網(wǎng)站遭到攻擊以及各種數(shù)據(jù)泄露事故(例如Anonymous攻擊排名前100的大學(xué))讓企業(yè)疑惑這些攻擊者是如何侵入系統(tǒng)以及為什么這么容易攻擊。這些遭受攻擊的不同企業(yè)中存在哪些常見漏洞?攻擊者最常利用的漏洞是哪些?

[[100920]]

我們詢問了很多滲透測試人員，他們通常能夠利用哪些主要漏洞，這些滲透測試人員有些在大學(xué)和企業(yè)環(huán)境工作，有些是每周為各種類型客戶執(zhí)行滲透測試的全職安全顧問。

這些滲透測試人員幾乎都有類似的漏洞清單。每份清單的最前面都是SQL注入、跨站腳本(XSS)或者不安全的網(wǎng)站。令人驚訝嗎?不盡然。通常情況下，Anonymous選擇入侵的方法主要是通過SQL注入。一旦web服務(wù)器和底層數(shù)據(jù)庫服務(wù)器受到破壞，就很容易利用這些服務(wù)器的信任關(guān)系，并存儲密碼來攻擊其他目標(biāo)。

Include Security公司的高級安全分析師Christian von Kleist表示，在外部滲透測試中，web服務(wù)器通常是他最先注意到的。他表示：“我的很多滲透測試獲得成功，只是因?yàn)槲夷軌蚶镁W(wǎng)絡(luò)中不安全的web應(yīng)用程序。”

當(dāng)von Kleist被問到為什么他認(rèn)為web應(yīng)用程序通常布滿漏洞時，他表示，那些創(chuàng)建這些軟件和保護(hù)網(wǎng)絡(luò)的人員之間存在斷層。“他們獨(dú)立工作，在開發(fā)軟件過程中很少涉及安全性，最終結(jié)果就是開發(fā)過程中的漏洞將部署到生產(chǎn)環(huán)境。”

還有哪些漏洞榜上有名呢?包括應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備和內(nèi)容管理系統(tǒng)暴露的行政和管理界面，其次是設(shè)備打印機(jī)和視頻會議系統(tǒng)泄漏的信息;過時的和/或不受支持的軟件，通常還具有不安全的默認(rèn)配置;以及暴露的web服務(wù)。

Secure Ideas公司高級安全顧問Kevin Johnson表示：“我們經(jīng)常會發(fā)現(xiàn)，行政或管理界面能夠被外部攻擊者看到。”一些例子包括：JBoss、Tomcat和ColdFusion的基于web的管理界面，以及SSH和SNMP等管理服務(wù)。

Johnson表示，經(jīng)常被安裝的軟件數(shù)據(jù)包包括ColdFusion或者JBoss服務(wù)器，而沒有意識到這些服務(wù)器包括管理員控制臺。Christian表示：“這些管理控制臺通常使用默認(rèn)登錄憑證，或者存在常見漏洞。”

除了意外暴露的管理界面，滲透測試者還利用了來自互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備泄露的信息，包括打印機(jī)和視頻會議系統(tǒng)泄露的信息。由于打印機(jī)和視頻會議系統(tǒng)通常使用默認(rèn)登錄憑證或者干脆沒有設(shè)置密碼，攻擊者可以竊取用戶名、密碼和內(nèi)部IP地址，甚至對內(nèi)部系統(tǒng)發(fā)動攻擊。

去年，Rapid 7公司的首席安全觀HD Moore演示了如何通過網(wǎng)絡(luò)掃描來輕松地識別視頻會議系統(tǒng)。他發(fā)現(xiàn)互聯(lián)網(wǎng)中5000個系統(tǒng)正在等待自動接聽呼叫。其中一些，他能夠“竊聽附近的談話以及記錄周圍環(huán)境的視頻—甚至查看20英尺外筆記本屏幕上的電子郵件。”

網(wǎng)站遭到攻擊以及各種數(shù)據(jù)泄露事故(例如Anonymous攻擊排名前100的大學(xué))讓企業(yè)疑惑這些攻擊者是如何侵入系統(tǒng)以及為什么這么容易攻擊。這些遭受攻擊的不同企業(yè)中存在哪些常見漏洞?攻擊者最常利用的漏洞是哪些?

我們詢問了很多滲透測試人員，他們通常能夠利用哪些主要漏洞，這些滲透測試人員有些在大學(xué)和企業(yè)環(huán)境工作，有些是每周為各種類型客戶執(zhí)行滲透測試的全職安全顧問。

這些滲透測試人員幾乎都有類似的漏洞清單。每份清單的最前面都是SQL注入、跨站腳本(XSS)或者不安全的網(wǎng)站。令人驚訝嗎?不盡然。通常情況下，Anonymous選擇入侵的方法主要是通過SQL注入。一旦web服務(wù)器和底層數(shù)據(jù)庫服務(wù)器受到破壞，就很容易利用這些服務(wù)器的信任關(guān)系，并存儲密碼來攻擊其他目標(biāo)。

Include Security公司的高級安全分析師Christian von Kleist表示，在外部滲透測試中，web服務(wù)器通常是他最先注意到的。他表示：“我的很多滲透測試獲得成功，只是因?yàn)槲夷軌蚶镁W(wǎng)絡(luò)中不安全的web應(yīng)用程序。”

當(dāng)von Kleist被問到為什么他認(rèn)為web應(yīng)用程序通常布滿漏洞時，他表示，那些創(chuàng)建這些軟件和保護(hù)網(wǎng)絡(luò)的人員之間存在斷層。“他們獨(dú)立工作，在開發(fā)軟件過程中很少涉及安全性，最終結(jié)果就是開發(fā)過程中的漏洞將部署到生產(chǎn)環(huán)境。”

還有哪些漏洞榜上有名呢?包括應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備和內(nèi)容管理系統(tǒng)暴露的行政和管理界面，其次是設(shè)備打印機(jī)和視頻會議系統(tǒng)泄漏的信息;過時的和/或不受支持的軟件，通常還具有不安全的默認(rèn)配置;以及暴露的web服務(wù)。

Secure Ideas公司高級安全顧問Kevin Johnson表示：“我們經(jīng)常會發(fā)現(xiàn)，行政或管理界面能夠被外部攻擊者看到。”一些例子包括：JBoss、Tomcat和ColdFusion的基于web的管理界面，以及SSH和SNMP等管理服務(wù)。

Johnson表示，經(jīng)常被安裝的軟件數(shù)據(jù)包包括ColdFusion或者JBoss服務(wù)器，而沒有意識到這些服務(wù)器包括管理員控制臺。Christian表示：“這些管理控制臺通常使用默認(rèn)登錄憑證，或者存在常見漏洞。”

除了意外暴露的管理界面，滲透測試者還利用了來自互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備泄露的信息，包括打印機(jī)和視頻會議系統(tǒng)泄露的信息。由于打印機(jī)和視頻會議系統(tǒng)通常使用默認(rèn)登錄憑證或者干脆沒有設(shè)置密碼，攻擊者可以竊取用戶名、密碼和內(nèi)部IP地址，甚至對內(nèi)部系統(tǒng)發(fā)動攻擊。

去年，Rapid 7公司的首席安全觀HD Moore演示了如何通過網(wǎng)絡(luò)掃描來輕松地識別視頻會議系統(tǒng)。他發(fā)現(xiàn)互聯(lián)網(wǎng)中5000個系統(tǒng)正在等待自動接聽呼叫。其中一些，他能夠“竊聽附近的談話以及記錄周圍環(huán)境的視頻—甚至查看20英尺外筆記本屏幕上的電子郵件。”

Secure Ideas公司的Johnson表示，最糟糕的事情之一是web服務(wù)或者業(yè)務(wù)以及端點(diǎn)的暴露。

“這些服務(wù)通常由業(yè)務(wù)合作伙伴或者應(yīng)用程序使用，例如營銷部門使用的移動應(yīng)用程序，”他表示，“由于這些端點(diǎn)被設(shè)計為使用客戶端應(yīng)用程序來通信，而不是直接通過用戶，開發(fā)人員通常認(rèn)為這些只需要較少的控制，因?yàn)閼?yīng)用程序時‘值得信賴的’。”

為什么大家擔(dān)心暴露的web服務(wù)?Johnson表示，缺乏安全控制讓它們很容易成為攻擊者的切入點(diǎn)。在他們的滲透測試中，他們可以直接展示被成功利用的漏洞帶來的業(yè)務(wù)影響。

當(dāng)然，最大的問題是企業(yè)應(yīng)該如何解決這些問題，這樣他們就不會成為攻擊目標(biāo)?在幾乎所有情況下，知道網(wǎng)絡(luò)上有些什么是至關(guān)重要的。安全團(tuán)隊(duì)?wèi)?yīng)該定期進(jìn)行網(wǎng)絡(luò)掃描以識別新的系統(tǒng)和服務(wù)。

企業(yè)存在的常見問題是不知道哪些是外部可以訪問的。除了定期的漏洞掃描(以發(fā)現(xiàn)最常見的漏洞)外，企業(yè)需要采取措施以掃描所有新主機(jī)和服務(wù)的面向外部的IP地址。除了定期掃描，在web應(yīng)用程序的開發(fā)、采購和部署過程，應(yīng)該更多地考慮安全因素，但我們都知道，這件事情說起來容易，做起來難。