為了提高廣大用戶的安全意識，國內(nèi)專業(yè)數(shù)據(jù)庫安全廠商安華金和，根據(jù)每日整理發(fā)布來自漏洞盒子、補天、烏云、等漏洞平臺的安全資訊，數(shù)據(jù)庫攻防實驗室(DBSec Labs)以月為單位，將高危漏洞匯總，形成分析報告，分享廣大用戶及合作伙伴。

　　1、 依舊危險，框架漏洞洶涌澎湃2、 政府行業(yè)漏洞排名第一，互聯(lián)網(wǎng)行業(yè)緊隨其后3、 月常見數(shù)據(jù)泄露原因分析4、 針對平臺系統(tǒng)漏洞的防范手段2015年9月，安華每日安全資訊總結(jié)發(fā)布了134個數(shù)據(jù)泄密高危漏洞，這些漏洞分別來自漏洞盒子、烏云、補天等平臺，涉及11個行業(yè)，行業(yè)機(jī)構(gòu)、互聯(lián)網(wǎng)、交通運輸、教育、金融保險、旅游、能源、社保公積金、醫(yī)療衛(wèi)生、運營商、政府。同比8月份的102個漏洞數(shù)量增加32個。9月份的漏洞，其中絕大多數(shù)泄露威脅來自于平臺系統(tǒng)漏洞和SQL注入漏洞。

　　Web依舊危險，框架漏洞洶涌澎湃

　　Web端依舊是數(shù)據(jù)安全的主要軟肋，9月份數(shù)據(jù)安全漏洞呈現(xiàn)的新態(tài)勢為：數(shù)據(jù)泄露多是由平臺系統(tǒng)漏洞引起。平臺系統(tǒng)漏洞在9月份的漏洞總數(shù)中占據(jù)了半壁河山。

　　9月平臺系統(tǒng)漏洞占主要比重

　　這些平臺系統(tǒng)漏洞中，其中威脅最大的來自語言框架帶來的漏洞。語言框架(例如java的sturts2漏洞)漏洞往往隱藏深，二次開發(fā)人員難以進(jìn)行有效防守。隨著框架的廣泛使用，漏洞的影響范圍也遠(yuǎn)比其他漏洞廣泛。9月份爆發(fā)的平臺系統(tǒng)漏洞和幾種主要語言框架被爆出漏洞存在密切關(guān)系。

　　大政府行業(yè)漏洞排名第一，互聯(lián)網(wǎng)行業(yè)緊隨其后

　　從9月134個收到數(shù)據(jù)泄露漏洞威脅的行業(yè)來看，互聯(lián)網(wǎng)行業(yè)依舊是重災(zāi)區(qū)。其中43個政府行業(yè)漏洞(包含了衛(wèi)生醫(yī)療、教育、社保公積金幾個子類)占比32%，互聯(lián)網(wǎng)行業(yè)占全部數(shù)據(jù)泄露威脅的28%。金融、運營商、企業(yè)機(jī)構(gòu)緊隨其后，漏洞比例分別占10%以上。

　　注：其中互聯(lián)網(wǎng)行業(yè)包含了互聯(lián)網(wǎng)金融，未歸類在傳統(tǒng)金融行業(yè)中。

　　9月數(shù)據(jù)安全漏洞行業(yè)分布情況

　　9月政府大行業(yè)中，其中教育行業(yè)漏洞數(shù)量暴漲，雖然本月教育行業(yè)只有10個漏洞，但同比8月份的2個則是增加了5倍，占整體漏洞總數(shù)的7%。教育行業(yè)被集中爆出漏洞與自身網(wǎng)站框架陳舊，以及維護(hù)不到位有直接關(guān)系。教育行業(yè)中有7個漏洞是平臺系統(tǒng)存在的漏洞，平臺系統(tǒng)漏洞主要是由于平臺系統(tǒng)沒有及時升級維護(hù)。10個中還存在一個一個弱口令漏洞，該弱口令直接被白帽子用工具爆破出密碼。相信通過合理的制度和一定的輔助軟件弱口令問題會很快被杜絕。社保公積金年初各地大范圍曝出系統(tǒng)漏洞后，每月仍有數(shù)據(jù)安全漏洞持續(xù)發(fā)布。

　　在企業(yè)機(jī)構(gòu)、金融行業(yè)、政府和互聯(lián)網(wǎng)中中，也存在上述問題。雖然本月平臺系統(tǒng)漏洞占據(jù)了主導(dǎo)地位，但SQL注入也廣泛的存在于各個行業(yè)之中。getshell、錯誤配置、弱口令等依舊沒有杜絕。

　　而互聯(lián)網(wǎng)行業(yè)由于其行業(yè)特性，常年累月處在數(shù)據(jù)泄露威脅的陰影下。

　　9月常見數(shù)據(jù)泄露原因分析

　　開發(fā)中出現(xiàn)的代碼缺陷，很可能最終轉(zhuǎn)化成數(shù)據(jù)泄漏的漏洞。平臺系統(tǒng)漏洞主要包含兩種類型：類型1，二次開發(fā)中由于開發(fā)人員對輸入輸出參數(shù)、邏輯判斷等出現(xiàn)失誤而造成的漏洞。這類漏洞雖然數(shù)量大，但影響面窄，且易于修復(fù)。類型2，開發(fā)Web程序使用的語言框架自身存在的漏洞。這種漏洞往往會直接導(dǎo)致對整個WEB服務(wù)器的入侵，并暴露出Web服務(wù)器后臺連接的數(shù)據(jù)庫信息。

　　9月份數(shù)據(jù)泄漏威脅主要原因

　　框架引起的平臺系統(tǒng)漏洞想要治根需要對框架版本進(jìn)行合理升級。如果由于各種原因無法對框架版本進(jìn)行升級也可以通過權(quán)限限制來約束，以及進(jìn)行自動刪除后門的設(shè)置。筆者在分析平臺系統(tǒng)漏洞時利用工具對某網(wǎng)段中的網(wǎng)頁進(jìn)行掃描發(fā)現(xiàn)存在struts2漏洞的網(wǎng)頁。

　　成功植入Webshell的網(wǎng)頁(對其中敏感字進(jìn)行處理)

　　筆者通過對200個網(wǎng)站進(jìn)行struts2漏洞檢測發(fā)現(xiàn)部分網(wǎng)站存在漏洞。上傳webshell，通過后門可以查詢Web服務(wù)所在服務(wù)器的大量核心信息以及數(shù)據(jù)庫信息。如下面的例子，那到管理員權(quán)限直接訪問查看對方Web服務(wù)器中的全部內(nèi)容。不僅可以看到網(wǎng)站內(nèi)容，還可以通過查詢配置信息找到后臺數(shù)據(jù)庫位置。

　　被入侵網(wǎng)站服務(wù)器上目錄結(jié)構(gòu)圖

　　雖然比例不高但依舊存在的弱口令和配置錯誤是純粹人為因素導(dǎo)致，企事、業(yè)單位應(yīng)該在管理機(jī)制和從業(yè)人員水平上加強(qiáng)投入，盡量避免人為因素給企業(yè)、事業(yè)單位造成的潛在威脅。

　　針對平臺系統(tǒng)漏洞的防御方案

　　抵御平臺系統(tǒng)漏洞威脅可以通過對應(yīng)的第三方軟件，這里筆者給出不通過第三方軟件就可以加固平臺系統(tǒng)的3點建議：

　　1.第一時間針對存在漏洞的平臺系統(tǒng)進(jìn)行合理升級。2.嚴(yán)格限制平臺系統(tǒng)上的讀、寫、運行、上傳權(quán)限。3.定期關(guān)注日志.相信以上3點建議會幫助您有效的加固平臺系統(tǒng)應(yīng)對平臺系統(tǒng)漏洞威脅。

　　1、 第一時間針對低版本平臺系統(tǒng)進(jìn)行合理升級

　　時刻關(guān)注自己平臺所用框架的官網(wǎng)，注意及時升級到合適版本。避免使您采用的框架已存在漏洞，暴露在黑客的威脅之下?？梢远ㄆ诓捎脤?yīng)的平臺系統(tǒng)漏洞掃描工具，及時發(fā)現(xiàn)新出現(xiàn)的漏洞。盡量避免使用缺乏維護(hù)的開源框架。在可上傳的部分進(jìn)行嚴(yán)格的參數(shù)驗證，防止被上傳圖片、郵件、文檔等形式的木馬。

　　2、 嚴(yán)格限制權(quán)限

　　從上圖可以看出網(wǎng)站對用戶權(quán)限限制不到位，同一個賬號同時存在讀、寫、上傳、運行等權(quán)限。一個賬戶盡量不要同時賦予太多權(quán)限。被入侵賬號如果有大部分權(quán)限，導(dǎo)致黑客可以直接對平臺系統(tǒng)所在的服務(wù)器進(jìn)行讀取、上傳木馬、運行木馬等行為。為避免這一現(xiàn)象盡量在不影響應(yīng)用的前提下最大限度限制所有用戶的權(quán)限。尤其要限制Web服務(wù)器系統(tǒng)賬號的權(quán)限。做好權(quán)限限制，可以確保即使木馬被上傳到Web服務(wù)器，也無法執(zhí)行。有效的防止框架漏洞被利用。

　　3、 定期關(guān)注日志

　　定期關(guān)注日志文件主要關(guān)注兩部分。

　　1.刪除日志文件中的敏感信息。例如修改密碼等過程有可能會把舊密碼以明文的形式存在日志文件中。黑客發(fā)現(xiàn)舊密碼，很可能通過舊密碼特征猜測出新密碼。最終導(dǎo)致密碼被破解，服務(wù)器被入侵。2.關(guān)注日志中的異常行為，確定是否有黑客對平臺系統(tǒng)進(jìn)行而已掃描或者滲透。

　　結(jié)束語

　　黑客通過主動或被動信息的方式進(jìn)行信息收集。分析信息尋找整個環(huán)境中最薄弱的環(huán)節(jié)。數(shù)據(jù)安全符合木桶原理，整個環(huán)境的安全水平和各個安全防護(hù)中最短的一塊相關(guān)。想要做好數(shù)據(jù)安全。不單單是要對網(wǎng)絡(luò)、數(shù)據(jù)庫、服務(wù)器、硬件等關(guān)鍵設(shè)施進(jìn)行安全加固，同時也要針對服務(wù)器上的核心軟件進(jìn)行加固才可能真正做到數(shù)據(jù)安全。

　　最后，也是最重要的，用戶還是要從主觀因素上提高安全意識，加強(qiáng)內(nèi)部安全管理防范。安全就是這樣一種形態(tài)，平時不出狀況看不到安全的效果，一旦企業(yè)出現(xiàn)了數(shù)據(jù)泄露事件，其經(jīng)濟(jì)損失、名譽損失將不可估量，更甚者企業(yè)形象會一落千丈，從此難以翻身。