信息泄露之配置不当

于 2024-10-17 22:02:04 发布
阅读量877 收藏 12
点赞数 9
分类专栏: 网络安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57836225/article/details/143029588
版权

目录

信息泄露之配置不当

一、配置不当的分类

二、各类配置不当引发的危害

三、配置不当导致的漏洞定级

四、配置不当的防范措施

(一)业务上线前

(二)对线上业务

(三)其他措施

五、相关工具和方法

在网络安全领域,信息泄露是一个严重的问题,它涉及范围广泛且破坏力巨大,给企业带来了诸多担忧和苦恼。本文将重点探讨由于配置不当导致的信息泄露相关内容,包括分类、危害、定级以及防范措施等,并结合实际案例进行说明。

一、配置不当的分类

配置不当的分类方式多样,一般根据发生场景大致可分为以下几类:

  1. webserver 本身
    • 例如之前发生的 nginx 等解析漏洞,以及 webserver 的目录遍历等问题。以 nginx 为例,当配置出现问题时,可能会导致文件解析异常。比如经典的nginx + php cgi配置,当cgi.fix_pathinfo = 1时,会存在文件解析问题。如下代码所示:

# 假设这是一个模拟访问的脚本
import requests

url = "http://www.oxen.com/evil.jpg/test.php"
response = requests.get(url)
# 这里会根据服务器配置进行文件解析,可能导致安全问题
print(response.text)

  1. 网络协议相关
    • 包括snmp弱communitydns域传送ssh等方面的配置不当。例如,snmp如果使用弱社区字符串,攻击者可能会获取到网络设备的相关信息。
  2. 应用相关
    • 涵盖压缩文件、备份文件,以及其他如日志historyphpinfo等,还有zabbixjenkinsphpmyadminhadoop等应用的配置问题。例如,phpinfo如果没有正确配置权限,可能会泄露服务器的相关信息,如 PHP 版本、服务器模块信息等。
  3. 系统相关
    • 像之前暴露的openssl心脏滴血破壳等系统层面的配置漏洞。这些漏洞可能会导致系统的安全性受到严重威胁。

二、各类配置不当引发的危害

这些因为配置不当引发的问题都可能导致严重后果,但其危害程度可能需要根据具体的业务场景来判断。例如:

  1. webshell 相关
    • 一般来说webshell算是很严重的情况。攻击者获取webshell后,可以对服务器进行各种恶意操作,如篡改文件、窃取数据等。
  2. 代码泄露相关
    • svngit信息泄露可导致代码泄露,从而可以进行白盒代码审计。一旦代码存在漏洞,很容易被挖掘出来。例如,如果代码库的访问权限没有正确配置,可能会导致代码被恶意获取。

三、配置不当导致的漏洞定级

漏洞定级需要根据业务和场景进行定义,主要看漏洞对业务的影响。例如,对于一些可能导致webshell获取的漏洞,通常会被定为较高风险级别;而对于一些只泄露部分非关键信息的漏洞,可能会被定为较低风险级别。

四、配置不当的防范措施

(一)业务上线前

  1. 进行安全基线检查。例如,在开发阶段,会制定公司的安全配置基线要求及安全配置关注点。可以通过安全教育培训来提高开发人员(OP 等)的安全意识,甚至可以通过安全知识小卡片进行宣传。
  2. 根据安全配置基线产生公司默认配置模板,所有预上线阶段全部默认使用配置模板。当模板满足不了需求时,可以根据配置模板进行相应更改,但是上线之前需要通过安全基线工具check

(二)对线上业务

  1. 进行定时检查。通过主机agent进行监控,一旦监控到关心的配置文件(比如 webserver 配置文件)有更改,立刻通过agent进行相应check,看是否违背了安全配置基线。若违背了,则给出默认整改时间;如果负责人在规定的整改时间以内未修改,工具自动按照安全要求将不规范点修改回来。
  2. 对攻击行为进行监控。主要是通过海量日志的分析,从中抓取特征进行预警。日志分析依托于soc系统,soc系统在对抗黄牛党、羊毛党等方面也起着重要作用。此外,在生产服务器上也有webshell实时监测等。

(三)其他措施

对于其他信息泄露问题,主要是采用自检或者通过src白帽子提交的漏洞来发现,发现之后走修复流程。

五、相关工具和方法

  1. 检测工具
    • 最近看到一个开源工具https://github.com/ywolf/F - MiddlewareScan,它可以检测一些常见的配置不当问题以及其他已知漏洞(如jboss的各种webshell漏洞、redis任意文件读取等)。目前模块还是比较少,大家可以自己开发插件加入。
  2. 监控方法
    • webserver目录监控为例,如果研发人员在上迭代版本的时候可能考虑回滚方便,然后在目录中打了个back,导致外部可以打包拿走。这种情况可以在两个点check,一是代码上线流程中,二是线上针对webserver目录的监控进行。

希望通过对配置不当导致信息泄露的这些介绍,能让企业和开发人员更加重视网络安全配置问题,采取有效的防范措施,减少信息泄露的风险。

阿贾克斯的黎明
关注
专栏目录
php配置信息泄露危害,ThinkPHP使用不当可能造成敏感信息泄露
weixin_35439783的博客
04-01 549
ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多站都没关的,所以影响应该很大吧我们来看一下ThinkPHP3.2版本生成日志结构:THINKPHP3.2 结构:Application\Runtime\Logs\Home\16_09_09.logTHINKPHP3.1结构:Runtime\Logs\Home\16_09_09.log可以看到是 :项目名\R...
常见信息泄露类漏洞风险与解决方案
晓川吖的专栏
09-09 8941
1.概述 信息泄露类漏洞,是指由于技术人员疏忽,在开发或者运维过程当中,把敏感信息不恰当的展示给了用户所产生的安全漏洞。 一旦所产生的信息泄露问题被恶意攻击者利用,会导致网站用户信息泄露,甚至会导致服务器被入侵。 漏洞类型统计: 2.安全事件 2014年携程被曝安全支付日志可遍历下载漏洞 导致大量用户银行卡信息泄露 携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。 同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录
Web安全安全配置错误类漏洞详解及预防
路多辛的所思所想
02-05 1811
例如使用了有安全缺陷的版本、没有修改默认的帐户密码、给了某些帐户过高的权限、对敏感资源没有做访问控制等等,让攻击者有了可乘之机,可以不经授权就可以访问某些系统数据或使用系统功能。现代化的的应用程序基本都是高度可配置化的,所以安全配置错误类漏洞会越来越多,在配置使用三方应用程序或自研应用程序时,都需要特别注意避免此类漏洞的产生。安装或使用了不必要的功能,例如服务器启用了不必要的端口、系统添加了不必要的帐户、给帐户分配了不当的权限等。在应用程序堆栈的某些部分缺少适当的安全强化,或对系统用户的权限配置不当
安全配置-----从webgoat到nginx的四大漏洞
qq_43571759的博客
04-23 1026
文章目录webgoat不安全配置总体目标:不安全的存储总体目标:不安全的沟通总体目标:nginx不安全配置CRLF注入nginx的目录穿越nginx--add_header被覆盖不安去的配置导致解析漏洞 webgoat 不安全配置 攻击如何进行: 强制浏览是攻击者用来获取未引用但仍可访问的资源的技术。 一种技术是通过从末尾删除部分直到找到不受保护的目录来操纵浏览器中的URL。 总体目标: *...
如何避免因配置错误使租户数据暴露
最新发布
图幻未来的博客
05-30 358
随着云计算的普及,越来越多的企业和组织选择将业务部署在云上。然而,在云环境中,由于租户之间的隔离不完全,导致配置错误可能引发安全问题。为了降低这类风险,本文将对配置错误的成因进行分析,并提出相应的解决方案。
浅谈安全漏洞
m0_50579386的博客
04-06 2129
安全漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。 安全漏洞往往会给组织带来极大的麻烦。攻击者会利用它们去攻击普通用户、管理员以及那些连接和使用此类应用的用户。超过50%的安全漏洞是由错误的编码产生的,开发人员一般安全开发意识和安全开发技能不足,更加关注业务功能的实现。
信息泄露配置不当的风险与防范策略
"信息泄露配置不当网络安全领域中的一个重要议题,它在安全小课堂第六期中被深入探讨。配置不当通常涉及多个方面,包括但不限于: 1. Web服务器:如Nginx的解析漏洞和目录遍历问题,这些错误配置可能导致敏感...
thinkphp3 与thinkphp5 日志信息泄露检测脚本.zip
02-20
此压缩包中的“thinkphp日志信息泄露检测脚本”很可能是一个自动化工具,它可以扫描ThinkPHP应用的配置和日志文件,找出可能导致信息泄露的设置。使用该脚本的步骤可能包括: 1. 解压下载的zip文件。 2. 在命令行中...
配置文件信息泄露
fansenliangren的博客
11-24 3274
在目标主页中点击右键,查看网页源代码,搜索config字段或在源码中逐行查找,分析是否存在系统的配置信息配置文件路径信息。攻击者通过配置信息泄露获取敏感数据,为进一步攻击创造条件,设置通过泄露配置直接控制数据库或网站。
SQL注入原理之不安全的数据库配置
Secur17y的博客
09-28 342
1、默认的用户 数据库带有很多默认的用户安装内容。SQL Server使用声名狼藉的“SA”作为数据库系统管理员账户,MySQL使用“root”和“Anonymous”用户账户,Oracle则在创建数据库时通常默认会创建SYS、SYSTEM、DBSNMP和OUTLN账户,当然这并非全部的账户。 应用开发人员在编写程序代码是,通常使用某个内置的权限账户来连接数据库,而不是根据程序需要老创建特征用户账...
【漏洞利用】信息泄露漏洞详解
weixin_44023442的博客
01-24 9112
参考文章 BurpWeb安全学院之敏感信息泄露 信息泄露漏洞 网络安全web 信息泄露小概 Tag: #信息泄露 Ref:[[002.js信息泄露]] [[002.信息收集/009.信息泄露/001.信息泄露]] 本文仅供交流学习使用! 概述 总结 一、漏洞介绍 信息泄露指网站无意向用户泄露敏感信息.可能包括以下内容: 有关其他用户私密数据的,财务信息,个人身份信息等 敏感的商业数据 有关网站技术细节,架构,如源代码等 二、漏洞原理 信息泄露可能是不慎泄露给浏览该网站信息用户的,也有可能是攻
安全配置导致apache未知后缀名解析漏洞分析
qq_43571759的博客
04-26 1134
Apache HTTPD不安全配置导致未知后缀解析漏洞 该环境版本: PHP 7.x 最新版 Apache HTTPD 2.4.10 稳定版(来自debian源) 由此可知,该漏洞与Apache、php版本无关,属于用户配置不当造成的解析漏洞。 漏洞分析 图中的配置文件中高亮部分也是此漏洞的关键所在 <FilesMatch ".+\.ph(p[345]?|t|tml)$"> S...
spring boot使用内嵌的tomcat解决不安全的HTTP方法安全漏洞
牛奋lch
08-04 1万+
最近项目开发完毕,在进行安全测试的时候,爆出了一个中级安全漏洞--不安全的HTTP方法,如果对这个安全漏洞有不明白的地方,可以自行问度娘。 1、传统Web项目的解决方案 在不使用spring boot的情况下,有两种解决方案1、在过滤器中进行拦截,对于不是http安全的方法直接给前端返回错误信息;2、在tomcat的web.xml配置,对不安全的方法进行拦截。下面,我们重点说下第二种方案,因为
NFS不安全配置漏洞
weixin_46564680的博客
10-13 2300
NFS不安全配置漏洞 NFS简述: 网络文件系统(英语:Network File System,缩写作 NFS)是一种分布式文件系统,力求客户端主机可以访问服务器端文件,并且其过程与访问本地存储时一样,允许网络上的用户以类似于本地存储的方式访问共享文件夹。 NFS服务的默认开放端口为2049/TCP。 漏洞检测: NFS不安全配置漏洞检测可以通过漏洞扫描工具发现 Nessus漏洞报告详情 使用NMAP检测漏洞 使用NMAP扫描发现目标开放2049端口 查看nmap自带的和NFS相关的
配置管理工具比较
热门推荐
yown的专栏
07-28 2万+
 配置管理工具比较    如何选择配置管理工具      每一个软件项目,无论是工程类项目,还是产品类项目,都必须经历需求分析、系统设计、编码实现、集成测试、部署、交付、维护和支持的过程。在这个过程中,将生成各种各样不同的工件,包括文档、源程序、可执行代码、支持库。更可怕的是,频繁出现的变更是不可避免的,因此面向如此庞大且不断变动的信息集,如何使其有序、高效地存放、查找和利用就成为了一个突
web渗透--10--配置管理测试
武天旭的博客
09-11 1772
1、网络和基础设施配置 需要采取以下步骤来测试配置管理: 1、识别构成基础设施的各种组件,以便理解它们如何与web应用进行交互,以及如何影响web应用的安全性。 2、审计基础设施的所有组件,从而确保它们没有包含任何已知的漏洞。 3、审计用以维护各种组件的管理工具。 4、审计认证系统,以保证它能够满足应用的需要,而不能被外部用户用以提升权限。 5、维护应用需要的端口的列表,并纳入变更控制。 只有在绘制由不同组件组成的基础设施之后,我们才能审计每个已发现组件的配置和测试所有已知的漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值