论文部分内容阅读
1. 互联网泄密事件/撞库攻击
以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登录其它的网站。自2011年开始,互联网泄密事件引爆了整个信息安全界,导致传统的用户名 密码认证的方式已无法满足现有安全需求。案例:CSDN数据库泄露,大量用户真实账号密码外泄。
2. 引用不安全的第三方应用
过去几年中,安全领域在如何处理漏洞的评估方面取得了长足的进步,几乎每一个业务系统都越来越多地使用了第三方应用,从而导致系统被入侵的威胁也随之增加。由于第三方应用平行部署在业务系统之上,如果一个易受攻击的第三方应用被利用,这种攻击将导致严重的数据失窃或系统沦陷。这些第三方应用包括开源应用、组件、库、框架和其他软件模块等。案例:淘宝主站运维不当导致可以登录随机用户并且获取服务器敏感信息。
3. 系统错误/逻辑缺陷带来的暴力猜解
由于应用系统自身的业务特性会开放许多接口用于处理数据,如果接口或功能未进行严谨的安全控制或判断,将会促使攻击者加快攻击应用程序的过程,大大降低攻击者发现威胁的成本。随着模块化、自动化攻击工具包的趋于完善,这将给应用带来极大威胁。案例:大公司诟病系列#1 重置京东任意用户密码。
4. 敏感信息/配置信息泄露
由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)等,攻击者可能会通过收集这些保护不足的数据,利用这些信息对系统实施进一步的攻击。案例:携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。
5. 应用错误配置/默认配置
应用程序、中间件、服务端程序在部署前,未针对安全基线进行严格的安全配置定义和部署,将为攻击者实施进一步攻击带来便利。常见的风险有:Flash默认配置、Access数据库默认地址、WebDav配置错误、Rsync错误配置、应用服务器、Web服务器、数据库服务器自带管理功能的默认后台和管理口令。案例:敏感信息泄露系列#6 服务端默认配置导致海量用户信息泄露。
6. SQL注入漏洞
注入缺陷不仅仅局限于SQL,还包括命令、代码、变量、HTTP响应头、XML等注入。 程序员在编写代码时没有对用户输入数据的合法性进行判断,当不可信的数据作为命令或查询的一部分被发送到解释器时,注入就会发生。攻击者的恶意数据欺骗解释器,让它执行意想不到的命令或者访问没有准确授权的数据。案例:虾米网的SQL注入漏洞,其1400万用户数据以及各种交易数据、主站数据均可拖库。
7. XSS跨站脚本攻击/CSRF
它属于代码注入的一种。XSS发生在当应用程序获得不可信的数据并发送到浏览器或支持用户端脚本语言容器时,没有做适当的校验或转义。XSS能让攻击者在受害者的浏览器上执行脚本行,从而实现劫持用户会话、破坏网站Dom结构或者将受害者重定向到恶意网站。案例:一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 (埋雷式攻击)。
8. 未授权访问/权限绕过
多数业务系统应用程序仅仅只在用户客户端校验授权信息,或者干脆不做访问控制规则限制,如果服务端对来自客户端的请求未做完整性检查,攻击者将能够伪造请求,访问未被授权使用的功能。案例:搜狗某重要后台未授权访问(涉及重要功能及统计信息)。
9. 账户体系控制不严/越权操作
与认证和会话管理相关的应用程序功能常常会被攻击者利用,攻击者通过组建的社会工程数据库检索用户密码,或者通过信息泄露获得的密钥、会话token、GSID和利用其它信息来绕过授权控制访问不属于自己的数据。如果服务端未对来自客户端的请求进行身份属性校验,攻击者可通过伪造请求越权窃取所有业务系统的数据。案例:乐视网2200万用户存在越权风险。
10. 内部重要资料/文档外泄
无论是企业还是个人,越来越依赖于对电子设备的存储、处理和传输信息的能力。 企业重要的数据信息,都以文件的形式存储在电子设备或数据中心上,企业雇员或程序员为了办公便利,常常将涉密数据拷贝至移动存储介质或上传至网络,一旦信息外泄,将加大企业安全隐患发生的概率。案例:淘宝敏感信息泄露可进入某重要后台(使用大量敏感功能和控制内部服务器)。
以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登录其它的网站。自2011年开始,互联网泄密事件引爆了整个信息安全界,导致传统的用户名 密码认证的方式已无法满足现有安全需求。案例:CSDN数据库泄露,大量用户真实账号密码外泄。
2. 引用不安全的第三方应用
过去几年中,安全领域在如何处理漏洞的评估方面取得了长足的进步,几乎每一个业务系统都越来越多地使用了第三方应用,从而导致系统被入侵的威胁也随之增加。由于第三方应用平行部署在业务系统之上,如果一个易受攻击的第三方应用被利用,这种攻击将导致严重的数据失窃或系统沦陷。这些第三方应用包括开源应用、组件、库、框架和其他软件模块等。案例:淘宝主站运维不当导致可以登录随机用户并且获取服务器敏感信息。
3. 系统错误/逻辑缺陷带来的暴力猜解
由于应用系统自身的业务特性会开放许多接口用于处理数据,如果接口或功能未进行严谨的安全控制或判断,将会促使攻击者加快攻击应用程序的过程,大大降低攻击者发现威胁的成本。随着模块化、自动化攻击工具包的趋于完善,这将给应用带来极大威胁。案例:大公司诟病系列#1 重置京东任意用户密码。
4. 敏感信息/配置信息泄露
由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)等,攻击者可能会通过收集这些保护不足的数据,利用这些信息对系统实施进一步的攻击。案例:携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。
5. 应用错误配置/默认配置
应用程序、中间件、服务端程序在部署前,未针对安全基线进行严格的安全配置定义和部署,将为攻击者实施进一步攻击带来便利。常见的风险有:Flash默认配置、Access数据库默认地址、WebDav配置错误、Rsync错误配置、应用服务器、Web服务器、数据库服务器自带管理功能的默认后台和管理口令。案例:敏感信息泄露系列#6 服务端默认配置导致海量用户信息泄露。
6. SQL注入漏洞
注入缺陷不仅仅局限于SQL,还包括命令、代码、变量、HTTP响应头、XML等注入。 程序员在编写代码时没有对用户输入数据的合法性进行判断,当不可信的数据作为命令或查询的一部分被发送到解释器时,注入就会发生。攻击者的恶意数据欺骗解释器,让它执行意想不到的命令或者访问没有准确授权的数据。案例:虾米网的SQL注入漏洞,其1400万用户数据以及各种交易数据、主站数据均可拖库。
7. XSS跨站脚本攻击/CSRF
它属于代码注入的一种。XSS发生在当应用程序获得不可信的数据并发送到浏览器或支持用户端脚本语言容器时,没有做适当的校验或转义。XSS能让攻击者在受害者的浏览器上执行脚本行,从而实现劫持用户会话、破坏网站Dom结构或者将受害者重定向到恶意网站。案例:一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 (埋雷式攻击)。
8. 未授权访问/权限绕过
多数业务系统应用程序仅仅只在用户客户端校验授权信息,或者干脆不做访问控制规则限制,如果服务端对来自客户端的请求未做完整性检查,攻击者将能够伪造请求,访问未被授权使用的功能。案例:搜狗某重要后台未授权访问(涉及重要功能及统计信息)。
9. 账户体系控制不严/越权操作
与认证和会话管理相关的应用程序功能常常会被攻击者利用,攻击者通过组建的社会工程数据库检索用户密码,或者通过信息泄露获得的密钥、会话token、GSID和利用其它信息来绕过授权控制访问不属于自己的数据。如果服务端未对来自客户端的请求进行身份属性校验,攻击者可通过伪造请求越权窃取所有业务系统的数据。案例:乐视网2200万用户存在越权风险。
10. 内部重要资料/文档外泄
无论是企业还是个人,越来越依赖于对电子设备的存储、处理和传输信息的能力。 企业重要的数据信息,都以文件的形式存储在电子设备或数据中心上,企业雇员或程序员为了办公便利,常常将涉密数据拷贝至移动存储介质或上传至网络,一旦信息外泄,将加大企业安全隐患发生的概率。案例:淘宝敏感信息泄露可进入某重要后台(使用大量敏感功能和控制内部服务器)。