IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> 常见信息泄露类漏洞风险与解决方案 -> 正文阅读

[系统运维]常见信息泄露类漏洞风险与解决方案

1.概述

信息泄露类漏洞,是指由于技术人员疏忽,在开发或者运维过程当中,把敏感信息不恰当的展示给了用户所产生的安全漏洞。

一旦所产生的信息泄露问题被恶意攻击者利用,会导致网站用户信息被泄露,甚至会导致服务器被入侵。

漏洞类型统计:

2.安全事件

2014年携程被曝安全支付日志可遍历下载漏洞 导致大量用户银行卡信息泄露

携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。

同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

其中泄露的信息包括用户的:

  • 持卡人姓名
  • 持卡人身份证
  • 所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
  • 所持银行卡卡号
  • 所持银行卡CVV码
  • 所持银行卡6位Bin(用于验证支付信息的6位数字)

3.常见类型

1).配置文件泄露

配置文件泄露是指未对项目的配置文件做屏蔽处理,导致可以用过WEB的方式得到项目的配置文件。

2).错误信息泄露

由于运维和技术人员未对HTTP的500错误进行特殊处理,或者线上项目开启了Debug模式,导致直接返回了页面错误信息,暴露出了网站路径信息,网站配置信息,各种账号信息等。

3).敏感数据泄露

越来越多业务采取Restful API?的形式提供数据支持,安全人员通过对网站和APP进行抓包可以轻易看到这些数据接口(即使https加密也可以抓到数据包)。

由于技术人员对接口数据缺乏脱敏操作,接口当中经常存在用户的敏感信息,比如手机号,密码,银行账号等敏感信息,造成严重的敏感信息泄露。

4).代码平台泄露

Github等代码平台为研发人员带来了历史性的便捷,但同时也为企业安全带来了很大的隐患。很多技术人员追究方便,直接把公司项目或者包含公司敏感信息的代码放到托管平台,默认所有人可查看。此类问题频发,导致公司敏感信息(邮箱,数据库配置,密钥等)泄露。

黑客利用这些敏感信息,轻而易举就能突破企业安全防线,获取公司内部敏感信息,甚至入侵公司内网,让所有安全工作功亏一篑。

5).备份文件泄露

技术人员为了保证项目安全,会经常对项目和数据库等在线上做备份工作。由于缺乏完整的备份机制,很多技术人员会把项目压缩包和数据库SQL文件直接备份到WEB目录。

黑客通过对网站目录进行暴力猜解,能够发现这些备份数据,并且下载到本地进行分析,从而导致严重敏感信息泄露,进一步造成网站被入侵等更严重的损害。

6).临时文件和隐藏文件泄露

Vim的异常退出会生成swp文件,此类型文件会被黑客或者扫描器发现,下载查看源代码,从而造成网站信息泄露。

还有一些系统自动生成的隐藏文件,可能也会在疏忽中被上传至系统根目录,从而导致敏感信息泄露。

4.危害

信息泄露漏洞的危害为两个层面。

1.很小的信息泄露问题往往会成为黑客攻破系统的导火索。一个密码泄露,一个网站路径泄露,都可能成为系统被入侵的最后一根稻草。

2.涉及面比较大的信息泄露,比如大面积用户敏感信息泄露,会导致公司的直接经济损失和名誉损失,并且是公司承担更多的法律风险。

5.修复方案

1.待上线项目需要经过安全人员的测试之后才能上线

2.不把公司相关内容上传至github,网盘,云笔记等公开的平台

3.完善网站上线和备份机制,避免web目录直接备份文件的情况

4.对敏感接口进行脱敏操作

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2021-09-10 11:14:59  更:2021-09-10 11:15:16 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/30 3:32:10-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码