极牛技术实践分享活动

极牛技术实践分享系列活动是极牛联合顶级VC、技术专家,为企业、技术人提供的一种系统的线上技术分享活动。
每期不同的技术主题,和行业专家深度探讨,专注解决技术实践难点,推动技术创新,每两周的周三20点正式开课。欢迎各个机构、企业、行业专家、技术人报名参加。

本期大纲
1.介绍黑客入侵的常见思路、手段、目的。
2.通过大量案例分析企业是在哪些关键环节出了疏漏导致发生了入侵事件。

嘉宾介绍
陈宇森,北京长亭科技有限公司联合创始人、总裁
免试保送进入浙江大学计算机系,美国西北大学访问学者,从学生时代开始进入网络安全攻防领域,积攒多年实战经验。

曾组建安全攻防团队横扫国内网络安全竞赛,获奖无数,其中包括360杯大学生安全竞赛总决赛冠军、西电网络攻防竞赛冠军、首都网络信息安全日攻防竞赛冠军等。

曾在阿里巴巴安全技术峰会做技术演讲,美国 BlackHat 世界黑帽大会做技术展示等,是年轻一代网络安全人才中不可多得的领军人物。

本期技术分享从陈宇森老师的自我介绍开始,为我们详细的介绍了黑客入侵的常见思路、手段、目的,并例举大量鲜活的案例,进行了精彩的剖析。
图片描述

图片描述
现实生活中的入侵无处不在,比如前一段yahoo因为数据泄露,verizon把对其的收购价格降低了10亿美金,像yahoo这样的大公司,雇佣了很多安全人员,还是难逃一劫,那么小公司该从哪些地方做起来保护自身的数据安全呢?孙子兵法里面有句话是说,知己知彼,百战不殆,想要保护自己,得首先知道攻击者是怎么入侵的。

应用安全
目前的大多数公司都有着对外的Web应用,而且,很多对内的管理,OA、协同办公、Email、文件共享等等,都是一系列的Web应用。
图片描述
开发中最多的两类安全问题,一类叫做SQL注入,一类叫做XSS跨站脚本攻击。剩下还有很多很多细分的攻击种类,正是因为Web攻击的多样化,防护起来也不是很简单就可以解决的。
另外Web攻击的入门门槛也很低,很多时候,所谓的脚本小子拿到合适的工具,就能发起Web攻击,获取网站数据,乃至长期控制你的服务器。
那么SQL注入是什么?

图片描述
图片描述

然后如果有人来构造恶意请求。

图片描述
最终mysql拿到的语句为:
select* from users where (email = 'attack@abc.com' and password = '' or '1'='1');
是永真的,于是构成了任意用户登录。另外 SQL注入还能导致拖库,乃至服务器权限被获取等严重后果。当年流传的各种开房数据,很多泄露的公民隐私数据,都是通过这种攻击手法拿到的。
之前某个国内的第三方漏洞平台上出现过这样的漏洞:

图片描述

669个大学......所以这也是为什么现在公民数据满天飞的原因,国内互联网的安全水平平均一下的话,都不及格,应用安全状况大抵是这样的。
业务安全

图片描述

这种业务安全的问题有时候藏的更深,更难发现这种业务安全的问题有时候藏的更深,更难发现。可能是一个业务流程中的校验不严格,但能导致的后果却很恐怖。

比如找回密码问题,如果利用自动化脚本的话,可以遍历一个平台上的用户进行找回(遍历手机号、或者利用一些泄露数据中暴露出的真实用户邮箱作为用户名),登录进去之后再把用户的信息爬下来,所造成的后果和拖库一样,十分危险。
图片描述
运维安全
图片描述

不该对外网开放的端口对外开放,让别人暴力尝试密码登录进来了,比如22端口,3306端口。服务配置不当,比如之前也算是横扫互联网的redis未授权访问,导致可以盖.ssh/authorized_keys服务配置不当,比如之前也算是横扫互联网的redis未授权访问,导致可以覆盖.ssh/authorized_keys 配置信息泄露,比如用JAVA写网站,结果WEB.INF被别人下载走了,或者说config.php.bak这种东西放在了根目录。

还有就是备份文件,之前有次渗透进入国内某巨头互联网厂商,就是发现了他们一个业务的Web根目录放了一个wwwroot.tar.gz 下载下来之后分析源代码,找到漏洞,然后拿下服务器权限并进入了内网。当然了,最后把这个漏洞提交给了他们的SRC(Security Response Center)

如何解决运维问题
图片描述

另外还有人员的问题,比如员工弱密码,开发一不小心把代码传到了github之类的,只能通过好的安全管理制度以及一定的惩罚制度来杜绝。

真实案例
首先放一些某个国内第三方漏洞平台的历史截图。
图片描述
案例一:
漏洞标题:xx企业某处安全漏洞登陆Shell服务器直入内网。
这样一个漏洞显然是非常严重的,但原因却是个很低级的错误。

一台服务器向公网暴露了22端口,而且还是弱密码,使用 admin/123 即可登录。因为测试人员属于白帽子(善意的黑客),点到为止了,如果这个入口被恶意黑客发现,长久控制并对内网进一步渗透,后果不堪设想。

案例二:
漏洞标题:xx企业某站命令执行getshell直入内网root

图片描述
当年著名的shellshock漏洞,没有及时修复,导致黑客发现cgi,进行模糊测试后,直接获取到了服务器的权限。

案例三:
接下来说一下xss漏洞可以造成什么样的危害。
漏洞标题:xx网某储存xss成功钓到管理cookie

图片描述
图片描述
虽然修改了昵称只得到一个可以对自己进行xss的页面,但这个页面是别人也可以访问的,然后可以诱使相关工作人员来点击这个页面。

图片描述

然后就可以利用XSS获取到的cookie,来登录别人的账户。

都是一些比较老但很典型的案例,虽然这些问题已经修复了,但还有很多同样的问题不停地在各家互联网公司身上重现。

Q&A
Q1:A、B轮企业,如何加强企业信息安全?
A1:有一本很好的书,《互联网企业安全高级指南》,我在知乎上写过一个关于这个书的读书笔记https://zhuanlan.zhihu.com/p/...
对于A轮公司,我的建议是通过运维人员把一些基础的安全风险处理好,弱密码,不该开放的端口等,可以采用一些第三方的安全服务和产品。B轮的话在此基础上,可以招聘1-2名专职的安全人员。

Q2:一般有些业务场景,我们使用数据库自增id进行网址访问,感觉很不安全,想过改uuid可以又导致网址太长,有什么好的方法改进安全性吗?
A2:对uuid做一些截取,比如前16位之类的。可以自己跑一下 md5 或者 sha512之类的算法,我觉得在可以接受的范围内没有碰撞。

Q3:比如现在的h5,好多我们都基于ajax开发,别人访问网页源码,就可以看到链接,也很不安全,即使把代码打乱还是有被探查的可能性,有什么好的方案吗?
A3:JS可以做一定程度的混淆,google一下应该有很多方案。一个是可以有个签名算法,比如id=1&sign=xxx id=2&sign=yyy,sign的算法只有你知道,就能防止别人遍历id了。

Q4:当发现被攻击或者入侵时,可以使用哪些安全服务来应对?
A4:已经被入侵的话,首先应该第一时间了解受灾范围,并对相关日志进行备份。然后可以引入第三方的安全公司/人员来协助清理后门,还原攻击路径,乃至溯源,也可以对经济损失进行定量,然后报警。安全服务的话,现在很多公司都提供“应急响应”的服务,就是处理此类问题的。

联系讲师
北京长亭科技有限公司https://chaitin.cn/
北京长亭科技有限公司(简称长亭科技)是一家以技术为导向的安全公司,专注于解决互联网安全问题。长亭科技拥有技术水平顶尖的安全研究团队与技术研发团队,致力于发展新型网络安全技术,提高国内安全水平,接轨国际顶尖技术。

公司目前主营高度定制化的安全服务与安全产品,旨在通过发展新技术新方法,为企业提供有效的定制化安全解决方案,全面提高企业安全防御能力。对外的产品目前有基于智能语义分析的雷池Web应用防火墙、基于伪装欺骗技术的内网威胁感知系统谛听。

结尾:*此分享由长亭科技的的陈宇森在极牛线上技术分享群里所分享,有意加入的技术朋友,请在极牛公众号(ji-niu)里回复“技术分享”。


极牛
110 声望25 粉丝