奇虎360高级安全研究员李福：别让黑客毁掉运维

《奇虎360高级安全研究员李福：别让黑客毁掉运维》要点：
本文介绍了奇虎360高级安全研究员李福：别让黑客毁掉运维，希望对您有用。如果有疑问，可以联系我们。

作者简介：

李福

奇虎360 高级安全研究员

360 WEB攻防团队 0keeTeam 成员,拥有多年安全实战经验,擅长渗透测试与漏洞挖掘.专注于安全评估,对各种漏洞利用和场景有独到的见解.BlackHat 2016演讲者.

前言

作者来自360信息安全部的 0KeeTeam,主要做企业级的深度测试,挖掘运维基础服务的漏洞,并通过漏洞做企业级的安全评估.

1、常见的安全风险

本文以攻击者的角度看,主要写一些可能因为运维的问题会导致攻击成功.比如说弱口令问题,听起来比较 low,但实际问题一直存在.

1.1 弱口令危害安全的入口之一

弱口令对于强密码,经常有人问我,怎样的密码才叫强? “密码要求8位以上,大小写加数字和字符,为什么还说这是弱口令”.

针对键盘序列生成的密码有多少人在使用呢? 如下图所示,左边的密码规律很明显,对照右边的键盘来看,就是按照这个键盘区位产生的密码,同类型的组合还有很多.

这个组合有限的,而且很多人也有这个习惯.攻击者在攻击企业的时候,重要的入口就是邮箱,OA 这些系统会使用这样的密码.那么弱口令的问题就是一个大问题了.

常见的密码组合,这边有四个规则：

第一种,修改密码的时候说不包含数字,不符合要求,后面加 123 或者 321 符合要求.

第二种,有可能说前面的长度不够再加长一点,123456 都是有可能的.

第三种,有可能运维提示,密码今年过期了,只能再修改一个,为了方便记忆修改加一个年份,如 2017 2016

第四种,密码组合加公司域名,大家可以想像自己的密码是不是包含公司的域名.

初始化的问题.大家看到图中,根据不同人员的类型设置测试密码.我们作为攻击者首先关注到了外包人员初始化密码的规则.

密码最简单的就是出生年月,这个攻击实现起来很简单,暴露破解账号,加上有限的生日密码字典.

1.2 弱口令扩大的安全伤害

除弱口令之外,还有信息收集.现有密码泄露情况来分析,可以分析出大的一些规则.有的人喜欢把生日放在密码组合里面,有的人喜欢把公司域名放在里面.

还有通过尝试,攻击者可以看到密码,从而进入比较重要的系统.有的人说密码比较长,很安全,我说能不能谦虚一点,他说我的密码 98% 的黑客是攻破不了的.

但当你100个人说这样的话,概率还是不足1/3的.当500个员工说密码比较强的时候,这个可能性是趋于零的.

有个互联网的公开案例,某银行因为弱口令导致服务器被攻破.攻击者猜出口令,user 是人名的拼音.

中国的大环境下不同的姓有可能拼音一样,经过相关数据统计可以统计前500,前1000使用任命组合转化成拼音,我们把它作为用户名的字典.

当时攻击者利用口令进入到系统以后,拿到服务器的权限,攻击者通过这台服务器作为入侵银行的跳板.

弱口令的问题一直存在,有必要引起各位的重视,不能掉以轻心.

2、Devops面临的安全风险

2.1 关于Github的一些问题

我没有写代码层面和技术层面的安全问题,我觉得系统漏洞和人工造成的漏洞,大家都是需要负责的.

聊一聊敏感信息泄露,在过去很长的时间里,大家可以利用 GitHub 随时随地方便修改代码

上图是运维,把自己的内容上传到 GitHub 上,代码中涉及到账号密码和数据库配置,还有可能涉及到有哪一些资产.

我上传的可以保证没有漏洞,密码都去掉了.关键性的算法都去掉,但有的黑客会仔细的审计你的代码风格,挖掘代码中的漏洞,然后再攻击系统.

我们现在做过长期监控,通过关键字搜索和长期的账户监控,我们会及时地发现员工上传代码到 GitHub,有敏感影响的我们会及时地联系他删除.

git 泄露,使用了 git 攻击后会留下 git 目录.攻击者利用现场的工具可以获取部分的代码,甚至是整个网站的源代码.DS-Store 会泄露路径的信息.

idea 对攻击者有非常有用的点,git、son 都是代码上传的工具,利用这两种方式可以获取网站的原代码.通过交换文件,可以完全地还原文件的内容.

特别巧的是,通常有人会去对你数据库配送文件.通过还原科技获取到数据库密码.代码备份,我打一个包,以日期命名或者当前的目录命名.

不管是数据库程序,在攻击者的眼里是很容易扫描到代码和数据库数据的.通过代码审计漏洞,然后通过代码获取敏感连接或者获取关键性的算法.

2.2 代码和流程问题

代码和流程问题.很多的开发人员说自己开发代码,为了更加方便在代码加入开关,看有哪一些数据输出输入.

测试完成以后没有问题就上线,代码还是线上代码.因为这个开关没有人会注意,但黑客倾向于发现这样的问题,为了方便,开关可能放在 Cookies 里面,或者在 git 请求里面.

有一个典型的例子,开源的 CMS 对外发布一个版本,在用户系统里每个人有用户空间.UID=1,这是用户空间.然后 git 请求下,会把用户信息给你打印出来.

数据库报错的信息,可以清楚地知道这个领域,也可以猜测你的数据库结构,知道你存储了哪一些东西,利用这些东西可以更加深层地挖掘漏洞.

2.3 其他的信息泄露风险

信息泄露另外的途径就是不可控的途径,我也不知道自己的信息和密码在互联网上有多少版本.

有一次通过密码泄露查到了初中时候使用的 QQ 号密码.我觉得比较惊喜和惊讶,对员工的攻击面是非常广的.很多人使用公司邮箱注册密码,我攻击企业肯定通过数据公开查询对比密码,然后再针对员工去攻击.

这个员工可能在互联网上有两三套密码,我都解决掉,在他的邮箱和网盘发现了敏感的内容.公司某某的电话多少,公司的通信录密码多少.

员工个人安全也是我们专注的,因为有人说自己是 360 的,个人邮箱和网盘被攻破了,我们认为这是安全的问题,因为网盘存储的内容和我们360相关.

（编辑：ASP站长网）