乌云平台发布：2014年最新十大安全风险！

      昨日， 乌云平台发布了2014年十大安全风险： 互联网泄密、不安全的第三方应用、 系统错误/逻辑错误带来的暴力破解、SQL注入、 XSS等成为2014年最大的安全风险。

      No.1 互联网泄密事件/撞库攻击

      以大量的用户数据为基础，利用用户相同的注册习惯（相同的用户名和密码），尝试登陆其它的网站。2011年，互联网泄密事件引爆了整个信息安全界，导致传统的用户+密码认证的方式已无法满足现有安全需求。

      泄露的数据包括：天涯：31,758,468条，CSDN：6,428,559条，微博：4,442,915条，人人网：4,445,047条，猫扑：2,644,726条，178：9,072,819条，嘟嘟牛：13,891,418条，7K7K：18,282,404条，共1.2亿条。

      经典案例：CSDN数据库泄露，大量用户真实账号密码外泄：

      CSDN社区网站被入侵，近600w用户账号密码被泄露，黑客将连接公布到互联网，导致任何人可以获得该数据，数据真实有效。该事件可能对各大互联网公司包括新浪微博，企业安全等造成严重威胁，严重建议用户修改账号密码，禁止企业用户使用内部办公邮箱在外部注册以及各处使用同一密码。

      No.2 引用不安全的第三方应用

      第三方开源应用、组件、库、框架和其他软件模块。过去几年中，安全领域在如何处理漏洞的评估方面取得了长足的进步，几乎每一个业务系统都越来越多地使用了第三方应用，从而导致系统被入侵的威胁也随之增加。由于第三方应用平行部署在业务系统之上，如果一个易受攻击的第三方应用被利用，这种攻击将导致严重的数据泄露或系统沦陷。

      经典案例：淘宝主站运维不当导致可以登录随机用户并且获取服务器敏感信息：

      针对Openssl heartbeat漏洞的exp已经流出，经过测试可以dump出任何使用openssl库进程的内存数据，每次64kb，位置随机，但是由于exp起来十分容易速度很快并且可以多线程，一会就获得了几千个用户的cookie，随机抽取了几个发现可以任意登录。经过大量测试，该漏洞不但能获取cookie等信息，还能获取web应用的源码，web服务器的配置，包括ssl 证书私钥和加密私钥的key。正在针对大量https服务器做测试，获取私钥只是时间问题，建议淘宝全站更换SSL证书。

      No.3 系统错误/逻辑缺陷带来的暴力猜解

      由于应用系统自身的业务特性，会开放许多接口用于处理数据，如果接口或功能未进行严谨的安全控制或判断，将会促进骇客加快攻击应用程序的过程，大大降低了骇客发现威胁的人力成本。 随着模块化的自动化攻击工具包越来越趋向完善，将给应用带来最大的威胁。

      经典案例：大公司诟病系列#1 重置京东任意用户密码：

      京东员工邮箱登陆外网可访问，结果导致暴力猜解出众多员工邮箱弱密码：大公司人员的习惯研究，公司做得越来越大的时候，总会出现那么几个安全意识薄弱的人员（俗称猪一样的队友），他们往往会做出一些让人无法理解的事情，比如：直接点击邮件内的 EXE 附件，或者使用和用户名一样的密码，或者用户名+当前年份的密码。

      No.4 敏感信息/配置信息泄露

      由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息（后台或测试地址）的泄露，攻击者可能会通过收集这些保护不足的数据，利用这些信息对系统实施进一步的攻击。

      经典案例：携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露：

      用户敏感信息放在Web目录，导致可以直接下载：携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器，类似IIS或Apache的访问日志，记录URL POST内容。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。其中泄露的信息包括用户的：持卡人姓名、持卡人身份证、所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin（用于验证支付信息的6位数字）。

      No.5 应用错误配置/默认配置

      数应用程序、中间件、服务端程序在部署前，未针对安全基线缺乏严格的安全配置定义和部署，将为攻击者实施进一步攻击带来便利。常见风险：flash默认配置，Access数据库默认地址，WebDav配置错误，Rsync错误配置，应用服务器、Web服务器、数据库服务器自带管理功能默认后台和管理口令。

      经典案例：敏感信息泄露系列#6 服务端默认配置导致海量用户信息泄露：

      备份数据库可以直接浏览到并下载：由于酷狗某台服务器IIS配置错误，导致任意HTTP请求均可列出服务器上的WEB目录，致使骇客可下载到任意数据或文件，骇客可以通过收集或挖掘这些保护不足的数据，利用这些信息对酷狗信息系统实施进一步的攻击。通过互联网扫描，发现酷狗用户数据库备份文件可直接通过互联网公开下载，从而造成海量用户信息泄露（目测酷狗有3.6亿用户）！

       No.6 SQL注入漏洞

       注入缺陷不仅仅局限于SQL，还包括命令、代码、变量、HTTP响应头、XML等注入。 程序员在编写代码的时候，没有对用户输入数据的合法性进行判断、审计，当不可信的数据作为命令或查询的一部分被发送到解释器时，注入就会发生。攻击者的恶意数据欺骗解释器，让它执行意想不到的命令或者访问没有准确授权的数据。

       经典案例：虾米网SQL注入，1390万用户数据…整个沦陷：

       作为一个可以直接影响到核心数据的经典漏洞，至今仍然频繁出现在人们的视野中：1390万用户数据、交易数据、主站数据，整个沦陷。

       No.7 XSS跨站脚本攻击/CSRF

       属于代码注入的一种，XSS发生在当应用程序获得不可信的数据并发送到浏览器或支持用户端脚本语言容器时，没有做适当的校验或转义。XSS能让攻击者在受害者的浏览器上执行脚本行，从而实现劫持用户会话、破坏网站Dom结构或者将受害者重定向到恶意网站。

       经典案例：一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 （埋雷式攻击附带视频演示）：

       XSS攻击最希望达到：隐蔽，长期控制，此漏洞都达到了。有些漏洞，如果只是从技术层面来说明问题，厂商似乎感觉不到它的危害。整个漏洞利用过程也录了个视频，奉献给普通网民，厂商努力修复，我们网民自己也得增强安全意识，那些抱着“这么大公司不可能有大漏洞”之幻想的网民们该醒醒了。

       No.8 未授权访问/权限绕过

       多数业务系统应用程序仅仅只在用户客户端校验授权信息，或者干脆不做访问控制规则限制，如果服务端对来自客户端的请求未做完整性检查，攻击者将能够伪造请求，访问未被授权使用的功能。

       经典案例：搜狗某重要后台未授权访问（涉及重要功能及统计信息）：

       重要功能的后台一定要安全！

       No.9 账户体系控制不严/越权操作

       与认证和会话管理相关的应用程序功能常常会被攻击者利用，攻击者通过组建的社会工程数据库，检索用户密码，或者通过信息泄露获得的密钥、会话token、GSID和利用其它信息来绕过授权访问控制不属于自己的数据。如果服务端未对来自客户端的请求进行身份属主校验，攻击者可通过伪造请求，越权窃取所有业务系统的数据。

       经典案例：乐视网2200万用户任意用户登录：

       修改任意uid即可， 越权登陆任意用户。

       No.10 内部重要资料/文档外泄

       无论是企业还是个人，越来越依赖于对电子设备的存储、处理和传输信息的能力。 企业重要的数据信息，都以文件的形式存储在电子设备或数据中心上，企业雇员或程序员为了办公便利，常常将涉密数据拷贝至移动存储介质或上传至网络，一旦信息外泄，将直接加重企业安全隐患发生的概率。

       经典案例：淘宝敏感信息泄漏可进入某重要后台（使用大量敏感功能和控制内部服务器）：

      后台能干嘛：给支付宝账号充值、任意支付宝账号认证、任意支付宝淘宝绑定、为订单付款、为订单发货、为订单退款、解绑用户支付宝、删除支付宝账号、修改订单价格、给订单包邮、升级店铺等级、给宝贝添加评、价修改用户密码、修改用户手机号、删除用户、修改用户身份证号码、删除购物车、实时查询、注册手机的校验码、处罚会员、修改卖家好评率、品牌授权、创建天猫品牌等上百项重要功能。

       转自：联软科技