[系统运维]常见信息泄露类漏洞风险与解决方案

1.概述

信息泄露类漏洞，是指由于技术人员疏忽，在开发或者运维过程当中，把敏感信息不恰当的展示给了用户所产生的安全漏洞。

一旦所产生的信息泄露问题被恶意攻击者利用，会导致网站用户信息被泄露，甚至会导致服务器被入侵。

漏洞类型统计：

2.安全事件

2014年携程被曝安全支付日志可遍历下载漏洞 导致大量用户银行卡信息泄露

携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。

同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

其中泄露的信息包括用户的：

• 持卡人姓名
• 持卡人身份证
• 所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）
• 所持银行卡卡号
• 所持银行卡CVV码
• 所持银行卡6位Bin(用于验证支付信息的6位数字)

3.常见类型

1).配置文件泄露

配置文件泄露是指未对项目的配置文件做屏蔽处理，导致可以用过WEB的方式得到项目的配置文件。

2).错误信息泄露

由于运维和技术人员未对HTTP的500错误进行特殊处理，或者线上项目开启了Debug模式，导致直接返回了页面错误信息，暴露出了网站路径信息，网站配置信息，各种账号信息等。

3).敏感数据泄露

越来越多业务采取Restful API?的形式提供数据支持，安全人员通过对网站和APP进行抓包可以轻易看到这些数据接口（即使https加密也可以抓到数据包）。

由于技术人员对接口数据缺乏脱敏操作，接口当中经常存在用户的敏感信息，比如手机号，密码，银行账号等敏感信息，造成严重的敏感信息泄露。

4).代码平台泄露

Github等代码平台为研发人员带来了历史性的便捷，但同时也为企业安全带来了很大的隐患。很多技术人员追究方便，直接把公司项目或者包含公司敏感信息的代码放到托管平台，默认所有人可查看。此类问题频发，导致公司敏感信息（邮箱，数据库配置，密钥等）泄露。

黑客利用这些敏感信息，轻而易举就能突破企业安全防线，获取公司内部敏感信息，甚至入侵公司内网，让所有安全工作功亏一篑。

5).备份文件泄露

技术人员为了保证项目安全，会经常对项目和数据库等在线上做备份工作。由于缺乏完整的备份机制，很多技术人员会把项目压缩包和数据库SQL文件直接备份到WEB目录。

黑客通过对网站目录进行暴力猜解，能够发现这些备份数据，并且下载到本地进行分析，从而导致严重敏感信息泄露，进一步造成网站被入侵等更严重的损害。

6).临时文件和隐藏文件泄露

Vim的异常退出会生成swp文件，此类型文件会被黑客或者扫描器发现，下载查看源代码，从而造成网站信息泄露。

还有一些系统自动生成的隐藏文件，可能也会在疏忽中被上传至系统根目录，从而导致敏感信息泄露。

4.危害

信息泄露漏洞的危害为两个层面。

1.很小的信息泄露问题往往会成为黑客攻破系统的导火索。一个密码泄露，一个网站路径泄露，都可能成为系统被入侵的最后一根稻草。

2.涉及面比较大的信息泄露，比如大面积用户敏感信息泄露，会导致公司的直接经济损失和名誉损失，并且是公司承担更多的法律风险。

5.修复方案

1.待上线项目需要经过安全人员的测试之后才能上线

2.不把公司相关内容上传至github，网盘，云笔记等公开的平台

3.完善网站上线和备份机制，避免web目录直接备份文件的情况

4.对敏感接口进行脱敏操作