昨天，烏云平臺發(fā)布了2014年10大安全風險，互聯(lián)網(wǎng)泄密、不安全的第三方應用、系統(tǒng)錯誤/邏輯錯誤帶來的暴力破解、SQL注入、XSS等成為2014年最大的安全風險。

[[117642]]

A1-互聯(lián)網(wǎng)泄密事件/撞庫攻擊

以大量的用戶數(shù)據(jù)為基礎，利用用戶相同的注冊習慣(相同的用戶名和密碼)，嘗試登陸其它的網(wǎng)站。2011年，互聯(lián)網(wǎng)泄密事件引爆了整個信息安全界，導致傳統(tǒng)的用戶+密碼認證的方式已無法滿足現(xiàn)有安全需求。泄露數(shù)據(jù)包括：天涯：31,758,468條，CSDN：6,428,559條，微博：4,442,915條，人人網(wǎng)：4,445,047條，貓撲：2,644,726條，178：9,072,819條，嘟嘟牛：13,891,418條，7K7K：18,282,404條，共1.2億條。經(jīng)典案例：

WooYun: CSDN數(shù)據(jù)庫泄露，大量用戶真實賬號密碼外泄

11年底CSDN在烏云上被披露數(shù)據(jù)庫已經(jīng)泄露，用戶的用戶名以及明文密碼在互聯(lián)網(wǎng)上流傳開，揭開了互聯(lián)網(wǎng)數(shù)據(jù)庫泄露事件冰山一角，陸續(xù)多家大型網(wǎng)站被竊取的數(shù)據(jù)庫開始在互聯(lián)網(wǎng)上流傳。

A2-引用不安全的第三方應用

第三方開源應用、組件、庫、框架和其他軟件模塊; 過去幾年中，安全領域在如何處理漏洞的評估方面取得了長足的進步，幾乎每一個業(yè)務系統(tǒng)都越來越多地使用了第三方應用，從而導致系統(tǒng)被入侵的威脅也隨之增加。由于第三方應用平行部署在業(yè)務系統(tǒng)之上，如果一個易受攻擊的第三方應用被利用，這種攻擊將導致嚴重的數(shù)據(jù)失竊或系統(tǒng)淪陷。經(jīng)典案例：

WooYun: 淘寶主站運維不當導致可以登錄隨機用戶并且獲取服務器敏感信息

OpenSSL漏洞的公開，導致眾多大型互聯(lián)網(wǎng)廠商遭殃。

A3-系統(tǒng)錯誤/邏輯缺陷帶來的暴力猜解

由于應用系統(tǒng)自身的業(yè)務特性，會開放許多接口用于處理數(shù)據(jù)，如果接口或功能未進行嚴謹?shù)陌踩刂苹蚺袛?，將會促進駭客加快攻擊應用程序的過程，大大降低了駭客發(fā)現(xiàn)威脅的人力成本。 隨著模塊化的自動化攻擊工具包越來越趨向完善，將給應用帶來最大的威脅。經(jīng)典案例：

WooYun: 大公司詬病系列#1 重置京東任意用戶密碼

京東員工郵箱登陸外網(wǎng)可訪問，導致暴力猜解出眾多員工郵箱弱密碼。

A4-敏感信息/配置信息泄露

由于沒有一個通用標準的防御規(guī)則保護好中間件配置信息、DNS信息、業(yè)務數(shù)據(jù)信息、用戶信息、源碼備份文件、版本管理工具信息、系統(tǒng)錯誤信息和敏感地址信息(后臺或測試地址)的泄露，攻擊者可能會通過收集這些保護不足的數(shù)據(jù)，利用這些信息對系統(tǒng)實施進一步的攻擊。經(jīng)典案例：

WooYun: 攜程安全支付日志可遍歷下載 導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)

用戶敏感信息放在Web目錄，導致可以直接下載。

A5-應用錯誤配置/默認配置

數(shù)應用程序、中間件、服務端程序在部署前，未針對安全基線缺乏嚴格的安全配置定義和部署，將為攻擊者實施進一步攻擊帶來便利。常見風險：flash默認配置，Access數(shù)據(jù)庫默認地址，WebDav配置錯誤，Rsync錯誤配置，應用服務器、Web服務器、數(shù)據(jù)庫服務器自帶管理功能默認后臺和管理口令。經(jīng)典案例：

WooYun: 敏感信息泄露系列#6 服務端默認配置導致海量用戶信息泄露 (目測酷狗有3.6億用戶)

備份數(shù)據(jù)庫可以直接瀏覽到并下載。

A6-SQL注入漏洞

注入缺陷不僅僅局限于SQL，還包括命令、代碼、變量、HTTP響應頭、XML等注入。 程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，當不可信的數(shù)據(jù)作為命令或查詢的一部分被發(fā)送到解釋器時，注入就會發(fā)生。攻擊者的惡意數(shù)據(jù)欺騙解釋器，讓它執(zhí)行意想不到的命令或者訪問沒有準確授權(quán)的數(shù)據(jù)。經(jīng)典案例：

WooYun: 蝦米網(wǎng)SQL注入，1400萬用戶數(shù)據(jù)，各種交易數(shù)據(jù)，主站數(shù)據(jù)，均可拖，緊急!!

作為一個可以直接影響到核心數(shù)據(jù)的經(jīng)典漏洞，至今仍然頻繁出現(xiàn)在人們的視野中。

A7-XSS跨站腳本攻擊/CSRF

屬于代碼注入的一種，XSS發(fā)生在當應用程序獲得不可信的數(shù)據(jù)并發(fā)送到瀏覽器或支持用戶端腳本語言容器時，沒有做適當?shù)男ｒ灮蜣D(zhuǎn)義。XSS能讓攻擊者在受害者的瀏覽器上執(zhí)行腳本行，從而實現(xiàn)劫持用戶會話、破壞網(wǎng)站Dom結(jié)構(gòu)或者將受害者重定向到惡意網(wǎng)站。經(jīng)典案例：

WooYun: 一個可大規(guī)模悄無聲息竊取淘寶/支付寶賬號與密碼的漏洞 -(埋雷式攻擊附帶視頻演示)

XSS攻擊最希望達到：隱蔽，長期控制，此漏洞都達到了。

A8-未授權(quán)訪問/權(quán)限繞過

多數(shù)業(yè)務系統(tǒng)應用程序僅僅只在用戶客戶端校驗授權(quán)信息，或者干脆不做訪問控制規(guī)則限制，如果服務端對來自客戶端的請求未做完整性檢查，攻擊者將能夠偽造請求，訪問未被授權(quán)使用的功能。經(jīng)典案例：

WooYun: 搜狗某重要后臺未授權(quán)訪問(涉及重要功能及統(tǒng)計信息)

重要功能的后臺一定要安全。

A9-賬戶體系控制不嚴/越權(quán)操作

與認證和會話管理相關的應用程序功能常常會被攻擊者利用，攻擊者通過組建的社會工程數(shù)據(jù)庫，檢索用戶密碼，或者通過信息泄露獲得的密鑰、會話token、GSID和利用其它信息來繞過授權(quán)控制訪問不屬于自己的數(shù)據(jù)。如果服務端未對來自客戶端的請求進行身份屬主校驗，攻擊者可通過偽造請求，越權(quán)竊取所有業(yè)務系統(tǒng)的數(shù)據(jù)。經(jīng)典案例：

WooYun: 樂視網(wǎng)2200萬用戶任意用戶登錄

越權(quán)登陸任意用戶。

A10-內(nèi)部重要資料/文檔外泄

無論是企業(yè)還是個人，越來越依賴于對電子設備的存儲、處理和傳輸信息的能力。 企業(yè)重要的數(shù)據(jù)信息，都以文件的形式存儲在電子設備或數(shù)據(jù)中心上，企業(yè)雇員或程序員為了辦公便利，常常將涉密數(shù)據(jù)拷貝至移動存儲介質(zhì)或上傳至網(wǎng)絡，一旦信息外泄，將直接加重企業(yè)安全隱患發(fā)生的概率。經(jīng)典案例：

WooYun: 淘寶敏感信息泄漏可進入某重要后臺(使用大量敏感功能和控制內(nèi)部服務器)