网络安全常见隐患及防护措施
作为从业8年的网安人,日常工作处理和应对各类网络安全问题,积累下一些经验和心得体会想借FB平台分享给大家,希望能帮助和启发到大家。
主要遇到的问题主要有弱口令、命令执行、文件上传、信息泄露,最后是自己处置这些问题的一些心得体会,讨论和构思如何去防护这些网络安全常见隐患。
1.弱口令
弱口令我们可以简单的理解为能让别人随意就猜到的密码,比如abc、111、123、123456、88888888等等诸如此类的密码。
除此之外大家都能知道的密码称之为弱口令。还有以下的几点也如果不达到要求也可以称之为弱口令:
①空口令,没有设置密码
②口令小于8个字符且较为简单
③口令为连续的字母或者单纯数字
④口令为本人相关的名字字母,生日,易被发现的邮箱号,账号名昵称名,都可以称为弱口令,可以定义为针对你的弱口令,而不是普遍的弱口令。
弱口令一旦被破解将面临很严重的资产风险,在网络安全方面,我们的云主机,服务器一旦暴露了我们的登录密码则会导致我们的主机被入侵,导致我们网站,app,主机载体的内容受到损坏,可能导致不可逆的破坏和严重的经济损失。
同时不仅仅是主机、服务器,弱口令还涉及到我们日常的各类登录密码邮箱,微信、qq、web注册页面等等都是我们需要留意的,账号价值高的账户一定要设置安全复杂口令。
复杂口令建议:8字符以上且包含英文大小写+数字+符号的组合,同时一旦有暴露口令的风险一定要及时更换口令。
2.命令执行
命令执行就是黑客可以直接在Web应用中执行系统命令,从而获取敏感信息或者拿下shell权限
。命令执行漏洞可能造成的原因是Web服务器对用户输入命令安全检测不足,导致恶意代码被执行
最常见的命令执行漏洞是发生在各种Web组件,包括Web容器、Web框架、CMS软件、安全组件等。
命令执行漏洞定义
命令执行漏洞,就是指用户通过浏览器或其他辅助程序提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令。
通俗的讲:当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system、exec、shell_exec等,当用户可以控制命令执行函数中的参数时,将可以住人恶意系统命令到正常的命令中,造成命令执行攻击。
① 任意执行系统命令
② 恶意木马被种植
③ 挂马、钓鱼
④ 敏感信息泄露
尽量不要使用系统执行命令
在进入执行命令函数之前,变量一定要做好过滤,对敏感字符进行转义
在使用动态函数之前,确保使用的函数是指定的函数之一
对PHP语言来说,不能完全控制的危险函数最好不要使用
解决该类问题,关键在于在代码未判断文件类型或者文件类型限制不完全,一般这种是黑名单或者没有限制,建议添加白名单限制参数数组,固定为图片或文本格式文件。
如果是使用WEB中间件存在上传,或者是CMS存在文件上传漏洞,根据官方建议安装补丁升级版本,或者使用官方推荐的临时修改策略来限制问题的产生和利用。
3.文件上传
漏洞简介
文件上传,顾名思义就是上传文件的功能行为,之所以会被发展为危害严重的漏洞,是程序没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。文件上传漏洞是漏洞中最为简单猖獗的利用形式,一般只要能上传获取地址,可执行文件被解析就可以获取系统WebShell。
漏洞原理
网站WEB应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型时,就可以上传任意文件甚至是可执行文件后门。
漏洞危害
恶意文件传递给解释器去执行,之后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作。根据网站使用及可解析的程序脚本不同,可以上传的恶意脚本可以是PHP、ASP、JSP、ASPX文件。
其实,上传漏洞与SQL注入或 XSS相比 , 其风险更大 ,获得服务器权限最快最直接,如果 Web应用程序存在上传漏洞 , 攻击方甚至可以直接上传一个webshell到服务器上 ,当然,技术更牛,开发能力强的客户,还是推荐以上三种方式,比如遍历文件,就可以检查系统内是否存在恶意文件、计算校验就是校验文件hash值、文件恢复就还原最初版本,还原之后文件就剩初始文件,防止找不到恶意文件。
4.信息泄露
我们常遇到的信息泄露包括:
1、攻击者可直接下载用户的相关信息,包括网站的绝对路径、用户的登录名、密码、真实姓名、身份ID号、电话号码、邮箱、QQ号等。
2、攻击者通过构造特殊URL地址,触发系统web应用程序报错,在回显内容中,获取网站敏感信息。
3、攻击者利用泄漏的敏感信息,获取网站服务器web路径,为进一步攻击提供帮助。
给出的防护措施建议如下:
1、敏感数据密文存储。
2、敏感数据脱敏传输。
3、关闭业务系统的错误回显。
4、控制url的访问路径。
5、使用SSL/IPSEC VPN
5.安全防护杂谈
之前遇到一些客户,总会在安全防护这陷入一些误区,比如:
1、重点系统专家级防护,旁站系统菜鸟级防护
2、疯狂堆砌安全产品
3、过分依赖安全产品
4、侥幸心理开放高危端口
这里我一般会向客户提及木桶原理,防护过程中只要一个短板就可能全盘皆输,这里的短板就是我们风险评估中常说的脆弱性,而如果疯狂堆砌安全产品,会对系统流量瓶颈,对可用性造成影响和损害;过分依赖安全产品,殊不知我们目前市面上在售的很多安全产品本身也有漏洞,也可以被绕过,所以可以等级保护强调全面的安全,每个层面都要求建立起有效的防护体系。关于高危端口,这是攻击者们乐此不疲的,喜闻乐见的,比如勒索病毒,挖矿病毒已经造成巨大经济损失,这些都是利用高危端口进行入侵和破坏的。
网安工作中,当涉及到个人信息保护工作,由于个人隐私保护与生活息息相关,客户一般较为感兴趣,我通常会给客户建议以下几点:
1、不要登入可疑网站,不要打开或滥发邮件中不可信赖来源或电邮所载的URL链接,以免被看似合法的恶意链接转往恶意网站。
2、不要从搜索引擎的结果连接到银行或其他金融机构的网址。
3、不要轻信手机短信、其它形式发来的涉及自身安全、财务的信息。
4、以手工方式输入URL位址或点击之前已加入书签的链接
5、使用免费WIFI的时候,不要输入敏感信息