| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 系统运维 -> 常见信息泄露类漏洞风险与解决方案 -> 正文阅读 |
|
[系统运维]常见信息泄露类漏洞风险与解决方案 |
1.概述信息泄露类漏洞,是指由于技术人员疏忽,在开发或者运维过程当中,把敏感信息不恰当的展示给了用户所产生的安全漏洞。 一旦所产生的信息泄露问题被恶意攻击者利用,会导致网站用户信息被泄露,甚至会导致服务器被入侵。 漏洞类型统计: 2.安全事件2014年携程被曝安全支付日志可遍历下载漏洞 导致大量用户银行卡信息泄露携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。 同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。 其中泄露的信息包括用户的:
3.常见类型1).配置文件泄露配置文件泄露是指未对项目的配置文件做屏蔽处理,导致可以用过WEB的方式得到项目的配置文件。 2).错误信息泄露由于运维和技术人员未对HTTP的500错误进行特殊处理,或者线上项目开启了Debug模式,导致直接返回了页面错误信息,暴露出了网站路径信息,网站配置信息,各种账号信息等。 3).敏感数据泄露越来越多业务采取Restful API?的形式提供数据支持,安全人员通过对网站和APP进行抓包可以轻易看到这些数据接口(即使https加密也可以抓到数据包)。 由于技术人员对接口数据缺乏脱敏操作,接口当中经常存在用户的敏感信息,比如手机号,密码,银行账号等敏感信息,造成严重的敏感信息泄露。 4).代码平台泄露Github等代码平台为研发人员带来了历史性的便捷,但同时也为企业安全带来了很大的隐患。很多技术人员追究方便,直接把公司项目或者包含公司敏感信息的代码放到托管平台,默认所有人可查看。此类问题频发,导致公司敏感信息(邮箱,数据库配置,密钥等)泄露。 黑客利用这些敏感信息,轻而易举就能突破企业安全防线,获取公司内部敏感信息,甚至入侵公司内网,让所有安全工作功亏一篑。 5).备份文件泄露技术人员为了保证项目安全,会经常对项目和数据库等在线上做备份工作。由于缺乏完整的备份机制,很多技术人员会把项目压缩包和数据库SQL文件直接备份到WEB目录。 黑客通过对网站目录进行暴力猜解,能够发现这些备份数据,并且下载到本地进行分析,从而导致严重敏感信息泄露,进一步造成网站被入侵等更严重的损害。 6).临时文件和隐藏文件泄露Vim的异常退出会生成swp文件,此类型文件会被黑客或者扫描器发现,下载查看源代码,从而造成网站信息泄露。 还有一些系统自动生成的隐藏文件,可能也会在疏忽中被上传至系统根目录,从而导致敏感信息泄露。 4.危害信息泄露漏洞的危害为两个层面。 1.很小的信息泄露问题往往会成为黑客攻破系统的导火索。一个密码泄露,一个网站路径泄露,都可能成为系统被入侵的最后一根稻草。 2.涉及面比较大的信息泄露,比如大面积用户敏感信息泄露,会导致公司的直接经济损失和名誉损失,并且是公司承担更多的法律风险。 5.修复方案1.待上线项目需要经过安全人员的测试之后才能上线 2.不把公司相关内容上传至github,网盘,云笔记等公开的平台 3.完善网站上线和备份机制,避免web目录直接备份文件的情况 4.对敏感接口进行脱敏操作 |
|
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/30 3:32:10- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |