昨日， 烏云平臺(tái)發(fā)布了2014年十大安全風(fēng)險(xiǎn)： 互聯(lián)網(wǎng)泄密、不安全的第三方應(yīng)用、 系統(tǒng)錯(cuò)誤/邏輯錯(cuò)誤帶來(lái)的暴力破解、SQL注入、 XSS等成為2014年最大的安全風(fēng)險(xiǎn)。

No.1 互聯(lián)網(wǎng)泄密事件/撞庫(kù)攻擊

以大量的用戶數(shù)據(jù)為基礎(chǔ)，利用用戶相同的注冊(cè)習(xí)慣（相同的用戶名和密碼），嘗試登陸其它的網(wǎng)站。2011年，互聯(lián)網(wǎng)泄密事件引爆了整個(gè)信息安全界，導(dǎo)致傳統(tǒng)的用戶+密碼認(rèn)證的方式已無(wú)法滿足現(xiàn)有安全需求。

泄露的數(shù)據(jù)包括：天涯：31,758,468條，CSDN：6,428,559條，微博：4,442,915條，人人網(wǎng)：4,445,047條，貓撲：2,644,726條，178：9,072,819條，嘟嘟牛：13,891,418條，7K7K：18,282,404條，共1.2億條。

經(jīng)典案例：CSDN數(shù)據(jù)庫(kù)泄露，大量用戶真實(shí)賬號(hào)密碼外泄：

CSDN社區(qū)網(wǎng)站被入侵，近600w用戶賬號(hào)密碼被泄露，黑客將連接公布到互聯(lián)網(wǎng)，導(dǎo)致任何人可以獲得該數(shù)據(jù)，數(shù)據(jù)真實(shí)有效。該事件可能對(duì)各大互聯(lián)網(wǎng)公司包括新浪微博，企業(yè)安全等造成嚴(yán)重威脅，嚴(yán)重建議用戶修改賬號(hào)密碼，禁止企業(yè)用戶使用內(nèi)部辦公郵箱在外部注冊(cè)以及各處使用同一密碼。

No.2 引用不安全的第三方應(yīng)用

第三方開源應(yīng)用、組件、庫(kù)、框架和其他軟件模塊。過(guò)去幾年中，安全領(lǐng)域在如何處理漏洞的評(píng)估方面取得了長(zhǎng)足的進(jìn)步，幾乎每一個(gè)業(yè)務(wù)系統(tǒng)都越來(lái)越多地使用了第三方應(yīng)用，從而導(dǎo)致系統(tǒng)被入侵的威脅也隨之增加。由于第三方應(yīng)用平行部署在業(yè)務(wù)系統(tǒng)之上，如果一個(gè)易受攻擊的第三方應(yīng)用被利用，這種攻擊將導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露或系統(tǒng)淪陷。

經(jīng)典案例：淘寶主站運(yùn)維不當(dāng)導(dǎo)致可以登錄隨機(jī)用戶并且獲取服務(wù)器敏感信息：

針對(duì)Openssl heartbeat漏洞的exp已經(jīng)流出，經(jīng)過(guò)測(cè)試可以dump出任何使用openssl庫(kù)進(jìn)程的內(nèi)存數(shù)據(jù)，每次64kb，位置隨機(jī)，但是由于exp起來(lái)十分容易速度很快并且可以多線程，一會(huì)就獲得了幾千個(gè)用戶的cookie，隨機(jī)抽取了幾個(gè)發(fā)現(xiàn)可以任意登錄。經(jīng)過(guò)大量測(cè)試，該漏洞不但能獲取cookie等信息，還能獲取web應(yīng)用的源碼，web服務(wù)器的配置，包括ssl 證書私鑰和加密私鑰的key。正在針對(duì)大量https服務(wù)器做測(cè)試，獲取私鑰只是時(shí)間問(wèn)題，建議淘寶全站更換SSL證書。

No.3 系統(tǒng)錯(cuò)誤/邏輯缺陷帶來(lái)的暴力猜解

由于應(yīng)用系統(tǒng)自身的業(yè)務(wù)特性，會(huì)開放許多接口用于處理數(shù)據(jù)，如果接口或功能未進(jìn)行嚴(yán)謹(jǐn)?shù)?/span>安全控制或判斷，將會(huì)促進(jìn)駭客加快攻擊應(yīng)用程序的過(guò)程，大大降低了駭客發(fā)現(xiàn)威脅的人力成本。 隨著模塊化的自動(dòng)化攻擊工具包越來(lái)越趨向完善，將給應(yīng)用帶來(lái)最大的威脅。

經(jīng)典案例：大公司詬病系列#1 重置京東任意用戶密碼：

京東員工郵箱登陸外網(wǎng)可訪問(wèn)，結(jié)果導(dǎo)致暴力猜解出眾多員工郵箱弱密碼：大公司人員的習(xí)慣研究，公司做得越來(lái)越大的時(shí)候，總會(huì)出現(xiàn)那么幾個(gè)安全意識(shí)薄弱的人員（俗稱豬一樣的隊(duì)友），他們往往會(huì)做出一些讓人無(wú)法理解的事情，比如：直接點(diǎn)擊郵件內(nèi)的 EXE 附件，或者使用和用戶名一樣的密碼，或者用戶名+當(dāng)前年份的密碼。

No.4 敏感信息/配置信息泄露

由于沒(méi)有一個(gè)通用標(biāo)準(zhǔn)的防御規(guī)則保護(hù)好中間件配置信息、DNS信息、信息、用戶信息、源碼備份文件、版本管理工具信息、系統(tǒng)錯(cuò)誤信息和敏感地址信息（后臺(tái)或測(cè)試地址）的泄露，攻擊者可能會(huì)通過(guò)收集這些保護(hù)不足的數(shù)據(jù)，利用這些信息對(duì)系統(tǒng)實(shí)施進(jìn)一步的攻擊。

經(jīng)典案例：攜程安全支付日志可遍歷下載，導(dǎo)致大量用戶銀行卡信息泄露：

用戶敏感信息放在Web目錄，導(dǎo)致可以直接下載：攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能，使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器，類似IIS或Apache的訪問(wèn)日志，記錄URL POST內(nèi)容。同時(shí)因?yàn)楸４嬷Ц度罩镜姆?wù)器未做校嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過(guò)程中的調(diào)試信息可被任意駭客讀取。其中泄露的信息包括用戶的：持卡人姓名、持卡人身份證、所持銀行卡類別、所持銀行卡卡號(hào)、所持銀行卡CVV碼、所持銀行卡6位Bin（用于驗(yàn)證支付信息的6位數(shù)字）。

No.5 應(yīng)用錯(cuò)誤配置/默認(rèn)配置

數(shù)應(yīng)用程序、中間件、服務(wù)端程序在部署前，未針對(duì)安全基線缺乏嚴(yán)格的安全配置定義和部署，將為攻擊者實(shí)施進(jìn)一步攻擊帶來(lái)便利。常見風(fēng)險(xiǎn)：flash默認(rèn)配置，Access數(shù)據(jù)庫(kù)默認(rèn)地址，WebDav配置錯(cuò)誤，Rsync錯(cuò)誤配置，應(yīng)用服務(wù)器、Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器自帶管理功能默認(rèn)后臺(tái)和管理口令。

經(jīng)典案例：敏感信息泄露系列#6 服務(wù)端默認(rèn)配置導(dǎo)致海量用戶信息泄露：

備份數(shù)據(jù)庫(kù)可以直接瀏覽到并下載：由于酷狗某臺(tái)服務(wù)器IIS配置錯(cuò)誤，導(dǎo)致任意HTTP請(qǐng)求均可列出服務(wù)器上的WEB目錄，致使駭客可下載到任意數(shù)據(jù)或文件，駭客可以通過(guò)收集或挖掘這些保護(hù)不足的數(shù)據(jù)，利用這些信息對(duì)酷狗信息系統(tǒng)實(shí)施進(jìn)一步的攻擊。通過(guò)互聯(lián)網(wǎng)掃描，發(fā)現(xiàn)酷狗用戶數(shù)據(jù)庫(kù)備份文件可直接通過(guò)互聯(lián)網(wǎng)公開下載，從而造成海量用戶信息泄露（目測(cè)酷狗有3.6億用戶）！

No.6 SQL注入漏洞

注入缺陷不僅僅局限于SQL，還包括命令、代碼、變量、HTTP響應(yīng)頭、XML等注入。 程序員在編寫代碼的時(shí)候，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷、審計(jì)，當(dāng)不可信的數(shù)據(jù)作為命令或查詢的一部分被發(fā)送到解釋器時(shí)，注入就會(huì)發(fā)生。攻擊者的惡意數(shù)據(jù)欺騙解釋器，讓它執(zhí)行意想不到的命令或者訪問(wèn)沒(méi)有準(zhǔn)確授權(quán)的數(shù)據(jù)。

經(jīng)典案例：蝦米網(wǎng)SQL注入，1390萬(wàn)用戶數(shù)據(jù)…整個(gè)淪陷：

作為一個(gè)可以直接影響到核心數(shù)據(jù)的經(jīng)典漏洞，至今仍然頻繁出現(xiàn)在人們的視野中：1390萬(wàn)用戶數(shù)據(jù)、交易數(shù)據(jù)、主站數(shù)據(jù)，整個(gè)淪陷。

No.7 XSS跨站腳本攻擊/CSRF

屬于代碼注入的一種，XSS發(fā)生在當(dāng)應(yīng)用程序獲得不可信的數(shù)據(jù)并發(fā)送到瀏覽器或支持用戶端腳本語(yǔ)言容器時(shí)，沒(méi)有做適當(dāng)?shù)男ｒ?yàn)或轉(zhuǎn)義。XSS能讓攻擊者在受害者的瀏覽器上執(zhí)行腳本行，從而實(shí)現(xiàn)劫持用戶會(huì)話、破壞網(wǎng)站Dom結(jié)構(gòu)或者將受害者重定向到惡意網(wǎng)站。

經(jīng)典案例：一個(gè)可大規(guī)模悄無(wú)聲息竊取淘寶/支付寶賬號(hào)與密碼的漏洞 （埋雷式攻擊附帶視頻演示）：

XSS攻擊最希望達(dá)到：隱蔽，長(zhǎng)期控制，此漏洞都達(dá)到了。有些漏洞，如果只是從技術(shù)層面來(lái)說(shuō)明問(wèn)題，廠商似乎感覺(jué)不到它的危害。整個(gè)漏洞利用過(guò)程也錄了個(gè)視頻，奉獻(xiàn)給普通網(wǎng)民，廠商努力修復(fù)，我們網(wǎng)民自己也得增強(qiáng)安全意識(shí)，那些抱著“這么大公司不可能有大漏洞”之幻想的網(wǎng)民們?cè)撔研蚜恕?/span>

No.8 未授權(quán)訪問(wèn)/權(quán)限繞過(guò)

多數(shù)業(yè)務(wù)系統(tǒng)應(yīng)用程序僅僅只在用戶客戶端校驗(yàn)授權(quán)信息，或者干脆不做授權(quán)使用的功能。

經(jīng)典案例：搜狗某重要后臺(tái)未授權(quán)訪問(wèn)（涉及重要功能及統(tǒng)計(jì)信息）：

重要功能的后臺(tái)一定要安全！

No.9 賬戶體系控制不嚴(yán)/越權(quán)操作

與認(rèn)證和會(huì)話管理相關(guān)的應(yīng)用程序功能常常會(huì)被攻擊者利用，攻擊者通過(guò)組建的社會(huì)工程數(shù)據(jù)庫(kù)，檢索用戶密碼，或者通過(guò)信息泄露獲得的密鑰、會(huì)話token、GSID和利用其它信息來(lái)繞過(guò)訪問(wèn)控制不屬于自己的數(shù)據(jù)。如果服務(wù)端未對(duì)來(lái)自客戶端的請(qǐng)求進(jìn)行身份屬主校驗(yàn)，攻擊者可通過(guò)偽造請(qǐng)求，越權(quán)竊取所有業(yè)務(wù)系統(tǒng)的數(shù)據(jù)。

經(jīng)典案例：樂(lè)視網(wǎng)2200萬(wàn)用戶任意用戶登錄：

修改任意uid即可， 越權(quán)登陸任意用戶。

No.10 內(nèi)部重要資料/文檔外泄

無(wú)論是企業(yè)還是個(gè)人，越來(lái)越依賴于對(duì)電子設(shè)備的存儲(chǔ)、處理和傳輸信息的能力。 企業(yè)重要的數(shù)據(jù)信息，都以文件的形式存儲(chǔ)在電子設(shè)備或數(shù)據(jù)中心上，企業(yè)雇員或程序員為了辦公便利，常常將涉密數(shù)據(jù)拷貝至移動(dòng)存儲(chǔ)介質(zhì)或上傳至網(wǎng)絡(luò)，一旦信息外泄，將直接加重企業(yè)安全隱患發(fā)生的概率。

經(jīng)典案例：淘寶敏感信息泄漏可進(jìn)入某重要后臺(tái)（使用大量敏感功能和控制內(nèi)部服務(wù)器）：

后臺(tái)能干嘛：給支付寶賬號(hào)充值、任意支付寶賬號(hào)認(rèn)證、任意支付寶淘寶綁定、為訂單付款、為訂單發(fā)貨、為訂單退款、解綁用戶支付寶、刪除支付寶賬號(hào)、修改訂單價(jià)格、給訂單包郵、升級(jí)店鋪等級(jí)、給寶貝添加評(píng)、價(jià)修改用戶密碼、修改用戶手機(jī)號(hào)、刪除用戶、修改用戶身份證號(hào)碼、刪除購(gòu)物車、實(shí)時(shí)查詢、注冊(cè)手機(jī)的校驗(yàn)碼、處罰會(huì)員、修改賣家好評(píng)率、品牌授權(quán)、創(chuàng)建天貓品牌等上百項(xiàng)重要功能。