yàn)閟truts2等框架軟件被爆出一些漏洞的利用方式。至使一些未來得及更新版本的框架軟件紛紛“中槍”。其中趨勢中最耐人尋味的是弱口令的數(shù)量不減反增。弱口令應(yīng)該是最容易規(guī)避，最易被修復(fù)的漏洞。但是值得注意的一點(diǎn)是現(xiàn)在的弱口令破解技術(shù)已經(jīng)不是單純的密碼破解，很多以前的防護(hù)手段已經(jīng)不再有效。

11月金融業(yè)漏洞增長尤為突出

從11月126個(gè)受到數(shù)據(jù)泄露漏洞威脅的行業(yè)來看，政府、互聯(lián)網(wǎng)、公司機(jī)構(gòu)依舊是重災(zāi)區(qū)，但從安華每日安全資訊統(tǒng)計(jì)的數(shù)量來看比例都成減少趨勢。金融業(yè)同比10月在比例上出現(xiàn)了大幅的增長(從10月份的7%增長到11月份的18%)11月僅安華每日安全資訊統(tǒng)計(jì)出的126個(gè)高危漏洞中就有23個(gè)金融業(yè)的漏洞(包含了銀行、互聯(lián)網(wǎng)金融、證券、保險(xiǎn)等幾個(gè)子類)占11月漏洞總數(shù)的18%。 

 

11月數(shù)據(jù)安全漏洞行業(yè)分布情況

11月金融業(yè)被集中爆出漏洞與自身網(wǎng)站代碼質(zhì)量有密切關(guān)系。金融行業(yè)漏洞中有13個(gè)漏洞是繞過WAF的SQL注入漏洞還存在四個(gè)弱口令漏洞和一個(gè)getshell漏洞。

由于一些SQL注入攻擊手段可以繞過waf，所以單純依靠waf防護(hù)不能達(dá)到一個(gè)理想的防護(hù)效果。例如本月的某互聯(lián)網(wǎng)金融主站存在的SQL注入、某銀行官網(wǎng)SQL注入、某市人社局網(wǎng)站注入等都是SQL注入繞過Waf的造成的漏洞。要想達(dá)到理想的防護(hù)效果被入侵單位或廠商就要對網(wǎng)站的源碼進(jìn)行完善修改，從根源上杜絕SQL注入。如果無法對源碼進(jìn)行修改，那就不能只單獨(dú)依靠WAF來防止SQL注入，需要通過其他軟件，例如數(shù)據(jù)庫防火墻等數(shù)據(jù)庫防護(hù)產(chǎn)品與WAF協(xié)同防護(hù)。

23個(gè)金融業(yè)漏洞主要問題都出在和互聯(lián)網(wǎng)交互的地方。其中互聯(lián)網(wǎng)金融的漏洞數(shù)量尤為突出，這與互聯(lián)網(wǎng)金融行業(yè)重業(yè)務(wù)發(fā)展輕安全有很大關(guān)系，強(qiáng)大的業(yè)務(wù)能力和脆弱的安全性對比顯得尤為突出。雙乾支付的COO從利波曾直言：“當(dāng)下很火的P2P平臺(tái)是黑客的常駐地，因許多中小平臺(tái)網(wǎng)站“裸奔”，缺乏專業(yè)運(yùn)維技術(shù)人員，黑客僅靠簡單的攻擊手段就可以導(dǎo)致其癱瘓。更有甚者，一些中小P2P平臺(tái)未進(jìn)行數(shù)據(jù)備份，一旦遭到攻擊，就會(huì)直接導(dǎo)致用戶信息泄露，平臺(tái)關(guān)門倒閉。”在當(dāng)今的環(huán)境下，支撐企業(yè)發(fā)展的不單是業(yè)務(wù)，安全同樣是重要的一環(huán)。#p#

11月常見數(shù)據(jù)泄露原因分析 

 

11月份數(shù)據(jù)泄漏威脅主要原因

本月值得關(guān)注的是弱口令漏洞占比提高。弱口令這種漏洞缺乏嚴(yán)格和準(zhǔn)確的定義，通常被認(rèn)為是很容易被別人猜到的密碼或破解工具能夠很容易破解的口令均為弱口令。本文下面提到的弱口令不只是單純的暴力破解口令和默認(rèn)口令，更偏向身份驗(yàn)證漏洞。總結(jié)8月到11月4個(gè)月弱口令的分布可以看到政府和金融業(yè)是弱口令的多發(fā)行業(yè)。 

 

2015年8月-11月弱口令漏洞行業(yè)分布圖

11月漏洞中金融行業(yè)弱口令有4個(gè)，占11月弱口令總數(shù)的1/3。弱口令問題在互聯(lián)網(wǎng)金融身上有明顯的體現(xiàn)，這同樣和互聯(lián)網(wǎng)金融忽視安全只求業(yè)務(wù)的野蠻生長有密切關(guān)系。

(1)不暴力密碼，暴力用戶

說到弱口令第一個(gè)讓人能想到的就是暴力破解密碼。這方面的工具也有很多，無論是手動(dòng)還是用工具都是根據(jù)字典對某一用戶名進(jìn)行密碼遍歷。目前防護(hù)這種破解方法的主要手段是采取同一個(gè)用戶名輸入多次錯(cuò)誤密碼，直接對賬號進(jìn)行鎖定處理。 

 

那么換個(gè)思路考慮，如果暴力破解是針對一個(gè)固定的密碼，切換不同的用戶，來遍歷適合這個(gè)密碼的用戶，無論試多少次也不會(huì)發(fā)生賬號鎖定情況。這就說明換一個(gè)思路就可以突破前臺(tái)對用戶名密碼進(jìn)行暴力破解的防護(hù)機(jī)制。

這是方法是前臺(tái)邏輯無法解決的問題，原因在于賬號一直在變化，前臺(tái)邏輯無法判斷鎖哪個(gè)用戶，如果把全部用戶都鎖定雖然可以解決這個(gè)問題。但實(shí)際上會(huì)引出兩個(gè)新問題：

1.造成短時(shí)間內(nèi)的DDOS攻擊(所有用戶都無法訪問服務(wù)器)。

2.對合法用戶的正常權(quán)利造成影響，用戶體驗(yàn)變低。

還有一種方式是針對多次登陸失敗的ip進(jìn)行鎖ip處理。但鎖ip很容易造成同一網(wǎng)段中的合法用戶業(yè)無法正常訪問，給合法用戶使用帶來不便，使正在運(yùn)行的業(yè)務(wù)造成中斷。

針對這種暴力破解用戶名的方式，只能通過對用戶名的長度和組成元素的復(fù)雜度來加大破解難度。

(2)前臺(tái)防守邏輯過于簡單

據(jù)統(tǒng)計(jì)發(fā)現(xiàn)弱口令多發(fā)的兩個(gè)行業(yè)一個(gè)是金融行業(yè)一個(gè)是政府機(jī)關(guān)。這兩個(gè)行業(yè)往往從業(yè)人員和客戶群體普遍年紀(jì)偏大，這類人群往往喜歡用好記的密碼。還有一種情況往往在設(shè)定密碼的時(shí)候用戶名會(huì)起到提示作用，甚至有的直接就是用戶名和密碼同名。網(wǎng)站在防范機(jī)制上前臺(tái)應(yīng)該給出相應(yīng)提示禁止這種賬號的注冊并添加邏輯驗(yàn)證保障用戶名或無需登陸就可查詢的信息和密碼無明顯關(guān)系，如果出現(xiàn)相關(guān)信息則提示用戶密碼設(shè)置不成功，建議設(shè)置更為復(fù)雜的密碼。這種明顯關(guān)系包括賬號和密碼只是互相反轉(zhuǎn)、密碼只是用戶名+某種單調(diào)符號、密碼疑似電話號碼、密碼疑似生日等易被猜測出的信息。

(3)重置密碼缺乏驗(yàn)證手段

目前大多數(shù)網(wǎng)站都可以通過一些注冊信息重置密碼，但是其中有一些網(wǎng)站在重置密碼的過程中缺乏足夠的驗(yàn)證手段，這就給攻擊者留下了入侵手段。

目前重置密碼主要通過兩種方式驗(yàn)證，一種是需要郵箱的特殊鏈接，一種是短信驗(yàn)證。下面是一個(gè)修改包中郵箱名重置任意賬號密碼的案例：

首先在目標(biāo)網(wǎng)站上注冊一個(gè)用戶，然后進(jìn)行密碼重置，郵箱收到一封郵件，郵件中有一個(gè)特殊鏈接，打開這個(gè)特殊鏈接提示輸入新密碼，輸入新密碼后，點(diǎn)擊提交，這時(shí)如果攔截下提交的數(shù)據(jù)包，然后把圖中的郵箱改成你想重置密碼的賬號對應(yīng)的郵箱，這時(shí)重置目標(biāo)郵箱的密碼成功。

加強(qiáng)一些邏輯防守就可以杜絕這種通過本地代理改包的入侵方式。一般有兩種方式：

1.在客戶端提出重置密碼后，把該用戶密碼所存的表中加入一個(gè)狀態(tài)，該狀態(tài)表示這個(gè)賬號提出重置密碼請求。修改密碼的請求傳入到服務(wù)器，在確認(rèn)重置密碼前，判斷是否與提交重置密碼的賬戶一致，如果不一致則不重置密碼，一致則信任該操作重置密碼。

2.給核心字符串加唯一標(biāo)識(shí)例如

把email=xxxxx.com&newpassword=xxx&repassword=xxx

改成email=xxxxx.com&newpassword=xxx&repassword=xxx&key=xxxx

只要保證key的安全、唯一、機(jī)密性，則可以保障不被這種方式入侵。

同樣手機(jī)驗(yàn)證碼也有類似的情況，但需要手機(jī)驗(yàn)證碼和重置密碼之間是異步。這種情況一般在成熟的網(wǎng)站中并不常見。

解決弱口令建議

解決弱口令的關(guān)鍵之道在于用戶名和密碼的復(fù)雜度和程序邏輯沒有安全缺陷。用戶名和密碼的復(fù)雜程度需要用戶愿意為了自己的個(gè)人的信息安全做更多的努力和付出，這其中系統(tǒng)的開發(fā)者也需要在驗(yàn)證過程中設(shè)定更加嚴(yán)格的用戶名和密碼輸入驗(yàn)證，使簡單的用戶名和密碼無法注冊成功，例如輸入相同的用戶名和密碼，提示密碼太簡單要求客戶重新輸入等措施。

針對安全邏輯缺陷，開發(fā)者應(yīng)該加強(qiáng)所有和密碼賬號相關(guān)功能的邏輯安全。例如例子中的密碼重置功能，需要加入更復(fù)雜完善的安全校驗(yàn)來保障確實(shí)是目標(biāo)用戶在對該功能進(jìn)行操作，防止不法分子利用代碼邏輯缺陷對系統(tǒng)展開入侵。這種由于代碼邏輯錯(cuò)誤、缺失造成的安全問題，很難通過第三方軟件來輔助規(guī)避。

弱口令雖然是一種技術(shù)含量不太高的入侵方式，但弱口令一般涉及用戶或者系統(tǒng)的核心數(shù)據(jù)和安全。一旦用戶口令被攻破，則一切防護(hù)手段都形同虛設(shè)。要加強(qiáng)針對弱口令的防護(hù)首要是加強(qiáng)WEB代碼自身的邏輯強(qiáng)度和安全強(qiáng)度，對于廠商要特別加強(qiáng)自己在身份驗(yàn)證處的邏輯防守能力，特別是加強(qiáng)用戶名的命名強(qiáng)度、密碼和常規(guī)信息的區(qū)分度。禁止用戶設(shè)置弱口令，輔助用戶設(shè)置更為復(fù)雜的密碼。同時(shí)也希望廣大用戶在享受便捷的時(shí)候?qū)ψ约旱膫€(gè)人信息負(fù)責(zé)，確實(shí)使用足夠復(fù)雜的用戶名和密碼以保障自身的安全。

完整報(bào)告下載：http://www.dbsec.cn/service/pdf/20151215.pdf