为了提高广大用户的安全意识,国内专业数据库安全厂商安华金和,根据每日整理发布来自漏洞盒子、补天、乌云、等漏洞平台的安全资讯,数据库攻防实验室(DBSec Labs)以月为单位,将高危漏洞汇总,形成分析报告,分享广大用户及合作伙伴。
1、 依旧危险,框架漏洞汹涌澎湃2、 政府行业漏洞排名第一,互联网行业紧随其后3、 月常见数据泄露原因分析4、 针对平台系统漏洞的防范手段2015年9月,安华每日安全资讯总结发布了134个数据泄密高危漏洞,这些漏洞分别来自漏洞盒子、乌云、补天等平台,涉及11个行业,行业机构、互联网、交通运输、教育、金融保险、旅游、能源、社保公积金、医疗卫生、运营商、政府。同比8月份的102个漏洞数量增加32个。9月份的漏洞,其中绝大多数泄露威胁来自于平台系统漏洞和SQL注入漏洞。
Web依旧危险,框架漏洞汹涌澎湃
Web端依旧是数据安全的主要软肋,9月份数据安全漏洞呈现的新态势为:数据泄露多是由平台系统漏洞引起。平台系统漏洞在9月份的漏洞总数中占据了半壁河山。
9月平台系统漏洞占主要比重
这些平台系统漏洞中,其中威胁最大的来自语言框架带来的漏洞。语言框架(例如java的sturts2漏洞)漏洞往往隐藏深,二次开发人员难以进行有效防守。随着框架的广泛使用,漏洞的影响范围也远比其他漏洞广泛。9月份爆发的平台系统漏洞和几种主要语言框架被爆出漏洞存在密切关系。
大政府行业漏洞排名第一,互联网行业紧随其后
从9月134个收到数据泄露漏洞威胁的行业来看,互联网行业依旧是重灾区。其中43个政府行业漏洞(包含了卫生医疗、教育、社保公积金几个子类)占比32%,互联网行业占全部数据泄露威胁的28%。金融、运营商、企业机构紧随其后,漏洞比例分别占10%以上。
注:其中互联网行业包含了互联网金融,未归类在传统金融行业中。
9月数据安全漏洞行业分布情况
9月政府大行业中,其中教育行业漏洞数量暴涨,虽然本月教育行业只有10个漏洞,但同比8月份的2个则是增加了5倍,占整体漏洞总数的7%。教育行业被集中爆出漏洞与自身网站框架陈旧,以及维护不到位有直接关系。教育行业中有7个漏洞是平台系统存在的漏洞,平台系统漏洞主要是由于平台系统没有及时升级维护。10个中还存在一个一个弱口令漏洞,该弱口令直接被白帽子用工具爆破出密码。相信通过合理的制度和一定的辅助软件弱口令问题会很快被杜绝。社保公积金年初各地大范围曝出系统漏洞后,每月仍有数据安全漏洞持续发布。
在企业机构、金融行业、政府和互联网中中,也存在上述问题。虽然本月平台系统漏洞占据了主导地位,但SQL注入也广泛的存在于各个行业之中。getshell、错误配置、弱口令等依旧没有杜绝。
而互联网行业由于其行业特性,常年累月处在数据泄露威胁的阴影下。
9月常见数据泄露原因分析
开发中出现的代码缺陷,很可能最终转化成数据泄漏的漏洞。平台系统漏洞主要包含两种类型:类型1,二次开发中由于开发人员对输入输出参数、逻辑判断等出现失误而造成的漏洞。这类漏洞虽然数量大,但影响面窄,且易于修复。类型2,开发Web程序使用的语言框架自身存在的漏洞。这种漏洞往往会直接导致对整个WEB服务器的入侵,并暴露出Web服务器后台连接的数据库信息。
9月份数据泄漏威胁主要原因
框架引起的平台系统漏洞想要治根需要对框架版本进行合理升级。如果由于各种原因无法对框架版本进行升级也可以通过权限限制来约束,以及进行自动删除后门的设置。笔者在分析平台系统漏洞时利用工具对某网段中的网页进行扫描发现存在struts2漏洞的网页。
成功植入Webshell的网页(对其中敏感字进行处理)
笔者通过对200个网站进行struts2漏洞检测发现部分网站存在漏洞。上传webshell,通过后门可以查询Web服务所在服务器的大量核心信息以及数据库信息。如下面的例子,那到管理员权限直接访问查看对方Web服务器中的全部内容。不仅可以看到网站内容,还可以通过查询配置信息找到后台数据库位置。
被入侵网站服务器上目录结构图
虽然比例不高但依旧存在的弱口令和配置错误是纯粹人为因素导致,企事、业单位应该在管理机制和从业人员水平上加强投入,尽量避免人为因素给企业、事业单位造成的潜在威胁。
针对平台系统漏洞的防御方案
抵御平台系统漏洞威胁可以通过对应的第三方软件,这里笔者给出不通过第三方软件就可以加固平台系统的3点建议:
1.第一时间针对存在漏洞的平台系统进行合理升级。2.严格限制平台系统上的读、写、运行、上传权限。3.定期关注日志.相信以上3点建议会帮助您有效的加固平台系统应对平台系统漏洞威胁。
1、 第一时间针对低版本平台系统进行合理升级
时刻关注自己平台所用框架的官网,注意及时升级到合适版本。避免使您采用的框架已存在漏洞,暴露在黑客的威胁之下。可以定期采用对应的平台系统漏洞扫描工具,及时发现新出现的漏洞。尽量避免使用缺乏维护的开源框架。在可上传的部分进行严格的参数验证,防止被上传图片、邮件、文档等形式的木马。
2、 严格限制权限
从上图可以看出网站对用户权限限制不到位,同一个账号同时存在读、写、上传、运行等权限。一个账户尽量不要同时赋予太多权限。被入侵账号如果有大部分权限,导致黑客可以直接对平台系统所在的服务器进行读取、上传木马、运行木马等行为。为避免这一现象尽量在不影响应用的前提下最大限度限制所有用户的权限。尤其要限制Web服务器系统账号的权限。做好权限限制,可以确保即使木马被上传到Web服务器,也无法执行。有效的防止框架漏洞被利用。
3、 定期关注日志
定期关注日志文件主要关注两部分。
1.删除日志文件中的敏感信息。例如修改密码等过程有可能会把旧密码以明文的形式存在日志文件中。黑客发现旧密码,很可能通过旧密码特征猜测出新密码。最终导致密码被破解,服务器被入侵。2.关注日志中的异常行为,确定是否有黑客对平台系统进行而已扫描或者渗透。
结束语
黑客通过主动或被动信息的方式进行信息收集。分析信息寻找整个环境中最薄弱的环节。数据安全符合木桶原理,整个环境的安全水平和各个安全防护中最短的一块相关。想要做好数据安全。不单单是要对网络、数据库、服务器、硬件等关键设施进行安全加固,同时也要针对服务器上的核心软件进行加固才可能真正做到数据安全。
最后,也是最重要的,用户还是要从主观因素上提高安全意识,加强内部安全管理防范。安全就是这样一种形态,平时不出状况看不到安全的效果,一旦企业出现了数据泄露事件,其经济损失、名誉损失将不可估量,更甚者企业形象会一落千丈,从此难以翻身。
